ブログ機能を備えたイラストサイト向け日記帳
freo、Web Diary Professional 他Web Libertyのスクリプトスレです。
Web Liberty
ttp://www.web-liberty.net/
Web Diary Professional配布元
ttp://www.web-liberty.net/download/diarypro/index.html
サポート掲示板(freo以外のWeb Libertyのスクリプト用)
ttp://www.web-liberty.net/support/index.html
freo配布元
ttp://freo.jp/
freo設置に関するサーバー別トラブルシューティング
ttp://freo.jp/setup/trouble/index.html
freoサポート掲示板
ttp://freo.jp/support/
前スレ
【freo】Web Liberty総合【Web Diary Pro】
http://hibari.2ch.net/test/read.cgi/blog/1290154285/
探検
【freo】Web Liberty総合2【Web Diary Pro】
1Trackback(774)
2011/05/31(火) 08:40:40.65ID:/1e7LxBz2014/01/25(土) 01:35:32.05ID:FO4M7rX3
つーか末端ユーザに警察から警告とかねーわ
618593
2014/01/25(土) 11:19:27.24ID:ZaJSS7Nq メールしました
メンテできてなくて気になってたからこの機会に停止するだそうです
メンテできてなくて気になってたからこの機会に停止するだそうです
2014/01/25(土) 14:00:25.08ID:5oaxjuak
保証なし自己責任で再配布してくれないかなあ
ここのブログCGI一番使いやすいんだよね…
freoはもさっとしてて苦手
ここのブログCGI一番使いやすいんだよね…
freoはもさっとしてて苦手
620593
2014/01/25(土) 17:17:27.93ID:ZaJSS7Nq 作者さんはあんまり修正する気がないみたいです
1週間以上返事がない
とりあえず自分で見つけてみた
1週間以上返事がない
とりあえず自分で見つけてみた
621593
2014/01/25(土) 17:24:32.94ID:ZaJSS7Nq やっとこさ再現出来た
プラグインの処理で、クエリをそのままevalしてるところがあって、そこを使えば突破できた
mode=admin&work=new&admin_user=1&admin_pwd=1&plugin=Sample;require webliberty::App::Admin;
${$self}{init}{data_user} %3d 'echo 1 11b0WGZJEBWiw admin|';
my $app_ins %3d new webliberty::App::Admin(${$self}{init}, ${$self}{config}, ${$self}{query});
$app_ins::run;
(途中改行してます)
GETの確認までで、実際のPOSTまでは進んでないが、理屈では通るはず
こんな感じで、最初っからSampleのプラグインが存在するのを利用して、evalルーチンにやりたいことを渡せばOK
admin_user以降のクエリを付加し続ければ、adminとしてその後なんでもできる
なんでevalでrequireなんてしてるのかというと、攻撃者はわざわざ新規記事投稿して、その際のファイルアップロードを利用してファイルを置いてたのよね
俺ならuser.logでも追記しちゃうけど、それをしないでどうみてもブラウザでちまちまファイルアップしてるのよ
アップ記事の確認までちゃんとしてる
それを再現するために、わざわざパスワードを完全無効化できるパラメータにした
evalの部分を見つけるのは早かったが、パスワード無効化のパラメータ作る方に苦労したw
ってか、中華がこんなことわざわざやるとも思えないし、もっと別の脆弱性があるんだと思う
誰か手伝ってもらえませんか?
穴を塞ぎたいので
プラグインの処理で、クエリをそのままevalしてるところがあって、そこを使えば突破できた
mode=admin&work=new&admin_user=1&admin_pwd=1&plugin=Sample;require webliberty::App::Admin;
${$self}{init}{data_user} %3d 'echo 1 11b0WGZJEBWiw admin|';
my $app_ins %3d new webliberty::App::Admin(${$self}{init}, ${$self}{config}, ${$self}{query});
$app_ins::run;
(途中改行してます)
GETの確認までで、実際のPOSTまでは進んでないが、理屈では通るはず
こんな感じで、最初っからSampleのプラグインが存在するのを利用して、evalルーチンにやりたいことを渡せばOK
admin_user以降のクエリを付加し続ければ、adminとしてその後なんでもできる
なんでevalでrequireなんてしてるのかというと、攻撃者はわざわざ新規記事投稿して、その際のファイルアップロードを利用してファイルを置いてたのよね
俺ならuser.logでも追記しちゃうけど、それをしないでどうみてもブラウザでちまちまファイルアップしてるのよ
アップ記事の確認までちゃんとしてる
それを再現するために、わざわざパスワードを完全無効化できるパラメータにした
evalの部分を見つけるのは早かったが、パスワード無効化のパラメータ作る方に苦労したw
ってか、中華がこんなことわざわざやるとも思えないし、もっと別の脆弱性があるんだと思う
誰か手伝ってもらえませんか?
