もじら組と namazu のサイトがクラックされる 90
ストーリー by wakatono
ここ最近なんか多いぞ… 部門より
ここ最近なんか多いぞ… 部門より
yosshy 曰く、 "ITmedia の記事より。namazu プロジェクトの WWW/FTP/ML/CVS サーバが 5/27 にクラックされたとの事。また、先日 5/24 にはもじら組の WWW サーバがクラックされたりと、最近国内のオープンソース関連サイトが相継いでクラッキング被害に遭っている。あなたのプロジェクトのサーバは大丈夫?"
CVS 穴をやられたのだろう (スコア:4, 興味深い)
Re:CVS 穴をやられたのだろう (スコア:1)
バックアップから Web サーバーの再構築であれば何とかすぐにできるとしても、再び安全に CVS サーバーが公開できるという事が確認できるまでは、日数がかかりそう。
うーん。被害状況告知は??? (スコア:2, 参考になる)
分かっている、公表できる範囲で逐次、
- 影響範囲
- 現在の状態
- いつからいつまで改ざんされていたのか
- 最低限侵害されていないと判明している時点
- 手口
を伝えていくべきだと思うんですが。事実をtop pageで告知し、現状を伝えているnamazuと対照的だと思います。
# rm -rf ./.
Re:うーん。被害状況告知は??? (スコア:1, 参考になる)
ただ、まだ報告が原因等の報告はありません。
Re:うーん。被害状況告知は??? (スコア:1)
#俺のような(自粛)で(自粛)で職に就く見込みがなくしかも文系でしかも留年してる学生がもじら組の一員だったらそれこそ最悪だろうなと思うのでID
gy0
Re:うーん。被害状況告知は??? (スコア:1)
gy0
Re:うーん。被害状況告知は??? (スコア:1)
確かに、下のコメントは、いくつかのコミュニティを見ての感想だけど、何ももじら組のみを指摘したわけじゃありません。誤解を招く書き方でごめんなさい。
googleキャッシュ (スコア:1)
クラックは23日、発表が27日 (スコア:1, すばらしい洞察)
表現おかしくない?
もじら組MLアーカイブは未復旧 (スコア:1)
もじら組の方は、昨日か一昨日までは、トップにミラーサイトへのリンクを置いて、しのいでましたね。
でも、MLアーカイブの方は現時点でも復旧していないようです。
slashdot.jpは大丈夫? (スコア:1)
実は、ちょっと日記がらみでバグ?っていうのを追っかけていて、
Apacheのバージョンが古いまま放置プレイっぽいのに気が付いて… orz
こういう話はセキュリティバグ報告の方にメールですかね?やっぱ…
腐乱化…もといFlanker
Re:slashdot.jpは大丈夫? (スコア:3, 参考になる)
DebianなのでApacheのバージョンが古いように見えるのは放置プレイの為ではないです。
Re:slashdot.jpは大丈夫? (スコア:0)
アップすれば少なくとも二つはふさげるんだから。
クラックされてから言い訳する前にできることから
やっておくのが吉。(気づいてないんだろうけど)
Re:slashdot.jpは大丈夫? (スコア:2, 参考になる)
>でも穴があいているんだから放置プレイと同じだよ。
>アップすれば少なくとも二つはふさげるんだから。
セキュリティ的には同じですが、こういう自分はセキュリティ意志意識が高いと思いこんでいる勘違い部外者が「バージョン古いぞ。管理者何やってんの?」とか言い出し、それが信じられてしまうことで企業イメージを損なう潜在的なリスクがありますと答えています。
Re:slashdot.jpは大丈夫? (スコア:2, すばらしい洞察)
もうちょい汎用的に評価をするならば、1+1=2みたいな算数的な
答えと回答チェックを出せない分野は、半端者が平然と
大手振ってるように見えますね。
音楽・絵画・政治のコメントなんて、まさしくそうでしょ?
