ナウでヤングなレンタルサーバー【ロリポップ】について語るスレです。
鯖落ち・鯖重の報告や(鯖番号は記入してください)、不満の吐き出しもどうぞ。
荒らし・煽りはスルーし、sage進行で。
(※sage進行とは、E-mail欄に半角でsageと入れてスレをあげないことです)
■ロリポップ
http://lolipop.jp/
■ボランティア
ナウでヤングなサポートページLOLIPOKING!
http://lolipoking.lolipop.jp/
■前スレ
【チカッパ】ロリポップ (lolipop)40【プラン追加】
http://toro.2ch.net/test/read.cgi/hosting/1308249875/
関連スレ・過去ログ・鯖チェックは >>2-6 付近を参照。
ていうか、共用サーバー使ってる人は同じことできないか調べた方がいいと思うけど、こういうのってやったら法律に違反するの?
もし、同じことできたら自分も同じ事やられるんよね。
http://ja.forums.wordpress.org/topic/24503
でも、クラッキングされた方法がわかっていないので、またやられちゃうかもしれません。
いつの間にかにロリポップにもどされてたんだな
サーバーとか変更あるの?
その辺の偏向まとまってるサイトってある?
そうなのか・・・
だから変化にきづかなかったわけだ
ありがとう
壁に穴あいてて、隣人が勝手にに入ってきちゃいました
みたいな感じかね
前スレ>>959
俺も引っ越し考えてないけど、したい理由を上げるならGMOの社長が・・・
早く収束の方向へ向かって欲しいね
移動するとしても5%位だと思う
それ以上に熊谷社長のイメージ悪化が痛いかもね
穴だらけのシステム
自分で設置する人ならパスワードを複雑にしたりノーマルのadminを変えるとかセキュリティに気を使うから
これとるためには、symlinkだけじゃだめだよね
ln -s /home/sites/lolipop.jp/users . でいいだろ
やっぱこれが原因だろ
どーしたらいーのーーーー
http://lolipop.jp/info/news/4149/
>2013/08/29 22:40 時点でのご報告において、
>改ざん手法を「WordPressのプラグインやテーマの脆弱性を利用」として説明を行っておりましたが、
>その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが
>原因であることを確認しております。
>本件の改ざんは、WordPressの設定ファイルであるwp-config.phpからデータベース接続に
>必要な情報を抜き出して情報を書き換えられたもので、それ以外のデータに影響はございません。
>先般お知らせしておりました、データベースのパスワード変更はこちらに関連するものです。
>重ねてご報告いたします。
こういった報告になったわけだけど
それを踏まえて、その発表前までにとっていた対策対応は正しかったの?
(クマポンの言動の話じゃなくてロリポの対応の話な)
タダほど高いものはない。
ほとんどダンピング価格でも客を吊る。
一番ほしいのは個人と企業情報でそれを集めることができる?
GMOグループ全体のビジネス感覚が半島的なんだよなー。
ここは倉庫、アフィリ専用のクズサイト置き場
月に数百円なんだからおおかたそんな使い方でしょ?
データベースのパス変わってたのね。
EC-CUBE
data/config/config.php
のパス変えれば解決しました。
まじで焦るわ
試用期間のあるサーバをかりて移転の練習してみるのもいいぞ
バックアップしてあったから実害は無かったが
バックアップって本当に有効なのか試せたのはいい経験になった
さらばロリポップ
それがなきゃまだ信用も落ちなかっただろうに
自分にゴマすってくる奴はリツィート
社長かっけー
29日以降、つぶやいてませんがね(笑)
この人の辞書には謝るという文字は無さそう
のし上がってきた人間だからな
もう一生遊んで暮らせる額は稼いでるし
こういう人って、何が目標で生きてるんだろうね
やっぱり権力欲なのかな?
その辺は今後のワタミや孫や三木谷や堀江を見てれば分かるんじゃね
ヤクザと酒を酌み交わし、パワハラ、セクハラ当たり前の
朝鮮や中国では今でもそうみたいだけど
WP使ってるけど一応データは生きてるんだが
何を抜かれたんだ?
