アクセス解析ツールのバグで、人気Blogが改竄される 58
ストーリー by yoosee
穴は裏にあいている 部門より
穴は裏にあいている 部門より
Sassy 曰く、 "ITmediaによりますと,1月末よりアクセス解析ツールAWStatsバージョン5.0から6.2に存在するバグ「AWStats Remote Command Execution Vulnerability」(1月17日発表)を悪用して,海外の人気Blogサイトが改竄される被害が続出しているそうです。たとえばJeremy Zawodny氏のサイトの改ざんの場合,泣きじゃくる子どもの写真の下に「これは抗議であり、叫びだ……目を閉じてはいけない。世界には大きな問題がある。それをもう1つ増やしたいのか?」というメッセージが添えられています。そしてこのサイトについては,Infektion Groupというブラジルのクラック集団が改竄の成果を発表しています。彼らは日本のサイトも攻撃した前歴があるようですので,サイトを運営されている方は脆弱性情報に十分ご注意ください。"
2ch SUSEスレにて攻撃されたとの報告があった (スコア:3, 参考になる)
この人はファイル交換の中継ポイントにされた模様
Re:2ch SUSEスレにて攻撃されたとの報告があった (スコア:3, 参考になる)
今回の件じゃないですけど、同じ連中にやられたサイトに何かの JavaServelet/Applet を置かれた形跡を発見したことがあります。IRC に接続して何かする目的だったみたい。
他にも、sh コマンド用窓つきのファイルマネージャスクリプトが動いてたりとか。
最近はレンタル Webサーバの容量が大きくなってますんで、サーバ上のディレクトリツリーが巨大化する傾向にあります。
つまり何か仕込まれてもそれに気づきにくいわけで、たまには自分のディレクトリをチェックして回るべきなのでしょう。
[わかってもらうことは難しい。わかってあげることは、もっと難しい。]
awstats使ってないけど、 (スコア:3, 興味深い)
217.172.168.109 - - [04/Feb/2005:06:40:42 +0900]
"GET //cgi-bin/awstats/awstats.pl?configdir=|%20id%20| HTTP/1.1"
404 472 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
217.172.168.109 - - [04/Feb/2005:06:40:42 +0900]
"GET //cgi-bin/awstats.pl?configdir=|%20id%20| HTTP/1.1"
404 472 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
解説しようさん募集 (スコア:2, すばらしい洞察)
どういう経路を経て書き換えられたか書いてほしいな。
Re:解説しようさん募集 (スコア:1)
十分に検査せずにopen()関数に渡しているため、任意のコマンドが
実行できるという脆弱性を突いたものなのではないでしょうか。
攻略難易度はかなり低いと思います。
似たような脆弱性を持っているWebアプリケーションって多そうです。
Re:解説しようさん募集 (スコア:0)
問題を増やさないでくれ (スコア:1, すばらしい洞察)
というのなら,問題を増やさずに問題を解決して欲しいと思ったそんな日のこと
# マイナスモデ覚悟
Re:問題を増やさないでくれ (スコア:3, すばらしい洞察)
正論だと思います。
ま、この手のクラッキングなんて自己陶酔の範囲でしかないですし、気の利いた警句に見えるけど、中身がない(「問題」を具体的に指摘していない)ので真に受ける必要もないとは思いますが。
[わかってもらうことは難しい。わかってあげることは、もっと難しい。]
Re:問題を増やさないでくれ (スコア:0)
「世界には大きな問題がある。それをもう1つ増やしたいのか?」は
クラックされた被害者の言だと思うのだが、その被害者に対して
「増やさずに解決してほしい」と考えるのは的が外れてないか?
それとも、「クラックされるようなサイトを運営してるんじゃねぇ
お前がサイト閉じれば一つ問題が減るんだ」ってこと?
Re:問題を増やさないでくれ (スコア:1)
ごめん、なんか勘違いしてたわ……改竄した側が残したメッセージなのね。
改竄された側が改竄行為に抗議するためにやったのだと思ってた。
逝ってきます……。
# というか、ここで話題になるくらい時間が経ってもまだ復旧していないとは
#思わなかったよ。
Re:問題を増やさないでくれ (スコア:0, 余計なもの)
改竄者のメッセージを、記事に引用するのも如何なものでしょう?