最近では歴史もか(笑
かといって、私も大口たたけるほどの知識や見識を持ち合わせて
いるかというと、そうでないのが実情ですが
Re:slashdot.jpは大丈夫? (スコア:1)
回答がない→到達点がない→どこまでいってもみんな半端者(不完全)
という分野ではあると思います。
Re:slashdot.jpは大丈夫? (スコア:1)
> 回答がない→到達点がない→どこまでいってもみんな半端者(不完全)
> という分野ではあると思います。
そういう自覚があるかないかは大違いかと。
自覚のない人の方が往々にして声がでかいもんです。
Re:slashdot.jpは大丈夫? (スコア:0)
ということを知ったうえで「アップ」という表現を使っているのかな?
バージョン上げればいいってもんじゃないよと言いつつ自分は FreeBSD で
1.3.31 使ってるけどね。
Re:slashdot.jpは大丈夫? (スコア:0)
という事はバックポートパッチ当たってるはずなのに、二つばかし機知のセキュリティホールが残ってるよ、ってこと?
だったらそれは、頼むから早めに編集者かsf.jpのプロジェクトページとかに連絡して欲しい。
もしかして… (スコア:1)
政治的背景と余り関係ないサイトなので違うとは思うけど。
Re:もしかして… (スコア:1)
たしか、報道の内容によると、サイバーテロによる敵国軍事能力
低下を狙っているのではないかと言っていたと思います。
今クラックされているサイトがどこまで軍事に影響するのかは不明ですね。
#本番に向けてテストしてるのか?
身内(?)にやさしいslasdot (スコア:1, 興味深い)
Re:身内(?)にやさしいslasdot (スコア:2, 興味深い)
それから、これは私見だけど、 Windows をクソミソに貶してる人は、 Windows を使ってる人にこそ多い気がする。 Linux 他 PC-UNIX 系の人は、自分のが使いにくいことを認識していてもしょーがないと思ってて攻撃に回ることはない。
というのが人数の差に現れてるだけのことではないかな。
別の仮説。オープンソース関係のは他人事じゃないし、自分もそれを使ってるのであれば詳細を知って対処しないといけないから、「実際どうなんだ」という論調が増え、「これだから○○はクソ」とかいったゴミみたいな意見は減る。
# 激しくオフトピですね。すまん。
Re:身内(?)にやさしいslasdot (スコア:1)
とりあえず、声が大きいから多数派とは限らない、とだけ言っておく。
Re:身内(?)にやさしいslasdot (スコア:0)
Re:身内(?)にやさしいslasdot (スコア:2)
って言いたいだけちゃうかと。
ウヨサヨと同じ、frame だけの話を飽きもせず何度も持ち出してくるのが
いちばん不毛だと思いませんか。
# 声を大にして言いたいので +1 ボーナス
Re:身内(?)にやさしいslasdot (スコア:1)
枠組みだけで叩くのは不毛以外のなにものでもありません。
Re:身内(?)にやさしいslasdot (スコア:0)
# 率直に言って何やってんだ馬鹿がと思うので AC
Re:アホですか (スコア:2, 興味深い)
そうじゃなくて、組織としてきちんと対応しているか否か、そしてそれを適切に扱っているかを問うているの。なので、金銭の問題じゃない。
オープンソース vs プロプラエタリ = 無料 vs 有料
じゃないのよ。組織として対応できないなら、企業だろうがオープンソースだろうが失格。オープンソース陣営のメーリングリストの秘密の個人情報(そんなものあるかしらないけど)が流れたらさすがに怒るでしょ?
Re:アホですか (スコア:2, すばらしい洞察)
いわゆるオープンソース関係で組織体制がしっかりしているところって
あんまりないような印象があります。ということかほとんどのところが
人的リソース不足でいろんな事態に対して後手に回っているのが現状では
ないかと。
だから甘やかしていいとは思いませんが、今回の件はまず最初に「あー
やっぱ手が回ってないんだな」と思いました。
# だから何って感じだけど ID
# 高林さんのページが見れないのが痛い
Re:アホですか (スコア:1)
オープンソースのコミュニティ(開発、支援、ローカルグループ問わず)の大半はサークル上がりの団体みたいなものです。どんなに頑張っても、それが実情。
で、今後数年、オープンソースを取り巻く社会環境、およびコミュニティの自覚がどう変わっていくか、すごい興味もあるし、かつ、結構暗いな、と思っています。5年後、いったいどれだけのコミュニティが残り、どのような体制になっていることでしょう。かなり厳しい見方をしないと、あっという間にぽしゃってしまうと思います。
#オフトピですいません。
Re:アホですか (スコア:2, 参考になる)
その疑問への回答はMozilla Japanの設立 [mozilla-japan.org]という事になるかと思います.