新しいパスワードで接続できるようになるまで時間がかかりすぎ・・・
同じIPからlogin.phpを何十回も叩かれてた
他のユーザーも突破されてしまうところなんだよなー。
WordPress使ってる共用サーバってみんなこんななの?
トレンドマイクロの奴は迷惑botだな
フィッシング対策機能の一つとしてブラウザの履歴やブクマからURLを叩いて白黒判定してる。
さらりと怖いことが書いてあるように思うんだが実際どうなんだろ
phpのexecでサーバのコマンドを実行できて、自分のディレクトリ以外も見れるかっていう意味なら
そんなもんphpの設定一行で回避余裕やで
詳しく
テキストボックスに入力した内容を、「php コマンド 実行」でぐぐって出てきた方法で実行して、結果を表示すればよい
>>3
続きは?
5 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2013/09/02(月) 00:05:37.72 ID:???
>>3
http://php.net/manual/ja/function.exec.php
> 注意: セーフモード が有効な場合、 safe_mode_exec_dirの中にある
> 実行プログラムのみ実行可能です。 実際的な理由により、現在、実行プログラムへのパスに ..を 含めることはできません。
もしかしてこれかねぇ。
でもセーフモードはPHP5.4で削除されてるし。
6 名前:名無しさん@お腹いっぱい。[] 投稿日:2013/09/02(月) 00:06:06.10 ID:DLs+yEST
49 名無しさん@お腹いっぱい。 sage 2013/09/01(日) 23:55:06.81 0
>>49
テキストボックスに入力した内容を、「php コマンド 実行」でぐぐって出てきた方法で実行して、結果を表示すればよい
セーフモードONかCGIモードで動かす必要がある。
PHP5.4以降ではCGIモードしか
選択肢がない。
これを満たしていない共有サーバーは危険
という話か。
セーフモードONだと動かないアプリもあって
昔はセーフモードOFFかつモジュールとして
動いていたことが多かった気がするけど。
各共有サーバーはどうなってるのかな?
ちゃんとしてるのかな?
契約しないとわからないよね。
こんなの共有サーバーを借りようとするような
人にはわからないだろうし。
これ大丈夫なの?
http://www.alpha-prm.jp/faq/web/
PHPセーフモードは有効になっていますか?
A PHPセーフモードは無効(OFF)になっています。
http://www.alpha-prm.jp/support/server_info/pg/php.html
PHP
お客様自身でご用意されたPHPのプログラムをご利用できます。
5.3.3 / 5.1.6
※モジュール版でのご提供となります。CGI版は、ご利用いただけません。
セーフモード以外にも権限の設定など共有鯖でモジュール版PHPを動かす方法なら何個かやり様がある
実際に脆弱性を発見したなら直接教えてあげれば喜ばれるだろう
その一行書けばいいのに。
そんなごちゃごちゃ言い訳なんかせずにさ。
本気で心配してると思ったから問題ないって教えてあげたんだが
そうじゃなかったようだな
だから指摘するには借りないといけないじゃん。
そこまで面倒なことしないよ。
だから共有サーバーって恐ろしいものだね
って話になる。
何を根拠に問題ないって言ってるのかわからん。
現にロリポップは問題起こしたし。
もし事件が起きなかったとして、
君はロリポップに問題あるって言えた?
君が問題無いといった所で、
信用はできないんだよ。
ペパボの社長の発言がないなと思っていたらここにあった。
logpi.jp/kentarow
何十万というユーザーのうち、被害にあっているのはほんの数パーセントなんだよね…
そんな大規模って言うほどの障害じゃない。
さくら使いだったけど容量足りなくなりそうで、
ロリポはプラン変更時もID変更なしっていうから引越ししたんだが、
直後にさくらが容量拡大してワロタわ
ずっと、あの時もうちょっと様子見すればよかったなーと思ってる
ステマご苦労さまですm(_ _)m
apacheがchroot化してるかチェックした方がいいかもね。
支那の鯖から迷惑メールが届くようになってきたから大元のブラックリストに
迷惑メールを送りつけてくる鯖を登録申請してやろうかと思うんだけど・・・
パーミッション変えたとかどうのこうの
てゆうか、ユーザー鯖詳しいやつなんかあんまりいないだろ
良くわかんないトーシロにこんなメール連投しても
混乱すんだけだぞ?