穴を塞ぎたいので
622593
2014/01/25(土) 17:30:19.79ID:ZaJSS7Nq あ、echoのところの
1と11b0WGZJEBWiwとadminの区切りはタブね
WDPは\tでsplitしてるので
1と11b0WGZJEBWiwとadminの区切りはタブね
WDPは\tでsplitしてるので
623607
2014/01/25(土) 22:01:56.04ID:RKkYg/s2 593さん
私のクライアントも新規投稿で悪質なサイトへのさそいが2件、
dataフォルダーには
burberry
gucci
というフォルダーをつくられそのブランドの商品説明HTMLファイルを
おかれていました。
さらに
D3ck9h.php
seoworld.php
という怪しげなファイルが置かれていました。
WDPはクライアントにも大変使いやすいプログラムで
今後も使い続けたいと思っています。
私はプログラムにはちんぷんかんぷんですが
ないとさん、皆さんに期待しております。
私のクライアントも新規投稿で悪質なサイトへのさそいが2件、
dataフォルダーには
burberry
gucci
というフォルダーをつくられそのブランドの商品説明HTMLファイルを
おかれていました。
さらに
D3ck9h.php
seoworld.php
という怪しげなファイルが置かれていました。
WDPはクライアントにも大変使いやすいプログラムで
今後も使い続けたいと思っています。
私はプログラムにはちんぷんかんぷんですが
ないとさん、皆さんに期待しております。
2014/01/26(日) 02:42:18.79ID:9GGpymna
警察から警告来た人か
よかったらそのメール?か何か晒してくれ
よかったらそのメール?か何か晒してくれ
625Trackback(774)
2014/01/26(日) 03:16:23.95ID:83tX4hE7 サイト企業の代表者へ電話でした。
2014/01/28(火) 02:35:06.09ID:huqAYFRd
どうにも信用しにくいな
>>614->>617あたりに同意
>>614->>617あたりに同意
627593
2014/01/28(火) 09:08:59.23ID:ihcjvpF7 今回の輩はどうもSEO目的みたいですね
ファイルを置いてリンクを張るのが目的のよう
それ以外のことは特にしてこないからあんまり実害ない
私が分かったのはサーバのログに自分が置いてないファイルが出てたから
実は私と同時期にクライアントのサーバ会社も事態を把握したようだから、
変なアクセスは増えるんだろうけども。
あとはPOPサーバ情報なんかを入れてる人はそれは見られちゃうね
ファイルを置いてリンクを張るのが目的のよう
それ以外のことは特にしてこないからあんまり実害ない
私が分かったのはサーバのログに自分が置いてないファイルが出てたから
実は私と同時期にクライアントのサーバ会社も事態を把握したようだから、
変なアクセスは増えるんだろうけども。
あとはPOPサーバ情報なんかを入れてる人はそれは見られちゃうね
628593
2014/01/28(火) 09:22:29.67ID:ihcjvpF7 本当かどうか知りたい人は、diary.cgiのURLを記載したファイルを同一ドメイン上に
あげて、そのファイルのURLを張ってもらえれば、環境設定画面のスクリーンショットをUPできます
あげて、そのファイルのURLを張ってもらえれば、環境設定画面のスクリーンショットをUPできます
2014/01/31(金) 09:28:51.00ID:kUSqjVQo
ニッキーは復活したけど、自分で設置するイラストや写真を展示するのに
手軽なツールがどんどん減ってるなぁ
手軽なツールがどんどん減ってるなぁ
2014/01/31(金) 21:17:30.33ID:T5fUTTXj
今更何を、と思ったけどイベントが2巡するのは初めてだっけ
来週はバレンタイン来るかな?
来週はバレンタイン来るかな?
2014/01/31(金) 21:53:42.19ID:T5fUTTXj
ごめん誤爆
2014/02/02(日) 22:42:21.55ID:6PhdtoXw
>>629
ほんこれ
ほんこれ
2014/02/05(水) 18:42:40.10ID:iCwN5ioK
イラスト設置するのにどっかいいのないですかね?
634593
2014/02/06(木) 08:49:47.15ID:1iRU7+xc さすがはgoogleさんで、このphpファイルを見つけると、クラッキングと判定するようです
WDP使ってるサイトで、ぐぐった際の結果に、「このサイトは第三者にハッキングされています」とか出てたら、
おそらくWDPが原因でしょう
WDP使ってるサイトで、ぐぐった際の結果に、「このサイトは第三者にハッキングされています」とか出てたら、
おそらくWDPが原因でしょう
2014/02/06(木) 11:39:56.14ID:9sPSJZ5D
あまり詳しくないんで教えてちゃんですまん
じゃあWeb Libertyは変えてfreoに移ったほうが良い?
じゃあWeb Libertyは変えてfreoに移ったほうが良い?