とはいえ,決してこれで人的/物的リソースがととのう訳では無いようで.
金銭的支援をしてくれる後ろ盾が居ないのは相変わらず [mycom.co.jp]という......
gy0
Re:アホですか (スコア:1, 参考になる)
もともと多くのオープンソースプロジェクトは、サークルのようにやりたい人が勝手にやっているものであり、プログラミングを好きな人がいる限り、オープンソース自体がなくなることはないと思いますよ。オープンソースがビジネスとして成功するかどうかとなると話は別ですが、少なくともNamazuやもじら組はビジネスのためのコミュニティではないですね。
「オープンソースのコミュニティも、社会的影響力を持つことをもっと自覚して、質の高いサービスを提供すべきだ」というご意見であれば、少し考えなければなりません。当事者の努力だけでは限界があるので、社会的にオープンソース団体を支援して頂ける体制が整わなければ難しいかもしれませんね。
Re:アホですか (スコア:1)
葉がビジネスの世界でさかんに使われて、オープンソースに対する誤解と議論が
あった以降に出てきた、つまり最近のオープンソースグループに関しては。
もちろん新しけりゃいいというわけじゃないんだけど、様々な問題点が議論に上
がった、つまり「問題点があるという事実」のあとに出てくるグループと、それ
以前からあるグループではやはり少し参加者の意識が違うんじゃないかと思うの
です。だからと言って新しいグループに必ずサーバ管理や組織運営のスキルがあ
るかっていうと、もちろんそんなことないんですけど。
何が失敗だったかに対する深い考察があったかないかに関わらず、数々の議論や
セキュリティ侵害のあとに出てくるグループの方が、それ以前のグループよりは
少しだけでも何かを学んでいると思うのです。なんていうか、陳腐な言葉で言う
と「世代」みたいなもんでしょうか。例えば namazu.org が sf.jp 以後に現れ
たグループであったら、例えサークルの延長のような感覚であっても何かが違っ
たのではないか、と思うのです。(ここで namazu.org や sourceforge を引き
合いに出すのはいい方法ではありませんが、分かりやすさのためにあえて書きま
す。)
# というか思いたいのです。
あと、ポシャるのは問題ないと思います。
誰が引き継いだっていいんだから。
問題なのはダメなまま生き延びる方じゃないかと。
Re:アホですか (スコア:1)
もちろん、CVSの開発元がCVSの(既知でパッチもでている)脆弱性にやられたりしているのであれば、非難囂々でしょうけれど。
#例えば、自分ところでも当てきれないほどのパッチを出すところとか:-)
Re:アホですか (スコア:1, 興味深い)
> なんてのは無い訳で、リソースを割くべき所を間違えているだけだと思いますね。
今だからそう言えるってのはあると思うなあ。
今から新規にプロジェクト起こすならとりあえず sf.jp にしちゃうでしょ。
で、メンバーの増員、回線の帯域、プロセッサパワーなんかの問題が
出てきたら自分たちのサーバに移行する。(あるいは Enterprise か)
これなら少なくともサーバ管理のコストを抑えてユーザー管理と
プロジェクトの運営とプロダクトの開発に専念できる。
それより古いプロジェクトではすでにあるリソースを sf.jp に突っ込む
っていう段階がすでにけっこう骨じゃないかと。だからと言って今ある
サーバを止めるわけにもいかない。そして叩くやつはたくさんいても協力
してくれる人はほとんどいない。
# オレも協力してないから大きなことは何も言えん。
# テイクばっかのヘタレです。
Re:アホですか (スコア:2, 興味深い)
その組織ってどこのことを言っているのでしょうか?
もじら組やnamazuのサイトを管理している人たちのことを言っているならば まさにその通りかもしれません.
アナウンスもあったけど適切な対応をしていなかったわけですから. Open Sourceなプロダクトを使う時はそういう自己責任みたいなものがついてまわるものですし.
もしくは今回の穴と思われる CVSの開発者たちなんかをさしているのであれば なんか違うような気がします.
