パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

コンテンツ配信サービスCDNetworksで配信しているコンテンツの改ざんが確認される」記事へのコメント

  • by chuukai (18189) on 2014年06月03日 21時03分 (#2614510) 日記

    昨年の話ですが、CDNetworksのコンテンツのアップロードサービスに使われていると推測されるサーバーがAnonymous FTPサーバーになっていて、サーバー内のおそらくはほとんど全てのファイルとディレクトリが閲覧できるようになっていました。
    詳しいことは不正アクセスを助長しそうなので言えません。

    不正アクセス禁止法違反で警察が来そうですが、IDでいいや。

    • by chuukai (18189) on 2014年06月03日 21時54分 (#2614541) 日記

      FFFTPという素人が利用するとは考えられないソフトウエアを使って閲覧した結果、顧客がアップロードしたと思われるコンテンツがダウンロードし放題になっていました。

      セキュリティが甘いCDNにコンテンツ(知的財産)を任せることは、顧客自身の損害になります。

      親コメント
      • なぜCDNetworksのコンテンツのアップロードサービスに使われている(と推測される)サーバーがAnonymous FTPサーバーとなったのか。
        以下、推測です。
        コンテンツのアップロードサービスを行うにあたって、CDNetworks内では標準的な構成であるサーバーではFTP機能が有効になっていたのでそれを流用し、外部(顧客側)からサーバーのFTPサービスへのアクセスルートを作った。
        その時に十分なアクセス制限を行うべきだったにもかかわらず、passwdにftp:x:14:50:FTP User:/data/ftp:/sbin/nologinと書いてしまった(書いたことに気が付かなかった)。

        親コメント
      • by Anonymous Coward

        関係ないですけど脆弱性やらなんやらでケチが付いたFFFTPを玄人は使わない気がします。

        • by Anonymous Coward

          ApacheやBINDなんか使ってるのもド素人なんですね。

          • by Anonymous Coward

            ApacheはともかくBINDはド素人認定したい

            • by Anonymous Coward

              あれ?今ルートサーバってBINDなくなったの?anycast化でいっぱいルートができてから、どうなったのかよくわからないけど、昔はBINDとNSDだったような。

              http://en.wikipedia.org/wiki/Root_name_server [wikipedia.org]

            • by Anonymous Coward

              ゾーンサーバとフルリゾルバサービスを同一プロセスで動かしていたらど素人認定でもいいと思う
              同一ホストであるかどうかはまあ置いておく

      • by Anonymous Coward

        俺素人じゃなかった!今知った。

      • by Anonymous Coward

        FFFTPと言う素人しか利用しないソフトウェアでしょ?

※ただしPHPを除く -- あるAdmin

処理中...