636593
2014/02/06(木) 19:59:47.46ID:1iRU7+xc 作者がそれを推奨してますので、できるならそれがいいでしょう
私は移りたくないので色々やってますが
私は移りたくないので色々やってますが
2014/02/06(木) 23:51:20.53ID:8ga4HLgg
変なストーカーに絡まれて大変だなあ
2014/02/07(金) 03:31:39.74ID:JWPoAxs1
同意
脆弱性は事実なのかもしれん(自分に知識がないんで
可能性がゼロとは言わない)が…
警察から電話とかちょっと信用しにくいし(警察がそこまでやってくれりゃありがたいんだが)
>>628とか悪いがそんなことできねーよこえーこと言うなwって感じだし
あと脆弱性指摘してたブログが愚痴と攻撃性に溢れててまず怖いってのもあるw
脆弱性は事実なのかもしれん(自分に知識がないんで
可能性がゼロとは言わない)が…
警察から電話とかちょっと信用しにくいし(警察がそこまでやってくれりゃありがたいんだが)
>>628とか悪いがそんなことできねーよこえーこと言うなwって感じだし
あと脆弱性指摘してたブログが愚痴と攻撃性に溢れててまず怖いってのもあるw
639593
2014/02/08(土) 23:33:44.43ID:Srgf1dh0 儲w
2014/02/08(土) 23:53:16.69ID:Fh1nbGBO
胡散臭いからそう思われるのも仕方ない
2014/02/11(火) 11:42:01.96ID:/NaO1guU
>>638
事実だから仕方ない。友人にはまずメールでプロバイダの方に連絡が行ったんだそうだ。
プロバイダから連絡がきて改ざんページを確認。
知らないうちにブランド品の販売ページがサイト内に出来上がってたんだと。
自分は同じものを使ってたから変更した方が良いと言われて、作者ページをみたら休止中だし
ここに確認しにきたら同じ人がいた。
他にも被害者がいるのでは?
事実だから仕方ない。友人にはまずメールでプロバイダの方に連絡が行ったんだそうだ。
プロバイダから連絡がきて改ざんページを確認。
知らないうちにブランド品の販売ページがサイト内に出来上がってたんだと。
自分は同じものを使ってたから変更した方が良いと言われて、作者ページをみたら休止中だし
ここに確認しにきたら同じ人がいた。
他にも被害者がいるのでは?
2014/02/11(火) 11:44:19.70ID:/NaO1guU
2014/02/15(土) 12:08:04.11ID:yMR/5htG
>>635
昨年、 WDP -> freo に移行したけど、freoに移行してよかった。
プラグインを入れない状態ならむしろ軽いし、フリーのスキンもだいたい同じようなのが提供されてるし、WDPからのログの変換もツール一発で簡単でした。
PHPは知らなかったけど、少しドキュメント読めばカスタマイズもしやすい。
freoにはとても満足してます。
昨年、 WDP -> freo に移行したけど、freoに移行してよかった。
プラグインを入れない状態ならむしろ軽いし、フリーのスキンもだいたい同じようなのが提供されてるし、WDPからのログの変換もツール一発で簡単でした。
PHPは知らなかったけど、少しドキュメント読めばカスタマイズもしやすい。
freoにはとても満足してます。
2014/02/15(土) 12:52:25.03ID:NAH3eyq1
今頃移行自慢w
2014/02/16(日) 22:36:19.00ID:B62kMp/L
635の質問に答えてるだけじゃないの?
自分もfreoとWDP使ってるけどfreoにしちゃった方がいいのかな
DBとか何か設定あったような気がするけどfreo設置したの大分前で思い出せん
自分もfreoとWDP使ってるけどfreoにしちゃった方がいいのかな
DBとか何か設定あったような気がするけどfreo設置したの大分前で思い出せん
646593
2014/02/18(火) 11:40:48.29ID:XpJp0hBh WDPは対策しないと中国人にクラックされてgoogleにクラックされているサイトのタグを付けられますよ
作者も推奨してるし移れるなら移ったほうがいいです
作者も推奨してるし移れるなら移ったほうがいいです
2014/02/18(火) 16:37:33.66ID:A4yXB18p
>646
対策の方法があれば教えてください。
対策の方法があれば教えてください。
2014/02/20(木) 05:03:51.87ID:N7sY0KO+
データベース使えない鯖だから重宝してたのに
2014/02/22(土) 09:12:59.25ID:HelFmPv7
WDP以外のツールなら使っても平気なのかな?
clapとgallery使ってる
clapとgallery使ってる
2014/02/23(日) 23:37:39.13ID:jAY89oIe
スパムがすごいよな
海外全部はじいてる
海外全部はじいてる
651Trackback(774)
2014/02/24(月) 13:54:24.06ID:F9Hd0WIV diaryproの脆弱性を利用して phpファイルを置かれて
そのphpからやられていると 大阪府警サイバー犯罪対策課 から
電話がありました。
うちの会社は、UGGだかの靴のサイトを置かれてた
うちにも D3ck9h.php や mod_api.php やら (数字).php やら
いくつかのPHPやファイルが置いてありました。
中国人やめてくれー
そのphpからやられていると 大阪府警サイバー犯罪対策課 から
電話がありました。
うちの会社は、UGGだかの靴のサイトを置かれてた
うちにも D3ck9h.php や mod_api.php やら (数字).php やら
いくつかのPHPやファイルが置いてありました。
中国人やめてくれー
2014/02/24(月) 17:05:45.92ID:RoNcCT3q
diaryproの中国の大量アクセスとか
コメント欄の大量スパムとか関係あります?
コメント欄の大量スパムとか関係あります?
