今度はWordPressが踏み台に、Pingback機能を悪用しDDoS攻撃
オープンソースのCMS「WordPress」のPingback機能が、大規模な“反射型”DDoS攻撃に悪用されているとし、注意が呼び掛けられている。セキュリティ企業のSucuriが2014年3月10日に公開したブログによると、WordPressを使っている16万2000もの正規のサイトがDDoS攻撃の踏み台に悪用されているということだ。 自身もWordPressを使っているセキュリティ情報サイト、KrebsOnSecurityも、4万1000件を超えるWordPressサイトからのDDoS攻撃を受けたという。同社は攻撃に悪用されたWordPressサイトの一覧を公開しており、その中には多数の「jp」ドメインが含まれている。 この問題は、自分の投稿に対してリンクが張られたことを知らせるPingback機能を悪用したものだ。WordPressのPingback機能はXML-RPC APIを用い
改ざんされたWordPressサイトの復旧方法について - ロリポップ!レンタルサーバー
[2013/09/05 14:50 更新] 現在、ロリポップ!において、第三者からの攻撃によりお客様のWordPressサイトが改ざんされる被害が発生しております。お客様には、多大なるご心配とご迷惑をおかけしており大変申し訳ございません。 今回の攻撃によりサイトを改ざんされたお客様におかれましては、以下にご案内する手順に沿って、復旧作業を行っていただきますようお願い申し上げます。 【対象のサイト】 下記のうち一つでも当てはまる場合は、今回の攻撃でWordPressサイトが改ざんされた可能性がございます。 ・サイトタイトルに「Hacked by Krad Xin」が含まれている ・サイトのキャッチコピーが「BD GREY HAT HACKERS」になっている ・サイトが文字化けしている 【復旧方法】 ※ダッシュボードが文字化けしている場合は、更新を行うたびに、ご利用のブラウザの文字コードを「
「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
paperboy&co.のレンタルサーバサービス「ロリポップ!レンタルサーバー」への攻撃でWordPressを利用している一部ユーザーのサイトが改ざんされた問題で、同社は8月30日、原因について同社によるパーミッションの設定に不備があったことを明らかにした。被害を受けたユーザー数は当初の4802件から8428件に修正している。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。同社は「被害拡大の防止を最優先としており、本件の発表が今となりましたこと深くお詫び申し上げます」と謝罪している。 攻撃者は
「ロリポップ」でWordPress利用サイトが改ざん 「大規模攻撃」で被害4802件
paperboy&co.は8月29日、レンタルサーバサービス「ロリポップ!レンタルサーバー」で第三者から「大規模攻撃」を受け、WordPressを利用している一部ユーザーのサイトが改ざんされる被害が発生したと発表した。「多大なるご迷惑をおかけしており大変申し訳ございません」とユーザーに謝罪している。 対象となったユーザーは4802件。WordPressユーザーの管理画面からの不正アクセスにより、データの改ざんや不正ファイルの設置が行われたという。 対策として、ユーザーのサーバ領域に設置されているWordPressの設定情報ファイル「wp-config.php」のパーミッションを「400」(管理者のみ読み取り可)に変更。全ファイルにウイルススキャンを行い、不正なファイルを検知した場合はパーミッションを「000」(使用不可)に変更する。 関連記事 「@PAGES」でユーザー情報流出 2月までに
【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます|More Access! More Fun
さきほどWordPressフォーラム見てましたら、ぞっとするようなトピが立ちました。 サイト改ざん? http://ja.forums.wordpress.org/topic/24503 サイトが急に文字化けになり、困っております;; Hacked by Krad Xinと黒の上部ツールバーにあり、サイトが改ざんされてしまったのでしょうか? ハッカーの声明リストを見ると、日本のサーバで乗っ取った宣言のがずらり これはほんの一部です。おそらく数千、数万の被害が。 ※追記 DN乗っ取りでなければ数百〜千単位で済むかもしれないですが・・ただ攻撃は28日深夜から29日朝にかけても続き、被害は増大しています。 8/29 11時のリリースだと4802件だそうです。 くれぐれもリストにあるところは見に行かないように・・・感染してしまう可能性があります!! でもってドメインを検索して見ると、ほとんどがロリ
ヤバイWordPressテーマを見分けるための方法 | Firegoby
前回、”free wordpress themes”って検索してテーマを探すと超ヤバイよ という記事を書きました。 お陰様でとても拡散したんですが、危険なテーマを見わけるための検証方法を伏せたのが裏目でちょっとあれだったので、それについて解説します。 Theme Authenticity Checker (TAC) によるチェック WordPress › Theme Authenticity Checker (TAC) « WordPress Plugins 結論から言いますが、このプラグインによるチェックでは不完全でした。 実際に “free wordpress themes” で Google 検索して出てくる1つ目(苦笑)の ”http://www.themesbase.com/” というサイトのテーマで検証してみましょう。 今回は、このサイトの一つ目で紹介されている Pioneer
Wordpressサイト改ざん.htaccessリダイレクトアタック被害の応急処置方法〜ヘテムル利用者で被害拡大 | セキュリティソフト30日無料比較
