internet-pollutions
フォーラムへの返信
-
>>久保 綾さん
あらま、そうだったんだ、中の人では無かったんですねw
現場の人達は、本当に寝る間無く泊まり込みでずっとされていると思いますよ。
でも、厳しい言い方すると、今まで手をかけていなかったツケとも言えるのですけど、でもこれだけの事が起こったら、むしろ他社よりも安心して使えるような結果を生むんじゃ無いかとも思いますけどね。詳細なアナウンスというのは私は正直あまり期待はされない方が良いと思っています。
そういった詳細な情報というのは、逆に開示することによって、新たな問題を生むことだってありますからね。
私の所でもサーバ自前でそこそこの台数ありますけど、完璧な防衛なんて私は有りえないと思っているんですよね。
外部からネットを介して見えてる以上はどんな落とし穴があるか規模が大きくなればなるほど、またそのサーバの利用者が多くなればなるほどに、なおさら誰だって断言なんかできないと思いますしね。
極端なことを言えば、昔たまにありましたけど、ウェブベースでシェルたたけるようなスクリプトがあって、それを安易にレンサバに置いたユーザがいて(もちろんユーザ権限でログインしたまま状態です。)そのスクリプトから同じサーバを共用していた人達までとんでもない被害にあってしまったとかの例もありましたからね。
だから、むしろ言える事はポジティブな考え方かも判りませんけど、いつどんな被害にあっても、最小限の時間で復旧できるかって事じゃ無いかなってさえ私は思っています。
ホント、攻撃手法なんかある程度固めていると、そうそうあるわけではないので、トラップでも仕掛けて、迎撃してお土産(もちろんイケナイお土産ですけどね)でも持たせてやろうかなと思ったりしますけどね(;´Д`)
でも、ある程度固めるとか、あるいは監視を強化するとかと言っても、過度にやると負荷の問題に遭遇したり、あるいはそういったアラートに慣れきってしまって、肝心な見落としにつながってしまうとか、別の本末転倒とも言えるような事になる場合もありますしね、その辺の妥協点の見いだし方って言うのもあるんですけどね。(;´Д`)
>>gatespaceさん
私が確認できただけでも、ロリポップさん、GMOインターネットさん、hetemlさん(ロリ社の子会社かなんかだったと思います。)合わせて、外から見ているだけで、例のバングラデシュの連中+別のグループと合計11人11種類ありましたので、たぶん中の人達は、もっと多くの種類の攻撃を確認されていると思いますので、その集約やら、修復・対応・対策等々で、迂闊には中間発表とかもしにくいのもあると思いますので、しかたないと思いますね。
ところで、私ユーザじゃ無いので判らないんですけど、phpmyadminって、version いくつのが積んであるんですか?
私が気になっているのは、件数の多さは、途中で集計やめちゃったのでなんだけど、10,000件位は楽に越えていると思うんですよね、でも、それらのIP数で見ると非常に少ないので、それらの数えるほどのIPが割り当てられているサーバ固有の問題だったのかって気もしてます。
ちなみに、DNSベースで契約先を判断し、そういった分け方すると、GMOインターネットさんも、hetemlさんも、どちらも1つのIPだけなんですよね。(未集計分も結構ありますけど)
彼らの運動会の競技内容が、ユニークなIPだっただけに、何とも腑に落ちないという感じもしています。
wannabe や、scriptkiddy 達ののFBのURLや、運動会の会場サイトのURL知っている人達は、サイト内に記載されている被害URLへは、無防備な状態でむやみにアクセスしない方が良いかと思います。
昨日までは、私が見た限りでしたけど、そういうの無かったんですけど、今日、いくつかの記載されている被害URLで、Gumblarの亜種みたいコードが確認できていますので。
それこそ、P2Pソフトも使っていないのに、PC内部ダダ漏れとか笑えないことになったり、コードによっては、勝手に何をさせられるか判りませんからね。
表だって見える所は自分たちもアクセスしてもらいたい場所でもあるので、やらないとは思いますけど、それも判りませんからね。
>>久保 綾さん
何だか、ロリポな香りが・・・(;´Д`)
おつかれさまです、体壊さないようにがんばってくださいね。>>mebius0さん
そういえば、確かに・・・ありますね(;´Д`)
謹んで訂正いたします。でも、そういった公表は待たれていても、期待はできないと思いますよ。
むしろ、hissyさんがまとめてくださった内容を読まれて必要があれば対策を行うなり、相談されるなりされた方が良いと思います。
