アカウント名:
パスワード:
リンク先とか、一通り見たけど、情弱には、サブジェクトの感想しか持ち得なかった。
vaservのトップページ [vaserv.com]が悲惨なのだけ分かった。// アクセス自体には、セキュリティリスクは無いようだけど、// リンク踏むのは自己責任で
// なんていうか「カオス」としか言えないような
私はHypervmがどういうものなのか,よく分からなかったのだけどこの事件は便利なwebベースで管理する仮想化ソフトのコンソール(?)が外(Internet)に繋がってて攻撃を受けたという理解で宜しいのでしょうか?素人目にも危なっかしいシステム構成のような気がしますが,ユーザーがInternet経由で自分のホスト/仮想マシンの管理が出来る,だからサーバー屋さんは管理コストを削ってレンタルサーバーのお値段がお安くなる,なのでいろんなところで使われていたということなのかな?
ドメイン複数運用可能E-Mail無制限とか謳っているレンタルサーバは割とこの手のWeb管理インターフェースを解放していますよ。
去年の今頃関わってた複数サイトもそうだったしroot権限貰ってたけど当初はSSHやFTP何かもIP制限すら掛かってなくてサーバにアタックログいっぱい残ってた。
#離れるときにパスワード変えて下さいねってお願いしたのに数ヶ月後泣きついてきてパスワードは?と聞くとそのままだったので多分今もそのままなんだろうなぁ
パスワードを聞いているという事は、作業をさせているような
一個下のコメントとかぶりますが愚痴も入ってます。
なんせ、契約打ち切りの理由が「技術者イラネ」(ポータルサイト立ち上げるとか言ってるのに)で、なんかWebサーバが立ち上がらなくなったと泣きついてきたんです。
それで、自宅のIPからのSSH解放するためにWebインターフェースの管理画面のパスワードを聞いたのです。
一応ランダムな文字列ですけどそんなに長くないので本気でアタックしたら多分使えちゃうと思います。
#落ちはTOMCATをApacheのモジュールとして動かす技術力無くて両方サーバで80番開こうとして立ち上がらなかったと言う。#作ってる会社はサーバ管理はそのWebインターフェースでしかいじれません。
> なんせ、契約打ち切りの理由が「技術者イラネ」(ポータルサイト立ち上げるとか言ってるのに)> で、なんかWebサーバが立ち上がらなくなったと泣きついてきたんです。
こういう場合には100万だろうと請求できるわけですが、請求明細は、作業料5万円、技術料5万円、相談料90万円ぐらい書いたほうがいいよね。払えないとかいってきても、代わりに営業交渉する代理人を立てればいい。
ただの中の人だった立場からの愚痴では?
>webベースで管理する仮想化ソフトのコンソール(?)が外(Internet)に繋がってこれは、恐らくそんな感じだったんじゃないですかね?Takahacircus氏のコメントにあるように、類似のサイトも、世間には割と存在するのかも知れません。
セキュリティ的にどうよ? といえば、確かにヤバゲかもしんないけど、それはそれでアリじゃないっすか?サーバ設置した現場と、サイトと専用回線張った端末だけでしか触れないていうのは、セキュアっちゃあセキュアだけど、やっぱ不便だしょ。
それに、運用がしっかりしていれば、ある程度のセキュリティは担保できるんじゃないでしょうかね?「しっかりした運用」なんてモノが、ほいほい実現できるなら、この世にウェブ上のトラブルなんて、存在しないはずだけど。
アタックの実際は、私にはトンと分からないです。「ゆるいパスワード使ってたんだろ」みたいなツッコミもあったぽいけど、vaservは「違うよ、全然違うよ [theregister.co.uk]」って言ってるみたいです。いや、ま、本当に違うのかどうかは分かんないけど。
ちょっと興味深いのは、registerに「"rm -rf"が発行できる程の権限を奪われた」みたいな記述があるので、運用中のサイトで、本当に "rm -rf" をぶちかました稀有な実例だったのかもしれません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
ナニが何やらワケわかめ (スコア:1)
リンク先とか、一通り見たけど、
情弱には、サブジェクトの感想しか持ち得なかった。
vaservのトップページ [vaserv.com]が悲惨なのだけ分かった。
// アクセス自体には、セキュリティリスクは無いようだけど、
// リンク踏むのは自己責任で
// なんていうか「カオス」としか言えないような
Re:ナニが何やらワケわかめ (スコア:0)
私はHypervmがどういうものなのか,よく分からなかったのだけど
この事件は便利なwebベースで管理する仮想化ソフトのコンソール(?)が外(Internet)に繋がってて攻撃を受けたという理解で宜しいのでしょうか?
