ブログ機能を備えたイラストサイト向け日記帳
freo、Web Diary Professional 他Web Libertyのスクリプトスレです。
Web Liberty
ttp://www.web-liberty.net/
Web Diary Professional配布元
ttp://www.web-liberty.net/download/diarypro/index.html
サポート掲示板(freo以外のWeb Libertyのスクリプト用)
ttp://www.web-liberty.net/support/index.html
freo配布元
ttp://freo.jp/
freo設置に関するサーバー別トラブルシューティング
ttp://freo.jp/setup/trouble/index.html
freoサポート掲示板
ttp://freo.jp/support/
前スレ
【freo】Web Liberty総合【Web Diary Pro】
http://hibari.2ch.net/test/read.cgi/blog/1290154285/
【freo】Web Liberty総合2【Web Diary Pro】
1Trackback(774)
2011/05/31(火) 08:40:40.65ID:/1e7LxBz2014/02/06(木) 11:39:56.14ID:9sPSJZ5D
あまり詳しくないんで教えてちゃんですまん
じゃあWeb Libertyは変えてfreoに移ったほうが良い?
じゃあWeb Libertyは変えてfreoに移ったほうが良い?
636593
2014/02/06(木) 19:59:47.46ID:1iRU7+xc 作者がそれを推奨してますので、できるならそれがいいでしょう
私は移りたくないので色々やってますが
私は移りたくないので色々やってますが
2014/02/06(木) 23:51:20.53ID:8ga4HLgg
変なストーカーに絡まれて大変だなあ
2014/02/07(金) 03:31:39.74ID:JWPoAxs1
同意
脆弱性は事実なのかもしれん(自分に知識がないんで
可能性がゼロとは言わない)が…
警察から電話とかちょっと信用しにくいし(警察がそこまでやってくれりゃありがたいんだが)
>>628とか悪いがそんなことできねーよこえーこと言うなwって感じだし
あと脆弱性指摘してたブログが愚痴と攻撃性に溢れててまず怖いってのもあるw
脆弱性は事実なのかもしれん(自分に知識がないんで
可能性がゼロとは言わない)が…
警察から電話とかちょっと信用しにくいし(警察がそこまでやってくれりゃありがたいんだが)
>>628とか悪いがそんなことできねーよこえーこと言うなwって感じだし
あと脆弱性指摘してたブログが愚痴と攻撃性に溢れててまず怖いってのもあるw
639593
2014/02/08(土) 23:33:44.43ID:Srgf1dh0 儲w
2014/02/08(土) 23:53:16.69ID:Fh1nbGBO
胡散臭いからそう思われるのも仕方ない
2014/02/11(火) 11:42:01.96ID:/NaO1guU
>>638
事実だから仕方ない。友人にはまずメールでプロバイダの方に連絡が行ったんだそうだ。
プロバイダから連絡がきて改ざんページを確認。
知らないうちにブランド品の販売ページがサイト内に出来上がってたんだと。
自分は同じものを使ってたから変更した方が良いと言われて、作者ページをみたら休止中だし
ここに確認しにきたら同じ人がいた。
他にも被害者がいるのでは?
事実だから仕方ない。友人にはまずメールでプロバイダの方に連絡が行ったんだそうだ。
プロバイダから連絡がきて改ざんページを確認。
知らないうちにブランド品の販売ページがサイト内に出来上がってたんだと。
自分は同じものを使ってたから変更した方が良いと言われて、作者ページをみたら休止中だし
ここに確認しにきたら同じ人がいた。
他にも被害者がいるのでは?
2014/02/11(火) 11:44:19.70ID:/NaO1guU
2014/02/15(土) 12:08:04.11ID:yMR/5htG
>>635
昨年、 WDP -> freo に移行したけど、freoに移行してよかった。
プラグインを入れない状態ならむしろ軽いし、フリーのスキンもだいたい同じようなのが提供されてるし、WDPからのログの変換もツール一発で簡単でした。
PHPは知らなかったけど、少しドキュメント読めばカスタマイズもしやすい。
freoにはとても満足してます。
昨年、 WDP -> freo に移行したけど、freoに移行してよかった。
プラグインを入れない状態ならむしろ軽いし、フリーのスキンもだいたい同じようなのが提供されてるし、WDPからのログの変換もツール一発で簡単でした。
PHPは知らなかったけど、少しドキュメント読めばカスタマイズもしやすい。
freoにはとても満足してます。
2014/02/15(土) 12:52:25.03ID:NAH3eyq1
今頃移行自慢w
2014/02/16(日) 22:36:19.00ID:B62kMp/L
635の質問に答えてるだけじゃないの?
