投稿者: o6asan

カテゴリー
WordPress

起きてびっくり,サイト改竄? at よそ様。

投稿アップデート情報  追記

 昨朝,起きて WordPress の日本語ブログのダッシュボードに入って,びっくり。フォーラムのところに,なんと,「サイト改ざん?」の文字が乱舞している。

 いや,うちではないです。よそ様です。フォーラムに初投稿がされたのは一昨日のようだが,一昨日は,芋虫くんにかまけていて,気づかなかった。まぁ,昼からは,いろいろリアルも忙しかったし。

 昨日も昨日で,朝あらかた読んで,ひとまずうちには影響がなさそうなので,予定通りでかけてしまった。(汗)

 しかしねぇ,テストサイトに使っている atpages から,一昨日こういう連絡が来たばかりだったし,
 【@PAGES】【お詫び】ユーザ情報流失に関するお知らせ 2013.08.28
さらに昨日はこれが来たので,
 【@PAGES】【お詫び】ユーザ情報流出に関するお知らせ【第2報】2013.08.29
いずこも同じようなことがあるのかなと思ったわけだ。上記の事件と同じようなといわれたら, atpages は心外かもしれないが……幸いにして,狙われなかっただけ,という気もする。
 今のところ,「ロリポップサーバーでサイト改ざんハッキング被害に遭った方への情報」から跳べる「ロリポップサイト改ざん関連情報 (2013年8月)」を読んでも,はっきりとした原因はわからないわけだが,いろんなことで似たり寄ったりかなと思う。(爆)

 「Hacked by Krad Xin」でググると,表題にこの文字列が入ったものすごい数のサイトが現れる。上記の事件の発端が一昨日だから,事件関連の記事も多いわけだが,それを除いても(年月日設定を去年1年とかしても,ということ),すごい数だ。これって,要するにスクリプトを仕組まれているんじゃないのか?

 フォーラムの話の中に,
> 一般設定のサイトタイトルがHacked by Krad Xinとなっていたのを元のサイト名に戻しました
てのがあるからねぇ。

 今回のクラックはある意味,性がいいかも知れないとか思った。だってね,一番初めに投稿した方が書いているように,クラックされたサイトで文字化けがあったわけだ。そうすると,変だなぁって,気づくよね。「深く静かに潜航」するほうが,たちが悪い。ダメージが一緒なら,早く気づけるほうが手当ても早いわけだから,不幸中の幸いだよ。「Hacked by Krad Xin」でググったときに出てくるサイトのほとんどは,気づいてないのではなかろうか。

 まぁ,「ロリポップ」では,昨年から, WAF が標準装備って謳っていたみたいだけど,あんまり役立てられていなかったようだね。徳丸さんが,「ロリポップ上のWordPressをWAFで防御する方法 」を書いているので(去年の記事を,昨日の時点でタイトル変更,追記までしている),「ロリポップ」を使っている人は,今回の手当が済んだ後は,よく読んで取り組んだほうがいいと思う。

 レンタルサーバだと,導入されていない WAF は使いようがないだろうけど, WordPress 使いとして,せめて出来ることはやっておこう。前にも書いたけど,こんなとこが参考になると思う。

  1. WordPress のセキュリティ、こんな記事は要注意
  2. WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目
  3. Re: WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目

 セキュリティ関係はナマモノとはいうものの,上げられてる10個のうちの半分は, WordPress に限る話ではない。 up-to-date とか,パスワード強度とか,ユーザの啓蒙とか。最後のものなんて管理者だったら,一番苦労するとこ。

 しかし,管理者になっている方は,レベルの違いはあれ,日々勉強と縁が切れないってことだ。お互いに,ガンバ!!

