【チカッパ】ロリポップ (lolipop)41【プラン追加】

1 ：2013/08/30 〜 最終レス ：2013/09/25

会員数94万人を突破した初期費用1,575円
ナウでヤングなレンタルサーバー【ロリポップ】について語るスレです。
鯖落ち・鯖重の報告や(鯖番号は記入してください)、不満の吐き出しもどうぞ。
荒らし・煽りはｽﾙｰし、sage進行で。
（※sage進行とは、E-mail欄に半角でsageと入れてスレをあげないことです）
■ロリポップ
http://lolipop.jp/
■ボランティア
ナウでヤングなサポートページLOLIPOKING!
http://lolipoking.lolipop.jp/
■前スレ
【チカッパ】ロリポップ (lolipop)40【プラン追加】
http://toro.2ch.net/test/read.cgi/hosting/1308249875/
関連スレ・過去ログ・鯖チェックは >>2-6 付近を参照。

2 ：

http://lolipop.jp/info/news/4149/

3 ：

どう実装するか考えなきゃいけないレベルの話なのに、何か社長のtwitterで何かぶれとるｗｗ
ていうか、共用サーバー使ってる人は同じことできないか調べた方がいいと思うけど、こういうのってやったら法律に違反するの？
もし、同じことできたら自分も同じ事やられるんよね。

4 ：

複数アカウントを連続して契約したら運よく誰からも訴えられない形でテスト環境つくれるのかな？

5 ：

WordPress解決方法が分からない人はリンク先を参照
http://ja.forums.wordpress.org/topic/24503
でも、クラッキングされた方法がわかっていないので、またやられちゃうかもしれません。

6 ：

チカッパつかってて
いつの間にかにロリポップにもどされてたんだな
サーバーとか変更あるの？
その辺の偏向まとまってるサイトってある？

7 ：

チカッパスレ見た限りではWeb鯖のみ引っ越してDB鯖は流用っぽい

8 ：

>>7
そうなのか・・・
だから変化にきづかなかったわけだ
ありがとう

9 ：

玄関に三重のロックをかけていたのに
壁に穴あいてて、隣人が勝手にに入ってきちゃいました
みたいな感じかね

10 ：

こっちか？>>1おつ

11 ：

>>1乙！
前スレ>>959
俺も引っ越し考えてないけど、したい理由を上げるならGMOの社長が・・・
早く収束の方向へ向かって欲しいね

12 ：

新スレここでいいの？

13 ：

1日遅れて、熊谷社長叩きがはじまったな

14 ：

さくらやアマゾンに移転する人多いのかな？

15 ：

月500円程度の利用者が移転しまくるとは到底思えんなw
移動するとしても5%位だと思う
それ以上に熊谷社長のイメージ悪化が痛いかもね

16 ：

簡単に設置するのがダメだったんだろ
穴だらけのシステム
自分で設置する人ならパスワードを複雑にしたりノーマルのadminを変えるとかセキュリティに気を使うから

17 ：

https://twitter.com/isidai/status/373329857003790336/photo/1
これとるためには、symlinkだけじゃだめだよね

18 ：

独自ドメインと使っていないやつは移転しようがない

19 ：

>>17
ln -s /home/sites/lolipop.jp/users . でいいだろ

20 ：

今時サブドメインのためにロックインされるのも恥ずかしいわｗ

21 ：

脆弱性のあるプラグインとテーマはなんだったんだ？

22 ：

簡単インストールは現在ご利用いただけません。
やっぱこれが原因だろ

23 ：

WPとEC-CUBE両方使ってて、EC-CUBEだけ今朝から５００エラー。
どーしたらいーのーーーー

24 ：

結局
http://lolipop.jp/info/news/4149/
＞2013/08/29 22:40 時点でのご報告において、
＞改ざん手法を「WordPressのプラグインやテーマの脆弱性を利用」として説明を行っておりましたが、
＞その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが
＞原因であることを確認しております。
＞本件の改ざんは、WordPressの設定ファイルであるwp-config.phpからデータベース接続に
＞必要な情報を抜き出して情報を書き換えられたもので、それ以外のデータに影響はございません。
＞先般お知らせしておりました、データベースのパスワード変更はこちらに関連するものです。
＞重ねてご報告いたします。
こういった報告になったわけだけど
それを踏まえて、その発表前までにとっていた対策対応は正しかったの？
(クマポンの言動の話じゃなくてロリポの対応の話な)

25 ：

安かろう、悪かろう。
タダほど高いものはない。
ほとんどダンピング価格でも客を吊る。
一番ほしいのは個人と企業情報でそれを集めることができる？
GMOグループ全体のビジネス感覚が半島的なんだよなー。

