大塚商会のホスティングサービスでWordPressの脆弱性を狙われ複数のホストが乗っ取られる 20
ストーリー by hylom
権限分離してないのか 部門より
権限分離してないのか 部門より
大塚商会が提供しているホスティングサービス「アルファメール」および「アルファメールダイレクト」が1月19日に不正アクセスを受け、不正にファイルが設置されるという事案が発生した(piyolog、INTERNET Watch)。20日の時点で不正に設置されたファイルの削除などの措置が取られているという。
大塚商会の発表によると、利用者が設置していたWordPressの脆弱性を狙った攻撃が行われ、その結果他の利用者の領域にも不正にファイルが設置されたという。また、この攻撃を行なったと主張する者がPastebinに攻撃を行なったWebサイトのリストを掲載していたという。
大塚に何があっても別に (スコア:0)
高いだけで使えない(個人の感想)
Re: (スコア:0)
SharePointの独自拡張が使えなくなりますの連絡が来ないとか遅延みたいのが有ったりと無いよりマシかなぁ。
サーバーの仕様も古い感じでちゃんとメンテされてるのだろうか……
Re: (スコア:0)
先日アルファメールに触る機会があったのですが、古いサーバーは自己申告しないといつまでたっても古い仕様(php4系とか)のままだったり。
比較的マシな仕様にものに移行させても重かったり、やっぱりDBが古かったりと、使いものにならないので別の業者に移動させたところでした。
ホスティングサービスの脆弱性 (スコア:0)
WordPressの脆弱性より、ホスティングサービスの方がヤバいやん。ホスティングサービスに正式に契約したユーザは、他のユーザのデータをいじれるってことやん。WordPressに不正ログインした悪者もこれにはびっくり大爆笑だったんじゃないかな…。
Re: (スコア:0)
外に見えているネットワークとは別に管理系のネットワークが存在していて裏ではサーバたちが繋がっているようなものだったんでしょうかね
Re: (スコア:0)
ネットワーク関係なく、PHP経由でshellでコマンド実行できて、他のユーザーのフォルダに書き込みできた、ってところじゃね?
shellじゃなくても、普通にPHPの関数で他のユーザーの領域の読み書きができたのかも。
昔はsafe modeとかいう機能で制限かけるのが一般的だったけどPHP5.4で廃止されたんだよな。
今はどうやってんだろ。
個人的には、もうVPSがワンコイン以下で借りれるわけだし、わざわざ共用を借りることはないかなと思ってるけど、
管理の手間とかで共用選ぶのもありか。
Re:ホスティングサービスの脆弱性 (スコア:1)
safe modeが廃止されたのは、仮想化なりでユーザーランドが分離されているが一般的になったからじゃね。
今でも共用型のサービス残っていることにびっくりだよ。
Re: (スコア:0)
昔使おうとサーバー仕様を確認したら PHPのバージョンが古すぎ [alpha-prm.jp]て利用しなかった。
大塚のアルファメールで利用可能な最も新しいPHPはコメント記入時点で7.0.1。
PHP7.0.10が使えるバージョン2が利用可能になったのが2017年12月 [alpha-prm.jp]で移行可能になったのが20 [alpha-prm.jp]
Re: (スコア:0)
その昔でもSafe Modeに依存するのは一般的ではないと思うな。
ユーザー毎にchrootするのが基本で、でも、リソースがもったいないので
簡易的なところではCGIモードで動作させて、SUEXEC
珍しいケースでSuPHP
んで、PHPの設定では、open_base_dirを一応ね。
Re: (スコア:0)
セーフモードがなくなったPHPはパーミッションさえ権限あれば書き込み放題。
Re: (スコア:0)
hylomが適当にまとめた経緯を鵜呑みにして吹き上がっとるのーwwww
>特定のお客様が設置したWordPressのIDを踏み台にし、WebサーバーのOSの脆弱性をついた不正アクセス攻撃と判明いたしました。
WordPress (スコア:0)
WordPressは他のCMSを使えないダメなデザイナーや会社が使うイメージ。
Re: (スコア:0)
本業じゃないんだから使う必要無いんですよ、サイト1個作るたびに何百万も払う時代はとっくに終わりました。
Re: (スコア:0)
>他のCMSを使えない
見えますか?
Re: (スコア:0)
かつてVisualBasicが開発効率の良いツールとして欧米で脚光を浴びていた時代、C++で作った方が実行効率よく融通が利くとして、VisualBasicで作る事を馬鹿にする風潮が日本にあり、安価に手掛けられるVisualBasicによる末端ユーザーの効率化の裾野が欧米で広がる一方、効率化から取り残された日本という失敗を知らない?
Re: (スコア:0)
ちゃんと追いついたじゃないですか。
日本にもVisualBasicのレガシーがいっぱい残ってます。
Re: (スコア:0)
構造化プログラミングすらガン無視かつグローバル多用で関係性追えないモノを、VisualBasicVBのコードと言って良いのかは疑問だが…
#まあJavaも同じ状況だけどね
Re: (スコア:0)
そんな現象はあんたの周囲だけだよ
Re: (スコア:0)
末端ユーザーのVBィー?
思い切り負の遺産じゃねーか
Re: (スコア:0)
基本的な設定が古くてだめなのは認めますが、エコシステムが充実しているので案件によっては手早く実装できます。
何でも適材適所だと思います。