追記:
 読み直してみて, wp-config.php や .htaccess のパーミッションの話を全く書いていないのに気付いた。今どき,あの環境で 404 , 604 は当たり前だろうとか思っていたせいで,書き忘れたのかな。結局, wp-config.php については, 400 ってことになったようだ。
 LINUX に詳しくないので,この辺がよくわからないのだが,レンタルサーバで public_html 下のファイルのオーナーと サーバソフトウェアのオーナーが違う場合, 400 にしちまうと, wp-config.php をビジターが使えなくてエラーになりそうな気がするが,その辺,ロリはどうなってんのだろ。
 詳しい方がいらっしゃったら,よろしく。

 ところで,先日
Windows ファイアーウォールからのアラートを受容すると自動的にルールが構築される。しかし,これが甘々なのである。 今回の場合でも,デフォルトだと,すべての IP アドレス&ポート(それも, TCP だけでなく UDP まで)についてオープンしている状態になる。これじゃあんまりなので,”セキュリティが強化された Windows ファイアウォール” の機能を使って,もう少しきっちりと制限しておくべきだと思うのであった。
と書いた件だが,ほかのパーソナルファイアーウォールを入れずに,”セキュリティが強化された Windows ファイアウォール”を使い続けている。この件で少し詳しい記事を書きたいと思っているが,今のところ,思っているだけ。
 一言愚痴っておくと,「スコープ」の細かい設定がしにくい。どなたか,その部分にデータをインポートするいい方法をご存じないですか。

カテゴリー
everyday life

秋ですねぇ。

The same article in English

秋ですねぇ。
秋ですねぇ。
 皆さんのところは,いかがでしたか,雨? 結構大変だったところもあるようなので心苦しいのですが,うちの辺は,ありがたいお湿りという感じでした。本当に梅雨明けからこっち,雨らしい雨が降らなくて,野菜なんかも青息吐息という感じでしたので。一昨日雨が上がってから,暑さが戻ってきましたが,どことなく違いますよね。秋ですねぇ。そんなわけで,8月についてちょっとグラフを作ってみました。ご覧ください,ナンチャッテ。

 ご存知と思いますが, AMeDAS(アメダス) のデータって気象庁のホームページに行けば,過去の分からずらっと利用可能なんです。もっとも,うちの町にあるのはちょっと弱小のアメダスなんで,湿度までは記録されてません。というわけで,湿度については,一番近い市のデータを使ったんですが,まあ,なるほどって感じのグラフになりました。

何の芋虫でしょうか?
何の芋虫でしょうか?
マルマル,つやつやです。
マルマル,つやつやです。
 ところで,今日,家庭菜園で写真の芋虫を見つけたのですが,何の芋虫でしょうかねぇ?今まで見たことないやつなんですが。感じからいうと,蛾のやつっぽいんです。マルマル,ツヤツヤです。斑点は前身部分に4対あって,これはくっきりしていました。ほかに,斑点に入れるべきかどうか悩むような感じの模様もありました。大きさは, 7cm – 8cm というところ。サルビア・グアラニチカについていて,これが食草なんじゃないかと思います。
 お分かりの方いらっしゃいましたら,お教えください。m(_”_)m
 
早速の追記:
 下のコメントで,FHさんに教えていただきました。コスズメの幼虫のようです。教えていただいた参考ページにもリンクしておきます。

 FHさん,ありがとうございました。

カテゴリー
Windows

本家のお世話-#75。(PHP5.5.3へアップデート)

The same article in English

 Aug-21 17:44:24UTC に PHP5.5.3 が出た。

 ChangeLog によれば, CVE-2013-4248 へのパッチの中にあった UMR(unInitialized Memory Read) を直したとある。ふーん。

 まっ,とにかく,我が家用 (Windows7HP+SP1(x86)) として,VC11 x86 Thread Safe 版の php-5.5.3-Win32-VC11-x86.zip を落としアップデート。 VC11 がいるので,インストールがまだの場合は PHP のコンフィグの前に vcredist_x__.exe を入れておく必要がある。

 php5apache2_4.dll はオフィシャルバイナリに含まれているので,新旧のファイルを入れ替えて php.ini を放り込み, Apache をrestartするだけ。

 新規に導入する方は,必要なら「Windows7上にWamp系WebServerを建てる-#2。」を参考にしてください。

カテゴリー
Windows

本家のお世話-#74。(PHP5.5.2へアップデート)

The same article in English

 Aug-16 02:13:06UTC に PHP5.5.2 が出たので,いつもの作業。我が家用 (Windows7HP+SP1(x86)) として,VC11 x86 Thread Safe 版の php-5.5.2-Win32-VC11-x86.zip を落としアップデート。 VC11 がいるので,インストールがまだの場合は PHP のコンフィグの前に vcredist_x__.exe を入れておく必要がある。