2014/02/24(月) 19:40:11.60ID:aUPvR9Qq
ていうかここまで被害大きくなってきたら作者も一言なりページに対策載せておいたほうがいいんじゃないかと思うんだが
2014/02/24(月) 20:01:19.79ID:aRVOB35l
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} (.*)?/login(.*)?$ [OR]
RewriteCond %{REQUEST_URI} (.*)?/admin(.*)?$
RewriteCond %{REMOTE_ADDR} !^000\.000\.000\.000$ ←自分のIP
RewriteRule ^.*$ - [F]
</IfModule>
RewriteEngine On
RewriteCond %{REQUEST_URI} (.*)?/login(.*)?$ [OR]
RewriteCond %{REQUEST_URI} (.*)?/admin(.*)?$
RewriteCond %{REMOTE_ADDR} !^000\.000\.000\.000$ ←自分のIP
RewriteRule ^.*$ - [F]
</IfModule>
2014/02/24(月) 20:46:12.73ID:aRVOB35l
2014/02/24(月) 21:01:57.01ID:+JFSr6ru
だろうね
警察から鯖に連絡行くくらいなら、どっかから作者にも連絡が入ってるはずなのに
作者から何のアナウンスもない
この状況の異常さを何とも思わない類の人なんだろう
警察から鯖に連絡行くくらいなら、どっかから作者にも連絡が入ってるはずなのに
作者から何のアナウンスもない
この状況の異常さを何とも思わない類の人なんだろう
2014/02/25(火) 06:42:30.40ID:itrkbSjr
>>628 以外の方法で示してよ
2014/02/26(水) 14:46:55.10ID:W60xT0rl
(>>656はWDPハッキングされたと言ってる連中を異常だと言ってるのか
作者を異常だと言ってるのか解らなくなってきた)
作者を異常だと言ってるのか解らなくなってきた)
2014/02/26(水) 15:01:21.28ID:W60xT0rl
2014/02/26(水) 17:45:10.86ID:XCbJ7qaC
661Trackback(774)
2014/02/27(木) 09:54:07.99ID:fvu9PDm0 651です。
うちは、diaryproの(どこだったか忘れたが)あるフォルダを見ると
ユーザ名と暗号化されたパスワードが載っているファイルを見られる
その暗号化されたファイルを解析してadminのパスワードが破られた
と思われると警察の方に教えてもらった。
当方、phpなどは全然解らないため置かれたファイルを見ても何が何
だか解らないが、D3ck9h.phpはファイルマネージャ的な動作をする
ような気がするな・・・
「copy」って書くところ「copu」になっている場所もあったけど…
うちは、diaryproの(どこだったか忘れたが)あるフォルダを見ると
ユーザ名と暗号化されたパスワードが載っているファイルを見られる
その暗号化されたファイルを解析してadminのパスワードが破られた
と思われると警察の方に教えてもらった。
当方、phpなどは全然解らないため置かれたファイルを見ても何が何
だか解らないが、D3ck9h.phpはファイルマネージャ的な動作をする
ような気がするな・・・
「copy」って書くところ「copu」になっている場所もあったけど…
662Trackback(774)
2014/02/27(木) 12:09:52.75ID:88GiCXUN とりあえずパスワードを難解にしておくか
2014/02/27(木) 12:33:28.96ID:yCIVsZhY
警察だのハッキングだのうるさい人等は
警察から来たメールのスクショとか晒せないの?
もちろんアドレスとか見られたら困る部分は隠したって構わないし
確固たる証拠もないのに騒いでも誰からも信じて貰えないよ
警察から来たメールのスクショとか晒せないの?
もちろんアドレスとか見られたら困る部分は隠したって構わないし
確固たる証拠もないのに騒いでも誰からも信じて貰えないよ
2014/02/27(木) 14:54:32.52ID:dAzj0fXT
そんなことできればとっくにやってる
やってないってことはできないってことさ
全部脳内の出来事だからね
やってないってことはできないってことさ
全部脳内の出来事だからね
2014/02/27(木) 16:30:03.21ID:CTQfD2Hz
中国からのアクセスを禁止にすれば?
あと電話がきたってにわかには信じ難い
その電話番号は誰から漏れたの?ってことになるし
あと電話がきたってにわかには信じ難い
その電話番号は誰から漏れたの?ってことになるし
2014/02/27(木) 21:35:47.40ID:/bYHLKeg
逆にサイバー何とかにこういう件でハッキングがあるかどうか尋ねればいいのでは
自分はこういうのよくわからんけど被害ないと問い合わせってできないのかな?
自分はこういうのよくわからんけど被害ないと問い合わせってできないのかな?