26 ：

DBパスワード変更がめんどくさかった

27 ：

仕事用、実名個人用の本サーバーは別で
ここは倉庫、アフィリ専用のクズサイト置き場
月に数百円なんだからおおかたそんな使い方でしょ？

28 ：

お前はそうなんだろうな

29 ：

コロリポとロリポは同じ鯖に入ってるのかな？

30 ：

解決。
データベースのパス変わってたのね。
EC-CUBE
data/config/config.php
のパス変えれば解決しました。
まじで焦るわ

31 ：

ホントに移転するかどうかは別として
試用期間のあるサーバをかりて移転の練習してみるのもいいぞ
バックアップしてあったから実害は無かったが
バックアップって本当に有効なのか試せたのはいい経験になった
さらばロリポップ

32 ：

クラックされてるの指摘してくれた人に社長ブチギレとかバカ丸出しでござる
それがなきゃまだ信用も落ちなかっただろうに

33 ：

警告してきた人には恫喝
自分にゴマすってくる奴はリツィート
社長かっけー
29日以降、つぶやいてませんがね（笑）
この人の辞書には謝るという文字は無さそう

34 ：

辞任がふさわしい。

35 ：

ダイヤルQ2とか最近だとFXとか合法裏稼業で
のし上がってきた人間だからな
もう一生遊んで暮らせる額は稼いでるし
こういう人って、何が目標で生きてるんだろうね
やっぱり権力欲なのかな?

36 ：

>>35
その辺は今後のワタミや孫や三木谷や堀江を見てれば分かるんじゃね

37 ：

昭和の高度成長期時代の成り上がりもそんなもんじゃ
ヤクザと酒を酌み交わし、パワハラ、セクハラ当たり前の
朝鮮や中国では今でもそうみたいだけど

38 ：

メールでトンできた
WP使ってるけど一応データは生きてるんだが
何を抜かれたんだ？

39 ：

DBのパスワード変更したんだけど、反映されるまでやたら時間かかるな。
新しいパスワードで接続できるようになるまで時間がかかりすぎ・・・

40 ：

まぁその分値段安いんだし、文句言うのは筋違いなんじゃないのかな

41 ：

何も内容が無いWordpressサイトを置いてたけど
同じIPからlogin.phpを何十回も叩かれてた

42 ：

問題はそう簡単じゃなくて、同じサーバの誰かがパスワードを突破されると、
他のユーザーも突破されてしまうところなんだよなー。
WordPress使ってる共用サーバってみんなこんななの？

43 ：

アクセスログみると*.trendmicro.comが沢山あったけどウイルススキャンのせいかな

44 ：

vb入れてブラウザで見ると怪しいサイトじゃ無いかチェックしに来る

45 ：

>43
トレンドマイクロの奴は迷惑botだな
フィッシング対策機能の一つとしてブラウザの履歴やブクマからURLを叩いて白黒判定してる。

46 ：

http://kohada.2ch.net/test/read.cgi/pcnews/1377980797/
さらりと怖いことが書いてあるように思うんだが実際どうなんだろ

47 ：

そのレスがあいまいで、telnetもどきっていうのも良く分からんけど
phpのexecでサーバのコマンドを実行できて、自分のディレクトリ以外も見れるかっていう意味なら
そんなもんphpの設定一行で回避余裕やで

48 ：

>>47
詳しく

49 ：

>>49
テキストボックスに入力した内容を、「php コマンド 実行」でぐぐって出てきた方法で実行して、結果を表示すればよい

50 ：

4 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2013/09/02(月) 00:04:07.24 ID:???
>>3
続きは？

5 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2013/09/02(月) 00:05:37.72 ID:???
>>3
http://php.net/manual/ja/function.exec.php
> 注意: セーフモード が有効な場合、 safe_mode_exec_dirの中にある
> 実行プログラムのみ実行可能です。 実際的な理由により、現在、実行プログラムへのパスに ..を 含めることはできません。
もしかしてこれかねぇ。
でもセーフモードはPHP5.4で削除されてるし。

6 名前：名無しさん＠お腹いっぱい。[] 投稿日：2013/09/02(月) 00:06:06.10 ID:DLs+yEST
49 名無しさん＠お腹いっぱい。 sage 2013/09/01(日) 23:55:06.81 0
>>49
テキストボックスに入力した内容を、「php コマンド 実行」でぐぐって出てきた方法で実行して、結果を表示すればよい

51 ：

つまりは、共有サーバーでセキュアにするには、
セーフモードONかCGIモードで動かす必要がある。
PHP5.4以降ではCGIモードしか
選択肢がない。
これを満たしていない共有サーバーは危険
という話か。
セーフモードONだと動かないアプリもあって
昔はセーフモードOFFかつモジュールとして
動いていたことが多かった気がするけど。