 ChangeLog によれば, CVE-2013-4248 へのパッチも入っている模様。

 新 php.ini-production には以下の変更があった。
   ”;extension=php_zip.dll” がなくなっている。
   mssql.compatability_mode = Off —> mssql.compatibility_mode = Off に誤字訂正。

 徳丸さんによれば,「【速報】PHP-5.5.2にて大垣さんのstrict sessionsが実装されました」ということらしい。確かに,phpinfo() によれば,session.use_strict_mode = Off が入っている。ただし,Windows 版のデフォルト php.ini-production には,この行は見当たらなかった。

 php5apache2_4.dll は入っているので,新旧のファイルを入れ替えて php.ini を放り込み, Apache をrestartするだけ。

 新規に導入する方は,必要なら「Windows7上にWamp系WebServerを建てる-#2。」を参考にしてください。

カテゴリー
WordPress

覚え書-#15。

The same article in English

 Windows 上で, mo ファイルから po を作る方法。

  1. Poedit をインストールする。
  2. cmd.exe を起動する。
    >cd (Poedit bin パス)
    >msgunfmt -o (po file) (mo file)   —> Command Line Help 参照。
  3. これで, po ファイルができる。ホッ。

 以下の3つのプラグインはかなり前から開発が止まっているので,使うのをやめた。Similar Posts と Post-Plugin Library については,作者に便りをしても返事がなくなってしまったし, Picbox については,作者がはっきり開発をやめるというアナウンスをしている。

  • Similar Posts
  • Post-Plugin Library
  • Picbox

 代わりに下記の2つを使うことにした。

カテゴリー
Vulnerability

有名どころサイトの改竄について。

 今日も今日とて,デジタル記事を読んでいたら,一般紙でこんなのがあった。読売新聞です。「「見て感染」サイト急増…トヨタ・環境省も被害」というの。こういう無料バージョンの新聞記事というのは,リンクを貼っておいてもすぐ読めなくなっちゃうので,毎度ながらPDFバージョンも作っといた(「見て感染」サイト急増)。

 まあ,過去に WordPress の プラグインの作者のところで,ウイルスを仕込まれそうになったことがあるが,このときも,サーバを管理しているホスティングサービスがおおもとの問題で,かの作者はすぐにできる対策はしたが,根本的には,会社にクレームをつけているようなことを言っていた。

 サーバというものは,いろんなプログラムの集合体で,100%完全ということはありえないわけだが,それでも,開発の続いているものの場合は,日夜攻防が続いている。開発が終わっているものは,攻攻になっちゃうわけで,ここのところで,「最新バージョンを使おうね」という話になるわけだ。新しいものは,気づかれない大穴があるということもあるが,それ以上に古い既知の穴のほうが怖いよというのが,最近のスタンスと思われる。

 Apache,MySQL,PHP,Perl などもしょっちゅうアップデートされているが,私の使っていない大物としては, BIND,Parallels Plesk Panel などの話がある。 BIND については使おうかなと思ったことがあるので,ここの記事でもチラッと触れたことはあるが, Parallels Plesk Panel はまったく縁がなかったので,ここで触れたこともない。しかし,読売の記事を見て,ふっと思い出したのがこれ同PDF版)なのだ。

 Parallels Plesk Panel はコマンドを使い慣れない人には便利なものらしいから,零細なサービスとかでは, JPCERT/CC の危惧どおりいっぱいあるんじゃないかな。その上,ここが困った点なのだが,興味がないと,こういう情報にすら気づかないのが人間なんですよねー。自戒をこめて!!