>>hissyさん
まとめお疲れ様でした。
Script Kiddy と言う評価ですかw
私は、Script Kiddy と Wannabe の間位が適当かなと思っていました。(笑)すみません、重複削除(;´Д`)
2つ上の書き込みに補足(の方が長いw)しておきます。
「ユニークなIPアドレス」がコンテストの対象であると言う事は書いていますし、ご覧になった方も多いと思うんです。これ、どういう事かと言うと、ロリポップ契約されている方には失礼な言い方になってしまいますけど、名前ベースのバーチャルホストに重要なサイトは無いって解釈から、ユニークなIPアドレスしか「対象」になっていないんだと思います。
そして、もう一つ言える事は、私の所でも「迷惑メール壊滅」させようとして、本来立ち上げているサイトなんですけど、そこではかなり「彼たちに近いとも言えるような事」やっています。
もちろん、彼たちみたいに「悪さ」などはするつもりもありません。
「近い事」というのは、正引きでのホスト名の収集と言う事で、1つのIPアドレスに割り当てられているホスト名の検出だけをさしています。ホスト名が判っていれば、IPアドレスの割り出しは、nslookup 等のコマンドでもカンタンにできるわけですけど、逆は、相当にめんどくさい話になってくるわけです。
例えば、29日のAM4:00頃までの改ざんされたサイトの確認が出来た数が、GMOグループさん分だけで、225確認できたわけです。
それらに、割り当てられていたIPアドレスの数というのは、ロリポップさん名義が5個、GMOインターネット名義が5個と、合計10個のIPアドレスだったわけです。
それらの内の1IP分の14サイト分については、おそらくDNSの状況から見て、GMOインターネットさんの契約者であろうと思っています。
それら、たった10個に割り当てられている名前ベースのホスト数は、私の所で確認できているだけでも、14,000ほどあります。
参考:http://blog.hanzai.jp/gmo-tampering-incident-4.htmlつまり、彼は目を付けたのは良いけど、そういったNW的なスキルには欠けていると言う事も言えると思っています。
誇らしげに、Facebook上で、2900+ (maybe)とか書いていましたけど、自らの非力さを語っているようなものだと思います。
ロリポップさんが、契約者数ウェブ上で公表しているのは皆さんもご存じだと思いますけど、目を付けたのであれば、その数からも私が言っていることは判ると思います。
また、cidr ベースで言えば、GMOインターネットさんの名義のモノだって、今回の10個のIPの内、半分の5個がそうだったわけです。
そしたら、そっちにまで踏み出しているのであれば、本来はロリポップさん120万+GMOインターネット分とならないとおかしいわけで、そうするとさらに、ターゲット総数は増えて軽く200万を越えるホスト数が対象となるはずですからね。
それを、2900+ (maybe)とか言っているので、「自らの非力ぶりを披露してんじゃねぇ」って、私は思っているわけです。
そして、もう一つは今回の件で多数のサイト等で確認できた、t.okuboさんが出されているようなlog も多数確認しています。
それらの情報を寄せ集めて判断すると、いわゆる Script Kiddy or Wannabe の類いであろうとしか私は思っていないんです。
t.okuboさん
「plugin=imgmanager」は、Joomla site の際に使用されることが多いqueryです。
つまり、CMSに何が使われているのか Check Crawlerの類いが残したlogだと思いますよ。gatespaceさん
plugin や theme であれば、WordPressの公式siteからinstallしているものであれば、早々に大きな心配をされる必要は無いと思います。
新しいモノ喰いを行った所で、WordPressは世界中で使われており、基本的にOpen Sourceでもあるわけで、何か問題があればすぐに誰かからツッコミがなされて修正されていきますからね。
また、未知のレアな脆弱性があった所で、それを突かれて今回同様の被害に遭われる可能性はよほどの有名サイトか、執着心を持って狙われるかでないと限りなく0に近いと言えると思います。
>>hissy さん
あ、ここでの話ではありませんよ、すみません、勘違いさせちゃったかも判りません。
「書いて欲しくなかった」は、上記のURLに少しイラッとしたので貼り付けてある、さくらインターネットの社長の田中さんのツィートの事なんです。
