MacBSの日常生活的日記

3/16の深夜、このブログのCMSの一部が改ざんされていたのを見つけました。
現在はほぼ復旧しておりますが、ページを閲覧された方々には心よりお詫び申し上げます。
また、できれば念のため、ウィルス検索などをお願いいたします。

詳細につきましては、以下に記載していきます。(必要に応じて追記予定です。)

気づいたのは3/17の21時過ぎ、iPhoneでページがうまく表示されていないのに気づいた時でした。
広告かなにかの影響で表示が崩れたのかな？と思っていたのですが、HTMLソースにそもそもコンテンツが出ていません。
そこでPHPを見てみたら、なにやら見慣れないJavaScriptが。
これをググってみて改ざんに気づいた次第です。

幸い(?)、iPhoneのほうはテーマのPHPが複雑なのもあり、そもそもエラーになっていて、このJavaScriptはHTMLに展開されていませんでしたが、通常ページのほうが問題です。
なお、改ざんされた時刻は3/16の23:44頃で、3/17の22:33には元に戻しました。
すべてのソースをgrepでチェック済みですし、サイトもSucuri SiteCheckで安全確認済みです。

改ざんされたのはテーマのPHPだけが狙われているということで、おそらくWordPress関連の脆弱性だと推測しつつ、アクセスログを見てみるとこんな記録が。

static-72-94-191-***.phlapa.fios.verizon.net – – [16/Mar/2012:23:44:07 +0900] “GET /wp-content/plugins/wp-phpmyadmin/phpmyadmin/scripts/setup.php HTTP/1.1” 200 14560 “-” “Mozilla/5.0 (Windows)”
(念のため、アクセス元の一部を伏せておきました。)

停止中だったプラグイン「WP-phpMyAdmin」の脆弱性を突いたというわけです。
他のブログでも同様の被害が出ているようで、早めに気づいておけば良かったのですが…。
停止中だったというのと、常に最新状態を保っていたので、ちょっと油断していました。
ということで、停止中のプラグインやテーマはなるべく削除し、必要最小限の状態にしました。
念のため、この状態でバックアップも取って、しばらくはこまめに監視したいと思います。

なお、付加されたコードはまだ詳細に解析できていませんが、おそらくこちらに記載のものと同じだと思われます。

複雑に難読されたコードもやってることはfile_get_contentsで攻撃コードを取りに行って出力…というものでした。

ということでしたので、Webブラウザの脆弱性に問題がなければ、最悪、ブラウザをハングさせる程度だったかと思われます。
ただ、攻撃コード次第でもありますので、大変お手数ですが、ウィルススキャンなどの実施をよろしくお願いいたします。

いつもご覧頂いている方には大変ご迷惑をおかけしました。
この場を借りまして、お詫びとさせていただきます。

Start Macの頃から仲良くしていただいている朝之丞さんが「カンタン！ブログお引越しサービス」を立ち上げられたそうで。

実は私が以前、レンタルサーバを移行した時にも当時のプロトタイプを使わせてもらったことがあって、とても便利なんですよね。
自前でレンタルサーバを借りていても画像のアップロード先を移行したりする手間が結構かかりますからね。
そのあたりもGoogle Picasaに移行してくれたりと、ブロガー視点のサービスに仕上がっています。

サービスを開始したばかりということで、まずはアメーバ、livedoor無料ブログ、ぷららBroach、そしてgoo無料ブログがターゲットとのこと。
無料のブログサービスはそもそもデータのエクスポート機能がなかったりするので、まずはそこで本領発揮というわけですね。
データベースや管理画面からデータを抜き出しのではなく、ブラウザに表示された状態をコンバートしてくれるので、パスワードなどを預けなくて良いのもうれしいです。
ただ、それだけに本人確認が必要なので、そこは事前に記事エントリをしてもらうことで本人認証するとのことです。

引越しデータはMovable Type形式で渡されるので、あとは新しいブログにインポートするだけ。
本分だけでなく、トラックバックやコメントも移行できるあたり、ブロガー視点が徹底されています。
ちょっと褒め過ぎでステマっぽいですが、今後もどんどん進化していく予定だそうですし、ブログの引っ越しをお考えの方はご検討されてみてはいかがでしょうか。

夏の間、ブログの右側に表示させておいた電力使用状況ですが、しばらく消してあったものの、冬になってまた逼迫してきたらしいので、再度復活させてみました。

[ 九州電力 ]

[ 東京電力 ]