自分もfreoとWDP使ってるけどfreoにしちゃった方がいいのかな
DBとか何か設定あったような気がするけどfreo設置したの大分前で思い出せん
自分もfreoとWDP使ってるけどfreoにしちゃった方がいいのかな
DBとか何か設定あったような気がするけどfreo設置したの大分前で思い出せん
646593
2014/02/18(火) 11:40:48.29ID:XpJp0hBh WDPは対策しないと中国人にクラックされてgoogleにクラックされているサイトのタグを付けられますよ
作者も推奨してるし移れるなら移ったほうがいいです
作者も推奨してるし移れるなら移ったほうがいいです
2014/02/18(火) 16:37:33.66ID:A4yXB18p
>646
対策の方法があれば教えてください。
対策の方法があれば教えてください。
2014/02/20(木) 05:03:51.87ID:N7sY0KO+
データベース使えない鯖だから重宝してたのに
2014/02/22(土) 09:12:59.25ID:HelFmPv7
WDP以外のツールなら使っても平気なのかな?
clapとgallery使ってる
clapとgallery使ってる
2014/02/23(日) 23:37:39.13ID:jAY89oIe
スパムがすごいよな
海外全部はじいてる
海外全部はじいてる
651Trackback(774)
2014/02/24(月) 13:54:24.06ID:F9Hd0WIV diaryproの脆弱性を利用して phpファイルを置かれて
そのphpからやられていると 大阪府警サイバー犯罪対策課 から
電話がありました。
うちの会社は、UGGだかの靴のサイトを置かれてた
うちにも D3ck9h.php や mod_api.php やら (数字).php やら
いくつかのPHPやファイルが置いてありました。
中国人やめてくれー
そのphpからやられていると 大阪府警サイバー犯罪対策課 から
電話がありました。
うちの会社は、UGGだかの靴のサイトを置かれてた
うちにも D3ck9h.php や mod_api.php やら (数字).php やら
いくつかのPHPやファイルが置いてありました。
中国人やめてくれー
2014/02/24(月) 17:05:45.92ID:RoNcCT3q
diaryproの中国の大量アクセスとか
コメント欄の大量スパムとか関係あります?
コメント欄の大量スパムとか関係あります?
2014/02/24(月) 19:40:11.60ID:aUPvR9Qq
ていうかここまで被害大きくなってきたら作者も一言なりページに対策載せておいたほうがいいんじゃないかと思うんだが
2014/02/24(月) 20:01:19.79ID:aRVOB35l
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} (.*)?/login(.*)?$ [OR]
RewriteCond %{REQUEST_URI} (.*)?/admin(.*)?$
RewriteCond %{REMOTE_ADDR} !^000\.000\.000\.000$ ←自分のIP
RewriteRule ^.*$ - [F]
</IfModule>
RewriteEngine On
RewriteCond %{REQUEST_URI} (.*)?/login(.*)?$ [OR]
RewriteCond %{REQUEST_URI} (.*)?/admin(.*)?$
RewriteCond %{REMOTE_ADDR} !^000\.000\.000\.000$ ←自分のIP
RewriteRule ^.*$ - [F]
</IfModule>
2014/02/24(月) 20:46:12.73ID:aRVOB35l
2014/02/24(月) 21:01:57.01ID:+JFSr6ru
だろうね
警察から鯖に連絡行くくらいなら、どっかから作者にも連絡が入ってるはずなのに
作者から何のアナウンスもない
この状況の異常さを何とも思わない類の人なんだろう
警察から鯖に連絡行くくらいなら、どっかから作者にも連絡が入ってるはずなのに
作者から何のアナウンスもない
この状況の異常さを何とも思わない類の人なんだろう
2014/02/25(火) 06:42:30.40ID:itrkbSjr
>>628 以外の方法で示してよ
2014/02/26(水) 14:46:55.10ID:W60xT0rl
(>>656はWDPハッキングされたと言ってる連中を異常だと言ってるのか
作者を異常だと言ってるのか解らなくなってきた)
作者を異常だと言ってるのか解らなくなってきた)
