ほう、を日常に。評論サークルSORAです。

2015年12月22日 16時21分～51分にかけて、当ウェブサイトは、外部からの改ざん被害に遭っていたことが判明しました。

第1報でも記載いたしましたが、今回の改ざんによる、当サイトをご覧になった方に対する影響はございません。不快な犯行声明が該当時刻に当サイトトップページで表示された、という以外の影響は確認しておりません。犯行声明画面はMicrosoft Wordで作成されたHTMLファイルで、外部サイトに保存された悪魔の画像やMP3音楽ファイルをRealPlayerプラグインで演奏させようとするものでした。しかしながら、当該HTMLファイルには、不正なスクリプトや、何らかのプログラムが実行されるなどの仕掛けはありませんでした。

12月23日17時24分、サーバを運用しているエクストリム社から入りました情報をお知らせいたします。

・index.*というファイル名（拡張子は任意で、index.というファイル名）が犯行声明に改ざんされました。

・改ざん者は、CMS Joomla!の脆弱性を悪用して改ざんを行ったものと思われます。

・Joomla!の脆弱性を改ざん者が攻撃し、リモートで不正なスクリプトをサーバに送り込み、実行したものと思われます。

・当該スクリプトは、SORAのウェブサイト内では存在を確認しておりません。

今後の対策として、エクストリム社において、以下を行ったとのことです。

・不正アクセスの特徴に一致した場合の接続拒否設定

・今回攻撃に使用されたIPアドレスの遮断

SORAにおいて、以下を行いました。

・改ざんされたPHPファイルを正しいものに差し替える

・WordPressとプラグインを最新バージョンに更新（事象発生前に完了済み）

・WordPress管理者パスワード、サイトマネージャパスワード、MySQLデータベースパスワードを変更

・wp-config.phpのパーミッションを404（読み取り専用）とした

・アクセスログの取得を開始した

これ以外にもWordPressのセキュリティを強化する方法が多数ありますが、本日現在では全て対応できているとは言えません。再度攻撃されないよう、評論サークルSORAでは順次対応を行ってまいります。