一応 対策済バージョンとか出しているわけですし, 最低限のことはやっていると言ってもいいでしょう.
サポート用にユーザ登録させて金とってるわけでもないんですし Sasserの時に多かった 『patch あてることに抵抗のある状態の時に感染被害を受けてしまった』なんてケースでもないですしね.
Open Sourceなプロダクトを使うときに 同じようなサポートを期待したりするのであれば NECのサービス [cnet.com] とかを利用すればいいだけの話です.
現実問題として (スコア:1)
維持していくのかは、どこでも大きな課題です。
リソースの多くは参加者の持ち出しでまかなわれている現状、(たとえば)
奥さんに「見返りのないものにお金使うのやめてよ」と言われるだけで
モチベーションは相当下がりますね…。
「完璧にできないのならヤメロ」というのも意見だとは思いますが、
もじら組やnamazu.orgから得られるものの多さを思うと、私には
「皆さん頑張ってください」
としか言えません。
よく言われることで「オープンソース」に対して「対価」というものは
どうもタブーと思われているふしがあって…
あー、もう大声出して言いたい。
もじら組やnamazu.orgに限らず、OSSの貢献者の方々はてめーらの小間使いや
カスミ食って生きてる仙人じゃねえぞゴルァ
ギブ&テイクの精神あってこその世界だ。
「カネがない奴は頭を使え、頭がない奴は汗を流せ」と昔から言われてきてたけど、
「頭もなくて汗を流すのも嫌な奴はカネを出せ」
Re:現実問題として (スコア:1, 興味深い)
かりにCVSサーバが原因で、updateするリソースが無ければ最悪一時的にとめるとかいう選択肢も検討すべき。それに事後の対応もどうかと。
ボランティアでやってればセキュリティに(利用者側として)甘くても許されるなんてのは常識として通じないと思うんだが。
Re:現実問題として (スコア:1, 参考になる)
pserver を停止するって判断だって、ある程度追ってる人じゃないと出来ません(と言うか停止対策が取れるくらいなら最新版に上げてる)。
sf.jp なりに預けてしまえと言うのは同意。ただ、もじら組が立ち上がった頃はまだ sf.jp って無かったんでは(sf.net はあったかな?)。あとサーバも自動アップデートが出来るもの(一部のRHLやDebian)を使うほうが賢いでしょうね、多分。
今さら見てる人も居ないだろうけど… (スコア:1)
今度はRuby [ruby-lang.org]がクラックされたそうです。
原因はやはり、CVSの脆弱性をつかれたとの事
ただ、情けない…
ここには流れなかったようだけど、先日は日本MySQLユーザ会がクラックされたし、、言葉が無い。
netcraft で調べてDebianを使っているところが多いと感じたが、安定性を求めてDebianを選定したとしても、管理しないんじゃ意味無いじゃん><
Re:今さら見てる人も居ないだろうけど… (スコア:1)
オープンソース関連のサイトって、メンテナンス作業をするのが大変なんでしょうかね。今回の cvs 穴だったら、入れ替えて再起動するだけだっただろうと思いますが...
プロジェクトのサーバ管理をされている方、どんなもんでしょうか?
This is a test message :-)
Re:今さら見てる人も居ないだろうけど… (スコア:1)
「アップデートをサボっていました。迂闊。 [rubyist.net]」
だそうです。
ネットワーク利用技術研究会 (スコア:0)
#焦ったAC
Re:ネットワーク利用技術研究会 (スコア:1)
ホントお疲れ様でした。
# rm -rf ./.
ここ数日 (スコア:0)
Re:ここ数日 (スコア:1)
cvshome.orgにはここ十数日接続できていませんね。
そこそこ重いあのサイトが
Akamaiを使っていたとも思えません [itmedia.co.jp]し・・・
あら、接続で
http://cvshome.org/ [cvshome.org]
The cvshome site is currently being thoroughly cleaned as a direct result of an exploitative code set that attacks a cvs security violation.
あたたた・・・
使われた穴の詳細が知りたい (スコア:0)
Apache?
CVS?
kernel?
どれのどこ?
Re:使われた穴の詳細が知りたい (スコア:1)
Re:使われた穴の詳細が知りたい (スコア:0)
#Apache Win32+Cygwinで組んでる真性チキンなのでAC