カテゴリー
WordPress

本家のお世話-#73。(WordPress3.6へアップグレード)

The same article in English

 WordPress 3.6 “Oscar” の本家版が 8 月 1 日に出たので、日本語版を待っていたのだが,先ほど出た。いつもながら, the Codex for Version 3.6 を見るといろいろとてんこ盛りである。

 これまたいつものことだが,マルチサイトの親の言語のせいか日本語版のアップデート情報が表示されないので, wordpress-3.6-ja.zip をマニュアルダウンロードして,アップグレード。

 どんどんと新機能が増えているが,ちゃんと使うためには,テーマの手直しをしないといけないなあ。もとにしたテーマはあるが,いろいろ改造して,ほぼ,自作に近いから,ため息。

カテゴリー
everyday life

本家のお世話-#72。(放蕩サーバの帰還)

The same article in English

 今朝早く,自鯖を古ノートから xw4200 に戻した。 xw4200 の中に,昨日まで一生懸命, Wamp 系サーバを構築していたわけだよね。

 xw4200 は前に使っていたサーバ機で,去年の4月中旬に SCSI HDD が壊れた。 SCSI HDD がダメなんだということを発見するまでずいぶんと手を焼いたものだ。

 今のところ,やつは機嫌よく働いている。「放蕩サーバの帰還」というところかな。 (^o^)(^o^)(^o^)

【現在のサーバ構成】
 Windows7 Home Premium SP1(x86)
 httpd-2.4.6-win32-VC11.zip
 ActivePerl-5.16.3.1603-MSWin32-x86-296746.msi
 php-5.5.1-Win32-VC11-x86.zip
 mysql-5.6.12-win32.zip
 phpMyAdmin-4.0.4.2-english.zip

カテゴリー
Windows

Windows7上にWamp系WebServerを建てる-#4。

The same article in English

 承前

SSL を有効にする。

  1. cacert.pem,server.crt,server.key を Apache conf ディレクトリにコピーする。

    cacert.pem,server.crt,server.key の作り方については, 本家のお世話-#68。(WordPress SSL ログイン-#1) を参照のこと。

    Windows7 上の cmd.exe では スラッシュ(/) でも大丈夫みたいだったので, openssl.cnf のカスタマイズのときに “” にする必要はないんじゃないかと思う。また, openssl.cnf はちゃんと openssl.conf として見えるようになりました。短縮ダイヤルのアイコンのというわけのわからない表示は,過去のものとなったようですナ。

  2. Apache extra conf ディレクトリ内の httpd-ssl.conf をカスタマイズする。
    カスタマイズ方法については 本家のお世話-#68。(WordPress SSL ログイン-#1) を参照のこと。
  3. httpd.conf をカスタマイズする。
    カスタマイズ方法については 本家のお世話-#68。(WordPress SSL ログイン-#1) を参照のこと。
  4. コントロールパネル >> 管理ツール >> セキュリティが強化された Windows ファイアウォール
    受信の規則の “Apache HTTP Server” に port 443 を追加する。

    ところで, Windows ファイアーウォールからのアラートを受容すると自動的にルールが構築される。しかし,これが甘々なのである。 今回の場合でも,デフォルトだと,すべての IP アドレス&ポート(それも, TCP だけでなく UDP まで)についてオープンしている状態になる。これじゃあんまりなので,”セキュリティが強化された Windows ファイアウォール” の機能を使って,もう少しきっちりと制限しておくべきだと思うのであった。

  5. Apache をリスタートする。

 任務完了!

カテゴリー
Windows

Windows7上にWamp系WebServerを建てる-#3。

The same article in English

 承前

MySQL 5.6 のインストール

  1. mysql-5.6.12-win32.zip をダウンロードする。
  2. Zip を展開する。
  3. Drive_SV (この間サーバソフト用に作ったドライブのこと) に ディレクトリ MySQL を作る。下記のディレクトリとファイルを MySQL にインストールする。我が家の場合,はずしたものはリモートでは使わないから,余計なものはサーバに置かないというポリシーで,こうしているだけなので,展開してできたものをすべてインストールしてもかまわない。
    • ディレクトリ
        bin
        data
        include
        lib  
        share
    • ファイル
        COPYING
        my.ini  <---   my-default.ini のまま,名前を変えただけのもの。
  4. さて, my.ini をカスタマイズする。 (Creating an Option File 参照。)
        # basedir = …..  —>  basedir = Drive_SV:/MySQL   (*) backslash() ではなく slash(/)。
        # datadir = …..  —>  datadir = Drive_SV:/MyDATA
    以下の一行を追加。
        explicit_defaults_for_timestamp = true
  5. data ディレクトリ (この時点では, Drive_SV:MySQLdata となっている。) を Drive_SV: に移動し, MyDATA にリネーム。
  6. cmd.exe を管理者として起動する。
    >Drive_SV:
    >cd Drive_SV:MySQLbin
    >mysqld --console    (Starting the Server for the First Time 参照。)