素人目にも危なっかしいシステム構成のような気がしますが,ユーザーがInternet経由で自分のホスト/仮想マシンの管理が出来る,だからサーバー屋さんは管理コストを削ってレンタルサーバーのお値段がお安くなる,なのでいろんなところで使われていたということなのかな?
Re:ナニが何やらワケわかめ (スコア:3, 興味深い)
ドメイン複数運用可能E-Mail無制限とか謳っているレンタルサーバは割とこの手のWeb管理インターフェースを解放していますよ。
去年の今頃関わってた複数サイトもそうだったしroot権限貰ってたけど
当初はSSHやFTP何かもIP制限すら掛かってなくてサーバにアタックログいっぱい残ってた。
#離れるときにパスワード変えて下さいねってお願いしたのに数ヶ月後泣きついてきてパスワードは?と聞くとそのままだったので多分今もそのままなんだろうなぁ
Re: (スコア:0)
パスワードを聞いているという事は、作業をさせているような
Re:ナニが何やらワケわかめ (スコア:1)
一個下のコメントとかぶりますが愚痴も入ってます。
なんせ、契約打ち切りの理由が「技術者イラネ」(ポータルサイト立ち上げるとか言ってるのに)
で、なんかWebサーバが立ち上がらなくなったと泣きついてきたんです。
それで、自宅のIPからのSSH解放するためにWebインターフェースの管理画面のパスワードを聞いたのです。
一応ランダムな文字列ですけどそんなに長くないので本気でアタックしたら多分使えちゃうと思います。
#落ちはTOMCATをApacheのモジュールとして動かす技術力無くて両方サーバで80番開こうとして立ち上がらなかったと言う。
#作ってる会社はサーバ管理はそのWebインターフェースでしかいじれません。
Re: (スコア:0)
> なんせ、契約打ち切りの理由が「技術者イラネ」(ポータルサイト立ち上げるとか言ってるのに)
> で、なんかWebサーバが立ち上がらなくなったと泣きついてきたんです。
こういう場合には100万だろうと請求できるわけですが、
請求明細は、作業料5万円、技術料5万円、相談料90万円ぐらい書いたほうがいいよね。
払えないとかいってきても、代わりに営業交渉する代理人を立てればいい。
Re: (スコア:0)
外国ではよく聞くけど、日本でも継続契約しなくても一時的にやってくれるような
交渉代理人っているの?
Re: (スコア:0)
ただの中の人だった立場からの愚痴では?
Re:ナニが何やらワケわかめ (スコア:2, 興味深い)
>webベースで管理する仮想化ソフトのコンソール(?)が外(Internet)に繋がって
これは、恐らくそんな感じだったんじゃないですかね?
Takahacircus氏のコメントにあるように、
類似のサイトも、世間には割と存在するのかも知れません。
セキュリティ的にどうよ? といえば、
確かにヤバゲかもしんないけど、それはそれでアリじゃないっすか?
サーバ設置した現場と、サイトと専用回線張った端末だけでしか触れない
ていうのは、セキュアっちゃあセキュアだけど、やっぱ不便だしょ。
それに、運用がしっかりしていれば、ある程度のセキュリティは
担保できるんじゃないでしょうかね?
「しっかりした運用」なんてモノが、ほいほい実現できるなら、
この世にウェブ上のトラブルなんて、存在しないはずだけど。
アタックの実際は、私にはトンと分からないです。
「ゆるいパスワード使ってたんだろ」みたいなツッコミもあったぽいけど、
vaservは「違うよ、全然違うよ [theregister.co.uk]」って言ってるみたいです。
いや、ま、本当に違うのかどうかは分かんないけど。
ちょっと興味深いのは、registerに「"rm -rf"が発行できる程の権限を奪われた」
みたいな記述があるので、運用中のサイトで、本当に "rm -rf" をぶちかました
稀有な実例だったのかもしれません。
Re:ナニが何やらワケわかめ (スコア:1)
>「ゆるいパスワード使ってたんだろ」みたいなツッコミもあったぽいけど、
>vaservは「違うよ、全然違うよ」って言ってるみたいです。
パスワードがゆるかろうとゆるくなかろうと、
全通りアタックされればいずれは解けちゃうわけで、
アタックへの監視がゆるかったという話ではないかな。
言い訳がなんかずれてますな。