パスワードを忘れた? アカウント作成
13826607 story
セキュリティ

大塚商会のホスティングサービスでWordPressの脆弱性を狙われ複数のホストが乗っ取られる 20

ストーリー by hylom
権限分離してないのか 部門より

大塚商会が提供しているホスティングサービス「アルファメール」および「アルファメールダイレクト」が1月19日に不正アクセスを受け、不正にファイルが設置されるという事案が発生した(piyologINTERNET Watch)。20日の時点で不正に設置されたファイルの削除などの措置が取られているという。

大塚商会の発表によると、利用者が設置していたWordPressの脆弱性を狙った攻撃が行われ、その結果他の利用者の領域にも不正にファイルが設置されたという。また、この攻撃を行なったと主張する者がPastebinに攻撃を行なったWebサイトのリストを掲載していたという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年01月30日 14時13分 (#3556923)

    高いだけで使えない(個人の感想)

    • by Anonymous Coward

      SharePointの独自拡張が使えなくなりますの連絡が来ないとか遅延みたいのが有ったりと無いよりマシかなぁ。

      サーバーの仕様も古い感じでちゃんとメンテされてるのだろうか……

    • by Anonymous Coward

      先日アルファメールに触る機会があったのですが、古いサーバーは自己申告しないといつまでたっても古い仕様(php4系とか)のままだったり。
      比較的マシな仕様にものに移行させても重かったり、やっぱりDBが古かったりと、使いものにならないので別の業者に移動させたところでした。

  • by Anonymous Coward on 2019年01月30日 14時23分 (#3556925)

    WordPressの脆弱性より、ホスティングサービスの方がヤバいやん。ホスティングサービスに正式に契約したユーザは、他のユーザのデータをいじれるってことやん。WordPressに不正ログインした悪者もこれにはびっくり大爆笑だったんじゃないかな…。

    • by Anonymous Coward

      外に見えているネットワークとは別に管理系のネットワークが存在していて裏ではサーバたちが繋がっているようなものだったんでしょうかね

      • by Anonymous Coward

        ネットワーク関係なく、PHP経由でshellでコマンド実行できて、他のユーザーのフォルダに書き込みできた、ってところじゃね?
        shellじゃなくても、普通にPHPの関数で他のユーザーの領域の読み書きができたのかも。
        昔はsafe modeとかいう機能で制限かけるのが一般的だったけどPHP5.4で廃止されたんだよな。
        今はどうやってんだろ。

        個人的には、もうVPSがワンコイン以下で借りれるわけだし、わざわざ共用を借りることはないかなと思ってるけど、
        管理の手間とかで共用選ぶのもありか。

      • by Anonymous Coward

        セーフモードがなくなったPHPはパーミッションさえ権限あれば書き込み放題。

    • by Anonymous Coward

      hylomが適当にまとめた経緯を鵜呑みにして吹き上がっとるのーwwww
      >特定のお客様が設置したWordPressのIDを踏み台にし、WebサーバーのOSの脆弱性をついた不正アクセス攻撃と判明いたしました。

  • by Anonymous Coward on 2019年01月30日 15時50分 (#3556961)

    WordPressは他のCMSを使えないダメなデザイナーや会社が使うイメージ。

    • by Anonymous Coward

      本業じゃないんだから使う必要無いんですよ、サイト1個作るたびに何百万も払う時代はとっくに終わりました。

      • by Anonymous Coward

        >他のCMSを使えない
        見えますか?

    • by Anonymous Coward

      かつてVisualBasicが開発効率の良いツールとして欧米で脚光を浴びていた時代、C++で作った方が実行効率よく融通が利くとして、VisualBasicで作る事を馬鹿にする風潮が日本にあり、安価に手掛けられるVisualBasicによる末端ユーザーの効率化の裾野が欧米で広がる一方、効率化から取り残された日本という失敗を知らない?

      • by Anonymous Coward

        ちゃんと追いついたじゃないですか。
        日本にもVisualBasicのレガシーがいっぱい残ってます。

        • by Anonymous Coward

          構造化プログラミングすらガン無視かつグローバル多用で関係性追えないモノを、VisualBasicVBのコードと言って良いのかは疑問だが…

          #まあJavaも同じ状況だけどね

      • by Anonymous Coward

        そんな現象はあんたの周囲だけだよ

      • by Anonymous Coward

        末端ユーザーのVBィー?
        思い切り負の遺産じゃねーか

    • by Anonymous Coward

      基本的な設定が古くてだめなのは認めますが、エコシステムが充実しているので案件によっては手早く実装できます。
      何でも適材適所だと思います。

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...