しかもご丁寧にも日本語訳までしてあげて、犯人の肩を担いでいるような。
blogサイトがクラックされたというニュースの本質を伝えるために、
わざわざ説明が必要な内容でもありませんし。
ちょっと違和感を感じたので。
Re:問題を増やさないでくれ (スコア:0)
犯人が具体的な主張を掲げているならば兎も角、
今回の場合は「なんか意味不明なこと言ってるよアハハ」な次元なので、
特に問題無いような気がしなくも無くもないのですが...。
> わざわざ説明が必要な内容でもありませんし。
「何らかの主張
とりあえず (スコア:1, 参考になる)
表現 (スコア:1)
ついにセキュリティーホールが「バグ」と呼ばれることに抵抗がなくなったのだな…と。
喜ばしいことです。
Re:表現 (スコア:1)
単体では問題ない「仕様」のプログラムの組み合わせによって
セキュリティホールができる場合とか、そもそも仕様が
くさっていてできるセキュリティホールとか、
世の中にはいろいろあるんですよ。
Mozilla のプラグインで、サーバのロジックが壊れた事 (スコア:1)
mozilla-tabext-1.6.2003021201-0vl1
を、入れたMozillaで、Zopeを使ったサイトの管理画面に入ると、
ロジックごと破棄されてました。 そのときは、100%再現しましたねー。
(1週間後にリリースされた物では、起こりません)
以後、Mozillaには、mozilla-tabext入れなくなりました。
今使ってる、Firefoxにはたくさん入れてますが。 (笑
# 仲間内では、「新たなDos攻撃方法、発見だね。」なんて、言われましたけど。
hoihoi-p 得意淡然、失意泰然。
Re:Mozilla のプラグインで、サーバのロジックが壊れ (スコア:1)
失礼。
hoihoi-p 得意淡然、失意泰然。
あっちもこっちもWebアプリ、の弊害か (スコア:0, 参考になる)
さまざまなスクリプトを一気にインスコするblogシステムを雑誌の記事とか真似てインスコしただけの
「自宅Webサーバーやってます」なんて奴は、一度しっかりその構造を確かめた方がいい。
OSアップデートしてようがポート塞いでようがこういうのは関係ないんだから。
さらに書けば「このサイトHTMLで十分じゃん」みたいな内容のblogよ。
非力なサーバーマシンだとCGIの実行だけでそれなりにもたるのに
「更新が面倒だから」という管理者の都合だけでblogにするのもどうかと思うぞ。
しかもゴテゴテの装飾までつけて。flashだらけのサイトにぶつかった時同様ムカッとする時がある。
興味本位で入れるのは仕方ないけど、ちゃんと面倒は見ようね。
Re:あっちもこっちもWebアプリ、の弊害か (スコア:3, 興味深い)
大体、modrewrite使ってURLが.htmlでも実はCGIなケースも沢山あるし。
例えばうちみたいな日記 [kei100.jp]とかで日付は.htmlですが内部はRubyなCGIスクリプトです。
どうでも良いですが装飾と静的HTMLであるかは無関係かと思います。
かの愛生会(リンク先、音その他多数注意セヨ) [aiseikai.or.jp]のような例もあるわけで。
閑話休題。
大体、スクリプトが沢山だろうが1つだろうが同じです。
マニュアルクラッキングならともかく自動検索(CGIのバナー頼りにGoogle経由とか)なら
穴があるスクリプトが簡単に発見され簡単に侵入されます。
結局1つでもスクリプトを入れたなら継続的メンテナンスが必要になるわけで。
結局、WebアプリもOSの定期的なアップデートと同じでしょ?