2014/02/28(金) 09:13:16.39ID:1GcvVMCp
電話は嘘だろうが
中国からのアクセスすごいよね
中国からのアクセスすごいよね
668Trackback(774)
2014/02/28(金) 10:57:04.60ID:varXdMZ9 651が詳しくかいている。
オレもそこからだ。
メールをさらせっていわれても電話だもん。
単に情報提供しているだけなのに、記事をしっかり読めよ。
おれだってWDPを使い続けたい。
オレもそこからだ。
メールをさらせっていわれても電話だもん。
単に情報提供しているだけなのに、記事をしっかり読めよ。
おれだってWDPを使い続けたい。
2014/02/28(金) 11:08:54.29ID:M2nnhR3j
670593
2014/02/28(金) 11:40:51.77ID:xC6xqaMH 661の人の言ってることはかなりあたってる
少なくとも話に乗っかって適当に書いてる訳ではなさそう。
user.logが標準だとworld readableだってのは設置して解析した人じゃないと
分からないことなので。
って書いてて気づいたんだけど、今ってDESの解析はcorei7ぐらいなら10日もあれば終わるのね。
user.log見つけて6桁以下ぐらいのパスワードに的を絞ってアタックしてるだけなのかもね
うちもadminのパス短かった
中華ならこのぐらいのレベルってのも納得できる
少なくとも話に乗っかって適当に書いてる訳ではなさそう。
user.logが標準だとworld readableだってのは設置して解析した人じゃないと
分からないことなので。
って書いてて気づいたんだけど、今ってDESの解析はcorei7ぐらいなら10日もあれば終わるのね。
user.log見つけて6桁以下ぐらいのパスワードに的を絞ってアタックしてるだけなのかもね
うちもadminのパス短かった
中華ならこのぐらいのレベルってのも納得できる
671593
2014/02/28(金) 12:06:18.47ID:xC6xqaMH っちゅうわけで、別方向で検証。パスワードが6桁以下の人限定。
diaryproのあるディレクトリから見て、data/user.log (例えば、
http://samp.le/webdiarypro/data/user.log)
にアクセスすると、パスワードファイルの中身が見えます
そこの13桁の暗号化されたパスワードをここに記載して下さい。
6桁以下の人なら、僕のパソコンなら4時間ぐらいで解析できますので、
パスワードをここに書き込みます。
URL書いたりID書いたりしないでね
diaryproのあるディレクトリから見て、data/user.log (例えば、
http://samp.le/webdiarypro/data/user.log)
にアクセスすると、パスワードファイルの中身が見えます
そこの13桁の暗号化されたパスワードをここに記載して下さい。
6桁以下の人なら、僕のパソコンなら4時間ぐらいで解析できますので、
パスワードをここに書き込みます。
URL書いたりID書いたりしないでね
2014/02/28(金) 12:10:31.73ID:KPWNMTQb
解析しますとかたとえ検証だとしてもふざけんなよ
中国のIP弾いてuser.logが見えないように隠して
パスワードを10桁とかにするっていう対策とればいいってわかったからもう十分
中国のIP弾いてuser.logが見えないように隠して
パスワードを10桁とかにするっていう対策とればいいってわかったからもう十分
2014/02/28(金) 12:18:36.42ID:l5JCGioN
確固たる証拠もないのに騒いでも誰からも信じて貰えないよとか言ってたのにw
2014/02/28(金) 12:23:52.36ID:KPWNMTQb
675593
2014/02/28(金) 13:01:42.44ID:xC6xqaMH パスワードはdesだから9文字以上は無意味
2014/02/28(金) 13:54:11.66ID:lpbwhKLQ
>593
ハッシュが見えるのは確かにその通りですね。
ソースが公開されてるこの手のCGIでは仕方のないことなのかな
ファイルのパスかえたりハッシュの作り方変えたり独自の修正すればOKかな
ハッシュ関数desは弄ったことないけど、
大文字、小文字、数字、記号を混ぜての9桁なら結構強力だと思うけどな?
今時PCでも3ケ月くらいかかるんじゃない?
ハッシュが見えるのは確かにその通りですね。
ソースが公開されてるこの手のCGIでは仕方のないことなのかな
ファイルのパスかえたりハッシュの作り方変えたり独自の修正すればOKかな
ハッシュ関数desは弄ったことないけど、
大文字、小文字、数字、記号を混ぜての9桁なら結構強力だと思うけどな?
今時PCでも3ケ月くらいかかるんじゃない?
2014/02/28(金) 14:45:38.79ID:wOfk9n0+
2014/02/28(金) 14:47:48.22ID:wOfk9n0+
??パフワード 〇パスワード
スレ汚しスマン
スレ汚しスマン
2014/02/28(金) 14:49:23.66ID:o2vQzJvr
試したい人がいたらどうぞって話なのに何過剰反応してんの
2014/02/28(金) 15:07:35.00ID:lpbwhKLQ
お言葉に甘えて例題出します
I2fNjxGCR8aW2
英数大小文字+記号、6文字
これで、どれくらいの時間かかりますかね
I2fNjxGCR8aW2
英数大小文字+記号、6文字
これで、どれくらいの時間かかりますかね
682Trackback(774)
2014/02/28(金) 18:01:10.14ID:varXdMZ9 そういわれりゃ、オレも3件やられたが
3件ともアカウントadminでパスワードは4〜6文字のホームページ
あるいはブログタイトルに関連した
単純な単語だった。
まあ、依頼者の希望だが。
英数8文字以上の12件はいまのところ大丈夫
3件ともアカウントadminでパスワードは4〜6文字のホームページ
あるいはブログタイトルに関連した
単純な単語だった。
まあ、依頼者の希望だが。
英数8文字以上の12件はいまのところ大丈夫
683593
2014/02/28(金) 19:45:21.74ID:xC6xqaMH パスワードの解析は犯罪です。
desの逆変換は犯罪ではありません。
>>677
user.logは普通ならhtaccess等でwebからは見られないようにするでしょうね