52 ：

そもそもロリポのPHPはCGI版だろ

53 ：

別にロリポップの話に限らないでしょ？
各共有サーバーはどうなってるのかな？
ちゃんとしてるのかな？
契約しないとわからないよね。
こんなの共有サーバーを借りようとするような
人にはわからないだろうし。

54 ：

こわいなぁ。
これ大丈夫なの？
http://www.alpha-prm.jp/faq/web/
PHPセーフモードは有効になっていますか？
A PHPセーフモードは無効（OFF）になっています。
http://www.alpha-prm.jp/support/server_info/pg/php.html
PHP
お客様自身でご用意されたPHPのプログラムをご利用できます。
5.3.3 / 5.1.6
※モジュール版でのご提供となります。CGI版は、ご利用いただけません。

55 ：

PHPinfoの設定をみれば解るだろ

56 ：

そのサーバがどういうやり方をしてるかは知らないが
セーフモード以外にも権限の設定など共有鯖でモジュール版PHPを動かす方法なら何個かやり様がある
実際に脆弱性を発見したなら直接教えてあげれば喜ばれるだろう

57 ：

phpの設定一行で回避余裕っていうなら
その一行書けばいいのに。
そんなごちゃごちゃ言い訳なんかせずにさ。

58 ：

それ書いたの俺じゃないぞ
本気で心配してると思ったから問題ないって教えてあげたんだが
そうじゃなかったようだな

59 ：

>>56
だから指摘するには借りないといけないじゃん。
そこまで面倒なことしないよ。

だから共有サーバーって恐ろしいものだね
って話になる。

60 ：

>>58
何を根拠に問題ないって言ってるのかわからん。
現にロリポップは問題起こしたし。
もし事件が起きなかったとして、
君はロリポップに問題あるって言えた？
君が問題無いといった所で、
信用はできないんだよ。

61 ：

バカッターでクマポンの発言が話題になっているけど、
ペパボの社長の発言がないなと思っていたらここにあった。
logpi.jp/kentarow

62 ：

そういう使われたら困る関数を使えなくできるって意味で書いただけだけど、何か悪いこと書いたかな。。

63 ：

結局個人では具体的にどういう対策とればいいの？

64 ：

なんかみんな大袈裟に騒いでいるけどさあ。
何十万というユーザーのうち、被害にあっているのはほんの数パーセントなんだよね…
そんな大規模って言うほどの障害じゃない。

65 ：

ちょうど9月で契約切れるからさくらに引っ越すわ

66 ：

8月に更新したばっかだよ…

67 ：

結局テーマやプラグインの脆弱性はなんだよ？

68 ：

なんかgdgd感が凄いな
さくら使いだったけど容量足りなくなりそうで、
ロリポはプラン変更時もID変更なしっていうから引越ししたんだが、
直後にさくらが容量拡大してワロタわ
ずっと、あの時もうちょっと様子見すればよかったなーと思ってる

69 ：

>>64
ステマご苦労さまですm(_ _)m

70 ：

phpの実行ユーザーがユーザーなのか、
apacheがchroot化してるかチェックした方がいいかもね。

71 ：

LOLIPOP-Fsecureって、迷惑メールのブラックリストはどこを参照してるの？
支那の鯖から迷惑メールが届くようになってきたから大元のブラックリストに
迷惑メールを送りつけてくる鯖を登録申請してやろうかと思うんだけど・・・

72 ：

なんか最近メールがすごい頻繁にくんだけど
パーミッション変えたとかどうのこうの
てゆうか、ユーザー鯖詳しいやつなんかあんまりいないだろ
良くわかんないトーシロにこんなメール連投しても
混乱すんだけだぞ？

73 ：

改ざんさせられたかどうかわからんが、されたやつってどうなってんの？

74 ：

メンテ中は500エラーで返すんじゃなくて
メンテナンス中の文字に置き換えてほしいもんだな

75 ：

また500エラーで表示されなくなった何やってんだよ糞ポップ・・・

76 ：

さっさとしろよ糞ポップ

77 ：

おまえら105円しか払ってないのに文句は1万円分くらい言うのなw

78 ：

>>77
当たり前だ。
105円でいい。105円で仕事してやる
って言ったのはロリポップだ。

79 ：

105円ってどこの鯖会社の話してんの？

80 ：

初期の頃に出ていた技術的な解説ttp://twitter.com/kunihirotanaka/status/373426947436457985
ttp://wp.kaz.bz/tech/2013/08/31/1755.html
に、さらにわかりやすい補足解説を加えたまとめが出てる
ttp://blog.tokumaru.org/2013/09/symlink-attack.html
シンボリックリンクに対するapacheの挙動がどうなっているのか
レンタルサーバ利用者はみんな設定を確認しておいた方がいいね

