パスワードを忘れた? アカウント作成
725602 journal

sakuraの日記: 無料サーバその後

日記 by sakura

さて、以前の日記で書いた「無料サーバでセキュリティホールハケーン」の
件ですが、どうやらその後sshが閉じられたようです。こっちから連絡した
のに、返事無しで制限か、でもまぁいいや。……っと思っていたらなんと、
loginが動いているではないですかっ!rloginコマンド打ったらあっさりと
侵入……ぢゃなくてログインができました。うーむ、一体ここのサーバは(^^;
そしてこの前指摘したshutdownコマンドはというと、ううっ、まだ誰でも
実行できるし。やれやれ。ってことで、またメールを出してみたり。要約すると

あんたssh閉じてもlogin空いてんじゃ意味ないじゃん。つーかnmapしたけど
port空きすぎ。IP reachableなマシンでsambaなんか動かすなって。それに
さ、cgi実行した時にエラーが出て「おっ、こりゃ便利」とか思わせてるの
かもしれないけど、apacheのエラーログ下から10行ぐらい出しちゃ他
ユーザの情報がばりばり漏れるんだよ。やめといたほうがいいけど、やる
んなら1行ぐらいにおさえときな。それにさ、前のメールに書いていた
shutdownコマンドのpermission問題、まだ解決してないじゃん。あれで
cgiからコマンド実行されたらどうすんのさあんた。それと、httpsなんか
自分とこで証明書発行して「ユーザ登録時は経路が安全に……」とか書いて
あるけどさ、よく見てみりゃ、証明書が誰でも見られるぞ。んまぁftp
は公開ディレクトリにchmodされるからいいと思ってんのかもしれないけど、
こうやってloginできる状態だし、第一cgiから実行されたらひとたまりも
ないじゃん。あーまだまだいっぱいあるけど、もうつきあってらんない。
じゃあね。

ってな感じ。あ、もちろん心の中ではこうですが、メールの本文は丁寧な
口調に変換してます(笑)。

じゃあ私はこんなところ使わなきゃいい、って思われるけど、やっぱり
自分もいろいろ同じような過ちはやってきたし、管理人にもそんな間違いは
繰り返させたくありませんから。私の意見がサーバ運営者としての一助に
なれば……そう思っています。

おおっ、なんか珍しく柄に合わないこと言ってるし、俺(^^;;

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...