そうして全く問題ないので
9桁以上の表記は、パスワードは8文字分までしか反映していないよって意味でした
例えば8文字のパスワードの人は、ログイン時になにか適当に文字列をパスワードに付加しても、
普通にログインできるはずです。
また逆に、9文字以上のパスワードを設定している人も、8文字分までしか入力しなくても、ログインできます。
8文字のパスワードも20文字のパスワードも全く変わらないって意味です。
>>681
私のポンコツcore2duoで、1ヶ月ぐらいですね >671の記述は
いつもの 儲 対策で、そういうことができますよって話でした。すんません。
4時間なのは、6文字の半角小文字+数字のみの場合なのでした。
そもそも、私の使ってるDES解析ツールが、そのままでは記号を含められないので、
記号が入ってると大変なのです。中華もきっとありきたりなツールを使ってると思うので、
記号入れてれば多分今回の攻撃者からは逃れられるはずです。
ちなみに8文字で大小文字英+数+記号なら、480年ぐらいかかります。
でもそもそも、>>621で書いてる通り、穴はあるので、そこの対策はせにゃなりませんが。
desの逆変換は犯罪ではありません。
>>677
user.logは普通ならhtaccess等でwebからは見られないようにするでしょうね
そうして全く問題ないので
9桁以上の表記は、パスワードは8文字分までしか反映していないよって意味でした
例えば8文字のパスワードの人は、ログイン時になにか適当に文字列をパスワードに付加しても、
普通にログインできるはずです。
また逆に、9文字以上のパスワードを設定している人も、8文字分までしか入力しなくても、ログインできます。
8文字のパスワードも20文字のパスワードも全く変わらないって意味です。
>>681
私のポンコツcore2duoで、1ヶ月ぐらいですね >671の記述は
いつもの 儲 対策で、そういうことができますよって話でした。すんません。
4時間なのは、6文字の半角小文字+数字のみの場合なのでした。
そもそも、私の使ってるDES解析ツールが、そのままでは記号を含められないので、
記号が入ってると大変なのです。中華もきっとありきたりなツールを使ってると思うので、
記号入れてれば多分今回の攻撃者からは逃れられるはずです。
ちなみに8文字で大小文字英+数+記号なら、480年ぐらいかかります。
でもそもそも、>>621で書いてる通り、穴はあるので、そこの対策はせにゃなりませんが。
684593
2014/02/28(金) 19:55:03.22ID:xC6xqaMH すみません、今考えると私の>>594は勘違いだったようです。
ログイン画面から直接新規投稿へは遷移できるんですね。
ログイン画面から直接新規投稿へは遷移できるんですね。
2014/02/28(金) 20:01:20.21ID:BrEc/9Hj
使いたい人は使えばいいし
まあよく分からん自分はfreoに変更したわ
使いやすくて好きだったんだけどな残念
まあよく分からん自分はfreoに変更したわ
使いやすくて好きだったんだけどな残念
2014/03/01(土) 00:40:42.65ID:o5fSSSvJ
とりあえず「中国人にファイル置かれてた><」って言ってる人が書いたファイル名を検索してもこのスレしか出てこないんだけどw
あと素直な疑問なんだけど、なんで警察は「被害者」に連絡しても「セキュリティに穴のあるプログラムの作者」には連絡してないの?
警察から作者に連絡がいってて、本当にこのままじゃ不味い事態なんだったら、すくなくとも休止中のサイトのトップに「直ちに使用を中止してください」くらいの事は書きそうなんだけどな。
あと素直な疑問なんだけど、なんで警察は「被害者」に連絡しても「セキュリティに穴のあるプログラムの作者」には連絡してないの?
警察から作者に連絡がいってて、本当にこのままじゃ不味い事態なんだったら、すくなくとも休止中のサイトのトップに「直ちに使用を中止してください」くらいの事は書きそうなんだけどな。
687Trackback(774)
2014/03/01(土) 11:53:54.27ID:H3dBhQvk 今きた。
昔から放置してるサイトでWDP使ってる。うちは問題ないけど
心配な人はこのページ読んで実行汁。
http://www.web-liberty.net/support/security.html
作者さんはちゃんと昔からセキュリティ強化方法書いてるよ。
昔から放置してるサイトでWDP使ってる。うちは問題ないけど
心配な人はこのページ読んで実行汁。
http://www.web-liberty.net/support/security.html
作者さんはちゃんと昔からセキュリティ強化方法書いてるよ。
688Trackback(774)
2014/03/01(土) 11:56:03.62ID:H3dBhQvk とりあえず
lib 内 .pm ファイルのパーミッションを600にする
ってのをやっておいた。
lib 内 .pm ファイルのパーミッションを600にする
ってのをやっておいた。
689Trackback(774)
2014/03/01(土) 15:43:52.29ID:PEBICC/I >>687
ありがとう
ありがとう
2014/03/02(日) 03:51:06.91ID:3zfyzFIQ
>>593は「儲」なんて書くとアンチなんじゃね?って余計疑われるよ
2014/03/02(日) 22:38:13.66ID:wi4Fn/fE
自分と意見の合わない者=信者
って考え、自分が何なのか名乗ってるようなもんだよなw
って考え、自分が何なのか名乗ってるようなもんだよなw
692593
2014/03/03(月) 10:38:47.72ID:/vGZjGiN >>681
とりあえず半角小文字+数字の6桁の組み合わせではないってことは
確認しましたが、それ以上は許して
わたしゃー作者さんに対してそこまでアンチではない
もう何年も使わせてもらってるからね これからもそのつもりだし
今回全く何もやる気がないみたいなのは同じPGとしてどうかと思うが
ただ、頭の悪い一名は大変嫌いです
今回の一番やるべきは、.htaccessを置いて.logファイルを見れないようにする事
それ以外にも穴があるので、Plugin.pmの32行目付近のevalをコメントアウトする事
あとはFile.pmのget_extあたりに規制をかけとくといいんだろうけど、なぜかいろんなクエリが
ここを通るのでうまくいかない!