まあ、書く前に直接ツィッターで田中さんには言いましたけどね。でも、ある意味、GMOさんは、WPを悪者にでもする気なのかな?とかさえ思っていたので、ちょうど良かったと言えばちょうど良かったのはありますけどね。
彼らが行っている「コンテスト」の対象ってユニークなIPアドレスである事は、実際に彼らのコンテスト会場などを見られた方もあると思うので、判ると思うんです。
なのに、どうしてGMOグループに目を付けて、特別に調子に乗ったことをFacebookなどでも書いているかと言うことなんです。
それ一つとってみても、「なめられるようなサーバ群」であると見抜かれてしまったと言う事なんです。
彼がFacebook上で、2900+ (maybe)とか書いていたのは、単にホスト名を割り出せた数の内、「彼が得意な脆弱性」を検知することができた数だと思うんです。
しかしこういった事って、皆さん access.log ばかり見る傾向にあると思うんですけど、セキュリティに本当に大切なのは、error.log であったり、イレギュラーなlogの早期発見なんですよね。
それらを管理・監視することによって、例えはじめは見る人が見れば、穴だらけであっても相当な可能性を潰していく事ができるんですけどね・・・。
http://lolipop.jp/info/news/4149/
予定よりも、1時間ほど遅れてまた、情報開示が行われたようです。
何とも手際が悪いというか・・・。takeru0.0さん
>>Crazyboneのログありますが必要でしょうか?
>>といっても、私のサイト(ロリポ)は、今のところ無事ですし、8/27以降は私以外のアクセスはないので、今回の件と関係あるかどうかは不明ですが。。。あまり、そういったログの開示はされない方が良いと思います。
ログが模倣したりするためのヒントになってしまう場合も出てきますからね。hissyさん
も、あるんですけど、さくらインターネットの田中さんがあまり書いて欲しくなかったことツィートされています。(;´Д`)http://blog.hanzai.jp/essential-problem-of-lollipop.html
だけでは無いんですけどね・・・。
odysseyさん
>>Rest in peace。
>>安らかに眠れ、ってことですね。
>>つまりまぁそういうことです。私も、つまりまぁそういう事だと思います(笑)
R.I.Pはよく使われる略語でもありますからね。hissyさん
すみません、お騒がせいたしました、今となっては別段数などどうでもよくなりました(笑)今回の件、私の方で、GMOさんや、あるいは技術的な側面とは異なった視点からまとめてみています。
※別に広告とかも入れているわけでは無いためにサイトへのアクセスを募る目的は全くありませんので(笑)
なぜか、編集したい分が編集できませんw
3つ前に書き込んだ、以下の文に関しては、具体的なサイト数、及びISP数、及びIP数に関し、削除をしたいのですけどw
適切かつ、根拠に乏しいと判断したためです。言葉足らず・・・。
特に.htaccessのパーミッションゆるいと、サーバにもよるんですけど、かな危険です。
↑
これは、WordPressのルートフォルダ(wp-config.php等があるフォルダ)のパーミッションも緩いとと言う意味です。(例0777等)ここでも=私の所でも(訂正)(;´Д`)
あと、そういったセキュリティ系のpluginなども豊富に少し探せばありますし、名前忘れましたけど、pluginでサイトの脆弱性などを診断してくれるような管理者用のpluginもあったと思いますので、そういうのを使われ診断してみるのも吉かも判りません。
私の方で、確認できたのは、改ざんや書き換え等が行われた、あるいは痕跡が残っていた分だけで、合計200サイト、3ISPでした。(他にもあるかも判りませんが、国内分でHackされてウェブあるいは、PHP等のスクリプトが明らかに書き換えられていると思われる分のみの集計です。
IPアドレス単位では、計12IPと、範囲が狭いことから、IP単位でshellが奪われている可能性も捨てきれませんけど、全てWordPressを使用している所ばかりのようでしたので、WordPressの脆弱性か、あるいは.htaccess あたりのパーミッションの甘さからつけ込まれたのかもしれません。
まあ、いずれにしても、ここでもWordPress使っているんですけど、WordPress使っている人達は、まちがえても、.htaccess や、wp-config.php のパーミッションユルユルにしないように気をつけてください(;´Д`)。
特に.htaccessのパーミッションゆるいと、サーバにもよるんですけど、かなり危険です。