メンテナンス中の文字に置き換えてほしいもんだな
当たり前だ。
105円でいい。105円で仕事してやる
って言ったのはロリポップだ。
ttp://wp.kaz.bz/tech/2013/08/31/1755.html
に、さらにわかりやすい補足解説を加えたまとめが出てる
ttp://blog.tokumaru.org/2013/09/symlink-attack.html
シンボリックリンクに対するapacheの挙動がどうなっているのか
レンタルサーバ利用者はみんな設定を確認しておいた方がいいね
チカッパとかのすれは比較的落ち着いてるぞ?w
さくらより安いんだね。
そりゃ騒ぐだろ
取締役が一個人に謝るとか有り得ないし
プライド捨てるか捨てないかのジレンマで悩んでるんだろうなw
値段が安い鯖といってもスミマセンで済むものとは違うきするわ
http://engawa.2ch.net/test/read.cgi/poverty/1378174548/
まだ、接続エラーになる。なんでだ?
運営のメンテとかぶったかな。
105円プランはDBついてないから今回の件とはあんまり関係ない
アカウントに権限がないんじゃね?
あー、そこのチェックしてないや。
確認して見る。
【重要なお知らせ】WordPressの不正アクセスの注意喚起(KDDIウェブコミュニケーションズ)
http://www.cpi.ad.jp/news/info/20130829.html
さくらの社長からも手口と対策の詳しい解説が出た
共用サーバにおけるSymlink Attacksによる攻撃とその対策について - さくらインターネット創業日記
ttp://tanaka.sakura.ad.jp/2013/09/symlink-attack.html
>ところで、この騒ぎの中で「共用サーバは危ない」「AWSやさくらのVPSへ移行しよう」
>という意見を見受けますが、これは多くのケースにおいては間違った対応です。
>共用サーバを提供する多くの事業者においては、知られた脆弱性に対して
>迅速に対応されていますし、逆にセキュリティ対策ができない状況でAWSやVPSのような
>素のサーバを使うことは非常に危険です。
>しっかりとサーバ管理の出来るケースに限って、AWSやVPSなどを活用すべきだと思います。
だから、あんまこういうアナウンス信用せずに確認した方がいいと思う
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
自分が思う一番ダメな鯖を書いていくスレ (337)
【TOK2系】SiteMix【だめですなぁ】 (699)
JSP、Servletが動くレンタルサーバ (277)
月額千円専用サーバdebian.co.jpってどうよ (848)
ここより安くていいサーバーってありますか? (158)
ドメイン名を語るスレ 6 (473)
--log9.info------------------
石田芳夫はなぜ突然勝てなくなったか (491)
対局に勝ったら書き込むスレ (170)
公式戦通算成績 (100)
オセまにあ副管理人を信任できない人の数→ (371)
おまえらが将棋より囲碁にハマった理由教えて (404)
みんなで打っていくスレの検討用スレ (167)
奥田あや (252)
大淵一門スレ (281)
小林泉美ちゃん (125)
院生になりたかった (229)
【囲碁】棋譜並べスレッドPart3 (102)
一人で行く近鉄囲碁まつり (147)
● 小林覚 二撃目 ● (122)
囲碁理論PART2 (949)
囲碁界のステージママについて語ろう 4局目 (568)
将棋→囲碁に流れてきた初心者がお勉強するスレ (250)
--log55.com------------------
【悲報】マツコ・デラックス、元SMAP叩き記事に必死に弁明するも「新しい地図」所属事務所からあっさり否定されてしまう [875850925]
【秘宝】 美少女声優 本渡楓さん、とんでもなくエチエチな服を着てしまう [303493227]
イギー・ポップについて語れる嫌儲民0人説 [949872347]
きららの野球アニメ「球詠」 ビジュアル公開。 もう筋肉仕上がってるよ! [399583221]
ルカ 何を思い浮かべる? [327876567]
韓国「日本が規制を続けるなら軍事情報協定を破棄する!日本に規制を撤回させろ!」とアメリカに要求 [687522345]
【疑問】 政権交代を何度も実現してる欧米の左派政党と、日本のダメダメ野党との違いって何なの? [701470346]
橋下徹特別講演会、参加費38000円 [404751488]