lolipopへの大規模攻撃はlolipopの対応によって収束しつつあるようだ。なぜこのような被害が起きたかについても、かなり明らかになってきた。簡単に言ってしまうとlolipopのパーミッション設定に問題があった、つまり肝心なファイルも他のところからアクセスできるというダダ漏れ状態だったということらしい。

端的にわかる例がこれ
https://twitter.com/isidai/status/373329857003790336/photo/1

これを見て「じぇじぇじぇ！」と思った人は多いはず。これが何を意味するかというと、サーバにあるファイルの絶対パスがわかって、且つそのファイルのパーミッションが644とかのようにグループやその他の人が読める設定になっていたらファイルの中身が見れちゃうってことだ。WordpressはそのサイトのURLからwp-config.php等のパスがほぼ確実に予測出来る。そしてwp-config.phpにはMySQLのサーバ名、ユーザ名、パスワードが記録してある。

その上lolipopのサーバではFollowSymLinksも設定されていたようで、FollowSymLinksあたりをうまく使ってチョチョチョイとアクセスすれば他のサイトのwp-config.phpがぶっこ抜けたんじゃないかと思う。

さらに悪いことにlolipopのMySQLサーバは外部から接続できるものがあるらしく、wp-config.phpから抜かれたデータがあれば直接MySQLをイジれてしまう模様。
ロリポップは、MySQLサーバにグローバルから接続できる(ものがある)? – ろば電子が詰まっている
[メモ] ロリポップのmysqlサーバへ外部ネットワークから接続できるのは18台 (8/29現在)

俺のような素人が素人として説明してみるとこんな感じ。後から見ると起こるべくして起こった感は拭えない。特にユーザディレクトリのパーミッション設定は「素人じゃないんだから！」って気がする。そんな状態でいながら、このサイトはなーんにも被害を受けなかったのは本当に運が良かったとしか言えないなぁ。