とりあえず半角小文字+数字の6桁の組み合わせではないってことは
確認しましたが、それ以上は許して
わたしゃー作者さんに対してそこまでアンチではない
もう何年も使わせてもらってるからね これからもそのつもりだし
今回全く何もやる気がないみたいなのは同じPGとしてどうかと思うが
ただ、頭の悪い一名は大変嫌いです
今回の一番やるべきは、.htaccessを置いて.logファイルを見れないようにする事
それ以外にも穴があるので、Plugin.pmの32行目付近のevalをコメントアウトする事
あとはFile.pmのget_extあたりに規制をかけとくといいんだろうけど、なぜかいろんなクエリが
ここを通るのでうまくいかない!
693681
2014/03/03(月) 17:53:21.80ID:+mNG1F/b 593>どうもでした
10年程前、MD5の解析で6文字以上は無理だとおもったけど
いまどき6文字が1か月でいけちゃいますか....
8文字で480年っていっても4コアのPC200台もってくりゃ7か月か
10年程前、MD5の解析で6文字以上は無理だとおもったけど
いまどき6文字が1か月でいけちゃいますか....
8文字で480年っていっても4コアのPC200台もってくりゃ7か月か
2014/03/03(月) 18:40:07.09ID:KSfHATZe
作者も忙しくて対処できないとかあろうよ
好意でやってくれてる人に対して求めすぎ
好意でやってくれてる人に対して求めすぎ
2014/03/03(月) 18:42:09.91ID:KSfHATZe
忙しい以外にも乗り気じゃないとかね
よくわからんアンチも実際にいたわけだし
よくわからんアンチも実際にいたわけだし
2014/03/03(月) 19:37:41.27ID:Rziy1vsJ
メディアに閲覧制限かけると管理者であっても開けなくなって
しまうのですがどうしたら良いでしょうか?
グループ、パスワード、ユーザー登録と一通り試してみたのですが
ファイルにURL直打ちでも403が出ます。
エントリー、ページそのものへの制限はかけられて確認も出来ます。
色々試してみたのですが解決策がわかりません。
心当たりのある方、ご教示願います。
しまうのですがどうしたら良いでしょうか?
グループ、パスワード、ユーザー登録と一通り試してみたのですが
ファイルにURL直打ちでも403が出ます。
エントリー、ページそのものへの制限はかけられて確認も出来ます。
色々試してみたのですが解決策がわかりません。
心当たりのある方、ご教示願います。
2014/03/03(月) 23:02:36.89ID:D1YmIvnS
作者はやる気が無いんじゃなくて、対応の必要性を感じてないんじゃないの?
これだけ「警察から連絡来た緊急事案だ」って騒いでるヤツが(数人でも)いて
それが本当の話ならのんびりしてる訳ないじゃん
警察から連絡来たって人は、それが本当なら連絡くれた警察に「作者に伝えろ」
と言えよ>>651とかさ、ここで騒いでも解決しないだろ
警察なら作者の身元調べるくらい簡単だろうし
あと警察のサイトに注意情報を掲載させるとかさ
ホントにヤバいなら俺らにも解るようにヤバさを伝えてくんない?
これだけ「警察から連絡来た緊急事案だ」って騒いでるヤツが(数人でも)いて
それが本当の話ならのんびりしてる訳ないじゃん
警察から連絡来たって人は、それが本当なら連絡くれた警察に「作者に伝えろ」
と言えよ>>651とかさ、ここで騒いでも解決しないだろ
警察なら作者の身元調べるくらい簡単だろうし
あと警察のサイトに注意情報を掲載させるとかさ
ホントにヤバいなら俺らにも解るようにヤバさを伝えてくんない?