そういう意味でblog系とかのスクリプトも自動更新とかに対応してほしいですな。
大抵そのまま上書きすればいいけど、たまに互換性問題があって面倒だったりするし。
# tDiaryで日記をつけているからID
うちの自作ブログは…… (スコア:1)
・ヘッダ(日付)
+include("20050205.html");
・ヘッダ(日付)
+include("20050204.html");
みたいな感じで include しまくってます。 ~_~;
これは静的というのか動的というのか。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
Re:うちの自作ブログは…… (スコア:0)
>これは静的というのか動的というのか。
動的です。
インクルード先は、静的なれどそのコンテンツはアクセス毎に生成しているではないですか。
いや、静的です。
見る人は毎回同じコ
Re:うちの自作ブログは…… (スコア:0)
「アクセスしたときにページを生成してるか」という
定義で決まると思ってました。
その原理で言うと、アクセスカウンタが乗ってる、SSI使った
HTMLも動的になるけど、、あれは動的とは言わな
Re:うちの自作ブログは…… (スコア:1)
Re:うちの自作ブログは…… (スコア:1)
だから、SSI でも、
・最終更新日時を埋め込むぐらいの処理で、If-Modified-Since が使えるようにしてるものは静的
(apacheでファイルに実行属性を付けてるとか)
・アクセスカウンタみたいにアクセスする度にデータが変わるのは動的
ですかねぇ。
もっとも、apache は CGI でも Last-Modified 情報を元に If-Modified-Since を処理してくれますので、
If-Modified-Since が使えても静的ではない場合があるってところが判断の難しいところですが…
Blogのアップデートが面倒なので・・・ (スコア:1)
未だにlivedoor Blogを使っています(笑)
最初は、自分のサーバにBlogを乗せる予定だったのですが管理する手間を考えると、
まだまだBlogを自分のサーバに実装する気が、なかなか起きず。
# ものぐさな私にはBlogを毎日更新するだけでも面倒(笑)なのは秘密
ライブドアBlogは日付の変わる前後は更新が多いらしく重たいので、
ソフトの自動更新が出来るBlogがあれば自分のサーバに導入したいな~。
Re:あっちもこっちもWebアプリ、の弊害か (スコア:1, 参考になる)
CGIに加えて装飾となれば、ただ静的htmlな所より明らかに重いです。
コメントやTrackBackなんか明らかに必要なさげなblogも実際ありますし、
提供する情報に合ったサイト構造を選んでいないところには私もうんざりします。
量の問題ではないと申しますが、ひとつよりふたつ、三つとスクリプトが増えれば
設定ミスなんてポカの可能性も含め、穴ができる可能性は指数的に増えますよ。
サーバー機なら導入するソフトウェアは厳選するのが基本でしょ?
なんか、このスレ先頭のコメントみたいなこと言われないために
Webアプリ開発者がいかに頭をしぼっているか、考慮の外におかれたようでガックリです。
正直個人の日記サイトなら、HTMLな扉にレンタル日記、レンタル掲示板で十分だと思いますよ。
Re:あっちもこっちもWebアプリ、の弊害か (スコア:0)
自分の領域ではCGIスクリプトを走らせないヤツね。
素人はそんなんでいいじゃん。
Re:あっちもこっちもWebアプリ、の弊害か (スコア:0)
パソコンはウイルス感染の可能性があるから素人は使うな、みたいなえらい低レベルな話だな。
低レベルなのはサーバー管理者? (スコア:0)
パソコンはともかく、サーバーは素人が扱うのは感染の可能性が高いと思われるけど。
更新?なにそれ?って感じのサーバーがやたらと多いと思いませんか?
Re:低レベルなのはサーバー管理者? (スコア:0)
感染?踏み台ではなく?
実際、低レベルなのだから仕方ない。 (スコア:0)
他人に迷惑を掛けないだけの責任意識の無いものは保護者の監督下以外では使うな。
サーバやパソコンに限らず、社会のあらゆる要素について同様にお考え頂きたい。
Re:あっちもこっちもWebアプリ、の弊害か (スコア:2, すばらしい洞察)
どこにぶら下げようか迷ったので大元に。
まず、動的コンテンツと静的コンテンツの定義を云々しても始まらんと思うのですよ。
SSI でページのヘッダとフッタをくっつけても動的ってことになるだろうけど、それが脆弱性になるとは考えにくい。
JavaScript でランダムな文字列を出力しても動的ということになると思うのですが、この場合サーバでの演算処理が入っていないので、おそらくこのストーリーとは無関係です。
仕組みがよくわかっていない初心者がいろいろ手を出したあげくに穴を開けてしまうことを憂慮して「動的コンテンツは危険(なこともある)だからなるべく使うな」という助言はアリでしょうけど、./で提唱するレベルの話ではないような。
あと、気持ちはわかるけど Flash にまで当たり散らすべきではありません。Flash だって Web アプリになりうるけど、Flash だらけのサイトが今回のようなクラック対象になるわけじゃないでしょ?