    2013-07-30 08:22:26 3484 [Note] Plugin ‘FEDERATED’ is disabled.
              ・                 ・
              ・                 ・
    2013-07-30 08:22:27 3484 [Warning] No existing UUID has been found, …………
              ・                 ・
              ・                 ・
    2013-07-30 08:22:27 3484 [Note] mysqld: ready for connections.
    Version: ‘5.6.12’ socket: ” port: 3306 MySQL Community Server (GPL)

    上記以外の error や warning が出るときは, my.ini をもう一度見直す。ここで,多分 Windoes Firewall から 3303 port についての アラートが来ると思うので,しっかり確認の後,許可。

    もうひとつ cmd.exe を管理者として起動し, mysqld を止める。
    >Drive_SV:
    >cd Drive_SV:MySQLbin
    >mysqladmin -u root shutdown

  7. cmd.exe を管理者として起動する。
    >Drive_SV:
    >cd Drive_SV:MySQLbin
    >mysqld.exe --install
  8. コントロールパネル >> 管理ツール >> サービス
    MySQL を選んで開始する。
    ‘スタートアップの種類’ が ‘自動’ になっていないときは, ‘自動’ に変更しておく。
  9. Drive_SV:MySQLbin に Path を通す。

    root のパスワードを変更。

    cmd.exe を管理者として起動する。
    >mysql -u root
    >SET PASSWORD FOR root@localhost=PASSWORD(‘password’);
    > quit

    ログインできるかチェックする。
    >mysql -u root -p
    Enter password: ************
    > quit

phpMyAdmin4 のインストール。

  1. phpMyAdmin-4.0.4.2-english.zip をダウンロードする。
    Zip を展開する。
  2. ディレクトリ phpMyAdmin-4.0.4.2-english を phpMyAdmin にリネーム。
    展開ファイルの中の config.sample.inc.php を削除する。
    doc, examples, setup の 3 ディレクトリを削除する。
    使用中の config.inc.php を phpMyAdmin の中にコピーする。 (まったくの新規導入の場合は, Quick Install を参照。)

    ディレクトリ phpMyAdmin を Drive_SV に移動する。

  3. phpMyAdmin.conf を Drive_SV:Apache24confextra の中に作成する。
    phpMyAdmin.conf の内容:
         Alias /phpMyAdmin “Drive_SV:/phpMyAdmin/”

         <Directory “Drive_SV:/phpMyAdmin”>
              Options None
              AllowOverride None
              Require ip Lan IP range.
         </Directory>
         <Directory “Drive_SV:/phpMyAdmin/libraries”>
              Require all denied
         </Directory>

    httpd.conf をカスタマイズする (場所:Apache24conf)。
    Supplemental configuration 区画の最後に下記の2行を加える。
         # phpMyAdmin settings
         Include conf/extra/phpMyAdmin.conf

  4. Apache をリスタートする。
    http://xxx.xxx.xxx.xxx/phpMyAdmin にアクセスする。

         Username: root
         Password: MySQL root のパスワード

    ここで,画面の下のほうに次のような警告が出る。
         The phpMyAdmin configuration storage is not completely configured,
        some extended features have been deactivated. To find out why click here.

    phpMyAdmin configuration storage の構築を完了するために,使用中の database phpmyadmin をインポートする (まったくの新規導入の場合は, phpMyAdmin configuration storage phpMyAdmin 環境保管領域を参照)。

  5. Log out 後 log in すると,警告は消えている。
  6. root@localhost 以外のユーザは削除する。

    WordPress 用の user(WP-User) と database(WPdatabase) を作っておく。
    WP-user には, Grant 以外のすべての Global privileges を与える。 WP-user には, Grant 以外の WPdatabase privileges は与えるが, Global privileges は一切与えないこと。 collation は utf8_general_ci にする。

  7. Log out。