698Trackback(774)
2014/03/04(火) 01:23:09.22ID:1l79YYb32014/03/04(火) 01:53:54.39ID:9x1XcQde
700593
2014/03/04(火) 08:57:33.42ID:RUaNI2wv 追加のセキュリティ対策をしていないと悪い使い方になっちゃうプログラムってw
それがPGとしてどうなのよって話 頭悪いさん
>>697
>621でパスワードを完全に無効にする脆弱性の話してるのに、それを見ても対応の必要を感じないとか
試しもしないPGってのはやっぱ終わってるよ俺からしたら
それがPGとしてどうなのよって話 頭悪いさん
>>697
>621でパスワードを完全に無効にする脆弱性の話してるのに、それを見ても対応の必要を感じないとか
試しもしないPGってのはやっぱ終わってるよ俺からしたら
2014/03/04(火) 12:22:38.61ID:Ty6pstqB
(キリッ)
2014/03/04(火) 13:11:18.38ID:Gpii5YlC
>621 はまだ確認していない
usr.logの置いてあるディレクトリにはup fileとかもあるので.htaccessを置くわけにはいかない。
ソースコードがオープンなんだから破る側が圧倒的に有利だなぁ
usr.logの置いてあるディレクトリにはup fileとかもあるので.htaccessを置くわけにはいかない。
ソースコードがオープンなんだから破る側が圧倒的に有利だなぁ
703593
2014/03/04(火) 13:41:10.39ID:RUaNI2wv http://www.futomi.com/lecture/htaccess/files.html
こんなので。logの禁止と、あとついでにphpとか、実行権限付けなくても
実行できちゃう拡張子を禁止しとくなど。
こんなので。logの禁止と、あとついでにphpとか、実行権限付けなくても
実行できちゃう拡張子を禁止しとくなど。
704702
2014/03/04(火) 15:10:35.44ID:Gpii5YlC >593 .htaccess 細かい設定ができるのね、知らなかった、ありがと
2014/03/04(火) 15:35:18.44ID:9x1XcQde
706593
2014/03/04(火) 17:56:47.88ID:RUaNI2wv めんどくさいからやだ(笑)
2014/03/04(火) 18:31:31.83ID:Ty6pstqB
じゃあ他の使えば(笑)
2014/03/05(水) 02:38:52.61ID:Z/L3srr0
593ってヤツがなんだかなぁ…w
2014/03/05(水) 12:21:01.81ID:Lpo0ZTTM
結局、作者が神で593が取るに足らない存在ってことを自ら喧伝してるだけか
人を頭悪い扱いできる程度の頭があるんなら、もうちょっと上手く立ち回ればいいのに
人を頭悪い扱いできる程度の頭があるんなら、もうちょっと上手く立ち回ればいいのに
2014/03/05(水) 13:06:17.85ID:gBGmk44I
実際に被害に遭ったのは何人なの?
ここに1人か多くて2人しか居ないように見える
そのうち1人は同人板に居た人なら仕事で使ってるようなブログじゃなくて個人のブログでも
警察が連絡してくるの?
ここに1人か多くて2人しか居ないように見える
そのうち1人は同人板に居た人なら仕事で使ってるようなブログじゃなくて個人のブログでも
警察が連絡してくるの?
2014/03/05(水) 13:11:05.78ID:PEOIO+iQ
> 実際に被害に遭ったのは何人なの?
ここで聞いて分かるわけないだろ
バカなのか?
ここで聞いて分かるわけないだろ
バカなのか?
2014/03/05(水) 14:02:32.64ID:4c1zqGwN
×人を頭悪い扱いできる程度の頭がある
○人を頭悪い扱いできる程度の頭があると思ってる
○人を頭悪い扱いできる程度の頭があると思ってる
713Trackback(774)
2014/03/06(木) 09:11:02.20ID:pl0d3xKy こんなの見つけましたが、関係あるのでは?
ttp://www.yomiuri.co.jp/e-japan/osaka/news/20140302-OYT8T00047.htm
ttp://www.yomiuri.co.jp/e-japan/osaka/news/20140302-OYT8T00047.htm
714593
2014/03/06(木) 09:17:23.45ID:H4q2Dn+T もろこれの一部でしょう
715Trackback(774)
2014/03/06(木) 13:54:47.13ID:iFrPnw1i ここでの個人の情報とメディアの情報が一致したな
それでも信じられんやつは勝手にしろ
それでも信じられんやつは勝手にしろ
2014/03/06(木) 13:59:42.00ID:axYXDb5h
レスを投稿する
ニュース
- 【対日戦略】中国とロシア、対日共闘で一致 「軍国主義復活に反撃」… ★6 [BFU★]
- 【フジテレビ】『サン!シャイン』3月で終了 放送わずか1年… 谷原章介MC起用も 視聴率低迷、3%台の壁を越えれず 後継番組はなし [冬月記者★]
- 【話題】おでんの好きな具は?! 「だいこん」「たまご」「もち巾着」「ちくわぶ」「こんにゃく」「牛すじ」★2 [ひぃぃ★]
- 【社会】丸亀製麺12月24日は15時30分で閉店 従業員とその家族のため [あずささん★]
- チキンラーメンやカップヌードル、来年4月から5-11%値上げ…袋麺の日清ラ王などは内容量減らす ★2 [蚤の市★]
- 【文春】松岡昌宏が「日本テレビへの戸惑い」を語った!「鉄腕DASHの出演について、我々に進退を決める選択肢はないんだなと思った」 [Ailuropoda melanoleuca★]
- 海外民「高市が引用した進撃の巨人のセリフ、虐殺者のセリフだぜ?ヤバいだろ」大拡散される [165981677]
- じゃん拳、グー🏡💥👊😅👊💥🏡
- 【絵】冨樫の最新イラスト、ちょっと怖い
- クラブ行ったら意外と普通のギャルだった
- 「ロシアではイスラム教が禁止されている」という投稿がXで拡散_プーチン「ムハンマドを侮辱するのは表現の自由ではない」 [979264442]
- 【伝説】陽キャ5人組「YouTube界を?俺らが更にぃ?盛り上げるでぇーw」YouTubeデビューした結果www