HTML で書けばじゅうぶんに見える Blog だって、Blog の内容と管理者の技術や知識は別問題なので、ちと説得力に欠けると思います。いかんせん、脈絡がなさ過ぎ。
気持ちはわかるんだけどね。
たぶん身近に「手に負えない初心者」がおられるのでしょう。
> 興味本位で入れるのは仕方ないけど、ちゃんと面倒は見ようね。
の一文には同意できますし。
[わかってもらうことは難しい。わかってあげることは、もっと難しい。]
Re:言いたいことは分かりますが (スコア:0)
ページと、一緒くたに言いすぎです。
# だからマイナスモデ喰らうんだよ。
Re:あっちもこっちもWebアプリ、の弊害か (スコア:0)
久々の修正前アタック (スコア:0)
Re:その発言に某少年漫画仕様で突っ込んでみる (スコア:1)
松田「あっいやそういう意味じゃなく……すいません」
いやホント、こっちもすみません(汗
まあとりあえず、
改ざん、かっこわるい
って事で。こういうのを面白がるのはやめましょう。
Re:その発言に某少年漫画仕様で突っ込んでみる (スコア:1)
Re:その発言に某少年漫画仕様で突っ込んでみる (スコア:0)
それなりに知識がなきゃできないことだったから。
今はその程度のことできる人がいくらでもいるから
script kiddyとかって馬鹿にされるんでしょう。
すごいcrackはhackのうちですよ。
いまどきwebの改竄なんてちっともすごくないってだけ。
Re:その発言に某少年漫画仕様で突っ込んでみる (スコア:2, すばらしい洞察)
hackerは創ります。
# 定義はこれだけで十分だ
Re:同感 (スコア:1)
The Word "Hacker" [paulgraham.com]
# 翻訳になると「天邪鬼の価値」って題になってる
Re:同感 (スコア:1)
> 「創る」とか「カッコイイ」とか無闇に勝手な期待をされるのは困りますね。
まぁ、このテの議論は「俺定義」が氾濫しやすいのでアレですが。
「crackerは壊します。hackerは創ります。」
ってのは明らかに Eric の引用 [catb.org]ですね。
> hackの成果物を公開するとオリジナルの作者の権利を侵害する可能性もあり、
> ほとんどの場合は自分の欲求は満たせるでしょうけど、
> 社会に貢献出来るとは限りません。
すごく狭い事例を以って結論にいきますね。
まぁ狭さが明瞭なのでいいっちゃぁいいんですが。
Re:その発言に某少年漫画仕様で突っ込んでみる (スコア:1, すばらしい洞察)
アホ抜かすな。
Re:評価すべきなのは (スコア:1)
目的とするものそれ自体ではないかと。
改ざん行為自体、自己満足故に他者の権利を踏みにじる行為ですので
そこにいたる難度の程度に関わらず褒められたものではない、というか、
難度によって評価が変わるような物ではない、という事です。
(そうはいっても技術者の方は難度が高いと無条件で内心評価してしまう
ものなのかもしれませんケド(汗))
なので、カッコイイとかスゴイとかは、少なくとも公には言ってはいけない
のではないかと思います
Re:評価すべきなのは (スコア:0)
ただし、「他人のWebページを改竄するのは、犯罪だからやっちゃいけない事だよ」ってのは書き添えとかないとPL法にひっかかるかも?
Re:その発言に某少年漫画仕様で突っ込んでみる (スコア:1)
いくら手口があざやかでも、クラッカーはクラッカー。
//Sinraptor
Re:その発言に某少年漫画仕様で突っ込んでみる (スコア:0)
>script kiddyとかって馬鹿にされるんでしょう。
人に迷惑かけて喜ぶような低脳だからkiddyって言われるんだと思うが。
Re:その発言に某少年漫画仕様で突っ込んでみる (スコア:0)
クズはクズ同士ってことかね。
Re:その発言に某少年漫画仕様で突っ込んでみる (スコア:0)
どういう意味でクズと書いてるのかまったく理解してない…
Re:改ざん・・・ (スコア:0)
Re:改ざん・・・ (スコア:0)
正義感に燃え上がれば美味さ倍増
よくあることです