81 ：

騒いでるのはこのスレのロリポプランの奴らばかりｗ
チカッパとかのすれは比較的落ち着いてるぞ？ｗ

82 ：

105円だっけ？
さくらより安いんだね。

83 ：

525円のプラン如きでギャーギャー喚くなや紳士共

84 ：

月数百円で運営してるといっても、こっちはウン万円の損失なんだが・・
そりゃ騒ぐだろ

85 ：

ウン万円も稼いでるなら、もっといいサーバ使えよｗ

86 ：

熊谷はき弱性指摘した人脅しておいて言うことないの？

87 ：

ないよ
取締役が一個人に謝るとか有り得ないし

88 ：

沈黙してるのが笑える
プライド捨てるか捨てないかのジレンマで悩んでるんだろうなｗ

89 ：

ふむ

90 ：

ほとぼり冷めた（と思った）ら再開するんじゃないの？

91 ：

でも、なんかこの事態に対して責任はとってほしいよな
値段が安い鯖といってもスミマセンで済むものとは違うきするわ

92 ：

GMO社員の世永玲生（よながれお）さん、匿名で酷いネトウヨ活動をしてたことがバレ全方位土下座
http://engawa.2ch.net/test/read.cgi/poverty/1378174548/

93 ：

DBパスワード変えたんで、wordpressのコンフィグも直したんだが
まだ、接続エラーになる。なんでだ？
運営のメンテとかぶったかな。

94 ：

>>82
105円プランはDBついてないから今回の件とはあんまり関係ない

95 ：

>まだ、接続エラーになる。なんでだ?
アカウントに権限がないんじゃね？

96 ：

>>95
あー、そこのチェックしてないや。
確認して見る。

97 ：

KDDIのとこのレンタルサーバも同日やられたらしい
【重要なお知らせ】WordPressの不正アクセスの注意喚起（KDDIウェブコミュニケーションズ）
http://www.cpi.ad.jp/news/info/20130829.html

98 ：

>>80に引き続き
さくらの社長からも手口と対策の詳しい解説が出た
共用サーバにおけるSymlink Attacksによる攻撃とその対策について - さくらインターネット創業日記
ttp://tanaka.sakura.ad.jp/2013/09/symlink-attack.html
＞ところで、この騒ぎの中で「共用サーバは危ない」「AWSやさくらのVPSへ移行しよう」
＞という意見を見受けますが、これは多くのケースにおいては間違った対応です。
＞共用サーバを提供する多くの事業者においては、知られた脆弱性に対して
＞迅速に対応されていますし、逆にセキュリティ対策ができない状況でAWSやVPSのような
＞素のサーバを使うことは非常に危険です。
＞しっかりとサーバ管理の出来るケースに限って、AWSやVPSなどを活用すべきだと思います。

99 ：

今日、ロリポップ以外の無料のところをいくつか借りてみたら、symlinkではないけど危ない所いくつかあった。
だから、あんまこういうアナウンス信用せずに確認した方がいいと思う

100read 1read

1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

【2GB】heteml【ヘテムル】 (760)
【TOK2系】SiteMix【だめですなぁ】 (699)
☆☆祭り☆☆1r.netを訴えよう！！☆☆祭り☆☆ (361)
【無料鯖】wkey.me ★6【広告なし】 (772)
さくらインターネット VPS　コントロールパネル (183)
【GMO】お名前.comはここで語れ　その7 (404)
--log9.info------------------
ブラックライト (256)
おまいら、手笛しよ〜ＺＥ！ (799)
小型風力発電機を何となく語る (147)
筋肉トレーニングが趣味の人 (752)
ガスマスクの魅力 (111)
【はみがき】歯磨きが趣味【ﾊﾐｶﾞｷ】 (501)
★★　ジオキャッシング Part2　★★ (439)
どうしてますか？エロ本エロビデオの管理 (335)
じ炊へんかんが趣味な人 (775)
沖縄三線 (185)
かっこいい趣味ってなんだと思う？ (501)
指笛の吹き方を教えてください　part2 (860)
【ﾂﾁﾌﾏｽﾞ】足をつらせるのにはまった【ﾌｸﾗﾊｷﾞ】 (593)
【千両箱】埋蔵金発掘が趣味の人【３箱目】 (937)
街路灯・外灯・道路照明等 水銀灯・ﾅﾄﾘｳﾑﾗﾝﾌﾟ (386)
ちょっとした会話でしりとりしようぜ (278)
--log55.com------------------
悪質商法、転売ヤーについて語るスレ2
リル フェアリー〜ちいさなお手伝いさん〜 その13
【DD初音ミク】ボーカロイドDDスレ36【ﾘﾝﾚﾝﾙｶ】
ドルフィードリーム557
ぷちぱーティ　Part2
【Poser】着せ替え人形ソフト【3DCGドール】
ミニドルフィードリーム12
おい、ﾘﾗｯｸﾏって可愛くないか? 53匹目