JavaScriptで簡単に表示できるので、こうやって好きな位置に出せます。
一応、下のコードを貼っていただければ、どこでも出せますが、ブログパーツみたいな凝ったことをやってないので、見た目はシンプルなものですけどね。
FLASHやら使って電力消費が増えたら、本末転倒ですし。


[ 九州電力 ]
<script type="text/javascript" charset="utf-8" src="/kyuden.js"></script>

[ 東京電力 ]
<script type="text/javascript" charset="utf-8" src="/tepco.js"></script>


他の電力会社にも対応すれば、さらにベストなのでしょうけれど、とりあえず自分に関係あるエリアで、という、極私的なものであります。
もしよろしければ、参考程度にご利用くださいませ。

ちょっとお願いしたいこともあって、先日、V.J.Catkickさんとgomaさんのお二人にご足労いただき、プチオフしてきました。

gomaさんとは初対面だったのですが、各方面からお噂は伺っていたので、人見知りな私でも楽しくお話しさせていただきました。
最初は軽くお茶でも、といったつもりだったのですけど、なにせメンバーがメンバーですので、結局、結構なお時間までお付き合いいただくことに。
ほとんどカメラの話になったような気もしますが、まぁそれが本題だったのかもしれません。(^^;
(そういえば、写真、全然撮らなかったなぁ。)

お二人には我が家の不燃物の中から、とっておきの役立たずをお土産に。
普通の方だったら(普通でなくても!?)単なるゴミのような品にも食いついてくださるあたりは、やはりただ者ではないメンツということで。
いや、私はその中には入ってなくて、ごく平凡な普通の人なんですけれど…。

話題は色々でしたけど、なんだかカメラ収集の話が多かったなぁ。
出張で忙しいと言いつつも出物チェックはしてるじゃん、というツッコミもいただきましたし。
そんな出物ですが、今回はカメラでめぼしいものはないようです。
代わりにポータブルオーディオ系のものをゲットしてみたり。
そちらはまた戻ってからちゃんとレポートしたいと思いますが、なかなか良い感じです。

当初はウォークマンをゲットしてみるか、とか思ってたんですが、あと一歩の押しがなかったんですよねぇ。
先日、Androidな機種も出ましたし、そっちのほうが良いのかなぁと思ってしまったのもありますし。
kenwoodのMGR-A7なんてのもありましたが、あれは16bitなんですよねぇ。

ちょっと話がそれてしまいましたが、出張初日にして楽しい時間を過ごさせていただきました。
これからもおそらく本題のほうで定期的にお会いする機会がありそうですし、ぜひまたオフ会もどき(?)ができればと思っています。
お二人さま、ありがとうございました。

WordPressが3.3になっていたので、早速、このブログも更新しておきました。
今回の主な修正内容は以下のとおりだそうです。

・新メディアアップローダー（Plupload ライブラリを使用）
・インストール時とアップデート後に一度だけウェルカムスクリーンを表示
・管理画面の表示を異なるスクリーンサイズに合わせて動的に変更
・ツールバー（旧称「管理バー」）の改善
・メタデータ API の改善
・設定 API の改善
・エディタ API の改善
・コア・プラグイン・テーマに対してランゲージ・パックを実行
・パフォーマンスの向上
・ほぼすべての管理画面の CSS ファイルを統合
・ヘルプ・スクリーン設定を改善

パッと見だと、ダッシュボードの違いが結構あるようです。
ツールバーとかヘルプが強化されてるみたいですが、機能的に違和感があるほどの違いではないですね。
メディアアップローダーが統合的になっていますが、そもそもうちだと写真はフォト蔵に上げて表示させてますから、あまり影響はないかも。
パフォーマンスについてもそんなに違う印象はないですが、まずはプラグインも含めて、ちゃんと動作してくれてるようでよかったです。
業務系で利用されていらっしゃる場合はすぐに更新しないほうが良いかもですけどね。

以前からGoogle +1やFacebookのボタンを置いていましたが、ちょっとバラバラだったので、整理の意味も兼ねて、まとめて任せられるWordPressのプラグイン「WP Social Bookmarking Light」を導入してみました。

現状、うちが表示しているのは以下の通りです。

・はてなブックマーク
・Evernoteクリップ
・Twitter
・Facebook
・Google +1

この他にもLivedoorクリップやYahoo!ブックマーク、Tumblr、FriendFeed、Instapaperなどなど、たくさんのサービスに対応しています。
各ボタンの表示間隔などがちょっとラフな印象はありますが、使い方が簡単なのは良い感じです。

また気が向いたらサービスを追加・削除したり、別のプラグインにしたりするかもしれませんが、気楽にポチッとしてやってくださいませ。