sakuraの日記: 無料サーバその後
さて、以前の日記で書いた「無料サーバでセキュリティホールハケーン」の
件ですが、どうやらその後sshが閉じられたようです。こっちから連絡した
のに、返事無しで制限か、でもまぁいいや。……っと思っていたらなんと、
loginが動いているではないですかっ!rloginコマンド打ったらあっさりと
侵入……ぢゃなくてログインができました。うーむ、一体ここのサーバは(^^;
そしてこの前指摘したshutdownコマンドはというと、ううっ、まだ誰でも
実行できるし。やれやれ。ってことで、またメールを出してみたり。要約すると
あんたssh閉じてもlogin空いてんじゃ意味ないじゃん。つーかnmapしたけど
port空きすぎ。IP reachableなマシンでsambaなんか動かすなって。それに
さ、cgi実行した時にエラーが出て「おっ、こりゃ便利」とか思わせてるの
かもしれないけど、apacheのエラーログ下から10行ぐらい出しちゃ他
ユーザの情報がばりばり漏れるんだよ。やめといたほうがいいけど、やる
んなら1行ぐらいにおさえときな。それにさ、前のメールに書いていた
shutdownコマンドのpermission問題、まだ解決してないじゃん。あれで
cgiからコマンド実行されたらどうすんのさあんた。それと、httpsなんか
自分とこで証明書発行して「ユーザ登録時は経路が安全に……」とか書いて
あるけどさ、よく見てみりゃ、証明書が誰でも見られるぞ。んまぁftp
は公開ディレクトリにchmodされるからいいと思ってんのかもしれないけど、
こうやってloginできる状態だし、第一cgiから実行されたらひとたまりも
ないじゃん。あーまだまだいっぱいあるけど、もうつきあってらんない。
じゃあね。
ってな感じ。あ、もちろん心の中ではこうですが、メールの本文は丁寧な
口調に変換してます(笑)。
じゃあ私はこんなところ使わなきゃいい、って思われるけど、やっぱり
自分もいろいろ同じような過ちはやってきたし、管理人にもそんな間違いは
繰り返させたくありませんから。私の意見がサーバ運営者としての一助に
なれば……そう思っています。
おおっ、なんか珍しく柄に合わないこと言ってるし、俺(^^;;
無料サーバその後 More ログイン