先日の記事CMSを使ったWEBサイトを狙う.htaccessリダイレクトアタックというwebサイト改ざん被害が後を絶たず、レンタルサーバーへテムル利用者の多くの方からお問い合わせをいただいたため、ここに一応の応急処置を書き記します。 あくまでもこれはウイルス配布サイトへのリダイレクトを一時的に阻止するだけの応急処置です。 ※正確な原因は不明です。以下の処方は、あくまでも鎮痛剤のような一時的な対処にすぎません。 ※2011年11月25日各所記事訂正 当初phpmyadminが原因と判断していましたが、wordpressのプラグインの脆弱性を狙った不正な攻撃と判断し各所訂正を行いました。hetemlのデータベースサーバーは公開サーバーとは別になっているためphpmyadmin経由でのリスクは可能性としては限りなく少ないものです。 つまり利用するサーバーの問題ではなくCMSに追加したプラグインに
Twitter API を使ったブログ投稿&購読
Tweetie のような Twitter アプリで WordPress.com のブログに登録したり、他の人のブログを読んだりできたらいいですよね。そこで、ちょっと早めのクリスマスプレゼントです。Twitter API を使った読み書きが可能になりました。 先日、僕は自分のブログで 「マイクロブログ」と「メガブログ」について触れ、「マイクロブログを含む新しい種類のソーシャルメディアは、通常のブログと補完的な関係にある」という考えを読者の皆さんと共有しました。Twitter が使われ始めるようになって以来 WordPress.com も引き続いて成長を続けており、今後もこれは継続するものと考えています。 もちろん、今 Twitter に関して一番すごいのは、クライアントアプリです。特に、iPhone をはじめとするモバイルアプリは非常に充実しています。僕自身も、iPhone 上で Tweet
お世話になりましたtDiary/WordPressに移行する理由 | blog.yuco.net
私は2002年からtDiaryというブログツールを利用してブログを書いてきました(diary.yuco.net)が、このたびWordPressに移行することにしました。 私がtDiaryを使い始めた当時は、ブログという言葉よりも日本では「Web日記」という言葉が定着していたとおり、日付単位で日記を書くのが一般的でした。tDiaryではpermalinkのURLは年月日をあらわす8桁の数字です。1日の中に複数のトピックで日記を書くことはできますが、1ページの中に複数の日記を書く形になります。コメントやトラックバックは、トピック単位ではなく日単位でつきます。 ちなみに、tDiaryを参考にして作られたはてなダイアリーも、当初は日付単位でしかコメントをつけられませんでしたが、その後、記事単位でのコメントも可能になり、現在は日付単位と記事単位でのpermalink、コメントが可能となっており、混乱
MOONGIFT: » [重要なお知らせ] MOONGIFTにてウィルスが感知されました:オープンソースを毎日紹介
いつもMOONGIFTをご覧いただきありがとうございます。 本日、読者の方からのご指摘により判明したのですが、jWorkSheetという記事中において、ウィルスが検知されました。検知されたウィルスは以下のものです。大変申し訳ございません。 JS_PSYME.XP - 概 要 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS%5FPSYME%2EXP&VSect=P 感染経路については、確定ではありませんがWordPressのXML-RPCのバグ(最新版では解決済みと思われます)をついたものと思われます。 参考リンク WordPress › Support » Weird wp-stats.php Loading http://wordpress.org/support/topic/147330 This
![MOONGIFT: » [重要なお知らせ] MOONGIFTにてウィルスが感知されました:オープンソースを毎日紹介](https://cdn-ak-scissors.b.st-hatena.com/image/square/5b77db804c69b51b3167dd1e1ade43bf4e33b573/height=288;version=1;width=512/https%3A%2F%2Fmoongift-assets.s3.amazonaws.com%2Fassets%2Fnone-c3f80f5acd8206a735bb12db1e77cb6d.png)
http://www.witha.jp/blog/archives/2007/09/atom_wordpress.html
See related links to what you are looking for.
ウェブに詳しいティーン世代がアドセンスで一儲け at ブログヘラルド
8月 6日 at 4:45 pm by アンディ メレット - ウェブに詳しい15歳の女子学生、クロエ・スペンサーは、自分の趣味と興味を活用し、ブロゴスフィアで成功を収めている。 ジャーナリストの父のスパルタ教育のおかげで成功したのかもしれないが、それにしても素晴らしい。私もクロエのような10代を過ごしたかったものだ。 どうやらクロエは自分のブログ、「Ultimate Neopets Cheats Site(ウルティメット・ネオペッツ・チーツ・サイト)」でAdSense(アドセンス)から少なく見積もっても1日30ドルもの収益を得ているようだ。さらにディスカッションフォーラムを作ってサイトを拡大し、その他のニッチなテーマのエリアにも進出する機会を窺っているらしい。 皆さんのブログの成功度(経済的な意味で)によっては、彼女の稼ぎはそれほど驚くべき数字ではないかもしれないが、ティーンエイジャーに
Google Apps for WordPress bloggers
Built in the cloud. Engineered for your enterprise.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GMOグループのクラックわっしょい祭、永江一石氏「クラックされてるよ」→熊谷社長「されてないWPが悪い」→石森大貴氏「侵入経路分かったWP関係ない」 : 市況かぶ全力2階建
WordPress利用サイトへの改ざん攻撃の増加を確認(日本IBM) | ScanNetSecurity
http://wordpress.rauru-block.org/index.php/1846
Twitpress
TechCrunch Japanese アーカイブ » ソーシャルサイト・ランキング(2007年10月)
[V]: 今後のブログ運営方針
YAPC::Asia 2007 Tokyo 1日目の感想 | fjkktkys blog