2014/02/26(水) 15:01:21.28ID:W60xT0rl
2014/02/26(水) 17:45:10.86ID:XCbJ7qaC
661Trackback(774)
2014/02/27(木) 09:54:07.99ID:fvu9PDm0 651です。
うちは、diaryproの(どこだったか忘れたが)あるフォルダを見ると
ユーザ名と暗号化されたパスワードが載っているファイルを見られる
その暗号化されたファイルを解析してadminのパスワードが破られた
と思われると警察の方に教えてもらった。
当方、phpなどは全然解らないため置かれたファイルを見ても何が何
だか解らないが、D3ck9h.phpはファイルマネージャ的な動作をする
ような気がするな・・・
「copy」って書くところ「copu」になっている場所もあったけど…
うちは、diaryproの(どこだったか忘れたが)あるフォルダを見ると
ユーザ名と暗号化されたパスワードが載っているファイルを見られる
その暗号化されたファイルを解析してadminのパスワードが破られた
と思われると警察の方に教えてもらった。
当方、phpなどは全然解らないため置かれたファイルを見ても何が何
だか解らないが、D3ck9h.phpはファイルマネージャ的な動作をする
ような気がするな・・・
「copy」って書くところ「copu」になっている場所もあったけど…
662Trackback(774)
2014/02/27(木) 12:09:52.75ID:88GiCXUN とりあえずパスワードを難解にしておくか
2014/02/27(木) 12:33:28.96ID:yCIVsZhY
警察だのハッキングだのうるさい人等は
警察から来たメールのスクショとか晒せないの?
もちろんアドレスとか見られたら困る部分は隠したって構わないし
確固たる証拠もないのに騒いでも誰からも信じて貰えないよ
警察から来たメールのスクショとか晒せないの?
もちろんアドレスとか見られたら困る部分は隠したって構わないし
確固たる証拠もないのに騒いでも誰からも信じて貰えないよ
2014/02/27(木) 14:54:32.52ID:dAzj0fXT
そんなことできればとっくにやってる
やってないってことはできないってことさ
全部脳内の出来事だからね
やってないってことはできないってことさ
全部脳内の出来事だからね
2014/02/27(木) 16:30:03.21ID:CTQfD2Hz
中国からのアクセスを禁止にすれば?
あと電話がきたってにわかには信じ難い
その電話番号は誰から漏れたの?ってことになるし
あと電話がきたってにわかには信じ難い
その電話番号は誰から漏れたの?ってことになるし
2014/02/27(木) 21:35:47.40ID:/bYHLKeg
逆にサイバー何とかにこういう件でハッキングがあるかどうか尋ねればいいのでは
自分はこういうのよくわからんけど被害ないと問い合わせってできないのかな?
自分はこういうのよくわからんけど被害ないと問い合わせってできないのかな?
2014/02/28(金) 09:13:16.39ID:1GcvVMCp
電話は嘘だろうが
中国からのアクセスすごいよね
中国からのアクセスすごいよね
668Trackback(774)
2014/02/28(金) 10:57:04.60ID:varXdMZ9 651が詳しくかいている。
オレもそこからだ。
メールをさらせっていわれても電話だもん。
単に情報提供しているだけなのに、記事をしっかり読めよ。
おれだってWDPを使い続けたい。
オレもそこからだ。
メールをさらせっていわれても電話だもん。
単に情報提供しているだけなのに、記事をしっかり読めよ。
おれだってWDPを使い続けたい。
2014/02/28(金) 11:08:54.29ID:M2nnhR3j
670593
2014/02/28(金) 11:40:51.77ID:xC6xqaMH 661の人の言ってることはかなりあたってる
少なくとも話に乗っかって適当に書いてる訳ではなさそう。
user.logが標準だとworld readableだってのは設置して解析した人じゃないと
分からないことなので。
って書いてて気づいたんだけど、今ってDESの解析はcorei7ぐらいなら10日もあれば終わるのね。
user.log見つけて6桁以下ぐらいのパスワードに的を絞ってアタックしてるだけなのかもね
うちもadminのパス短かった
中華ならこのぐらいのレベルってのも納得できる
少なくとも話に乗っかって適当に書いてる訳ではなさそう。
user.logが標準だとworld readableだってのは設置して解析した人じゃないと
分からないことなので。
って書いてて気づいたんだけど、今ってDESの解析はcorei7ぐらいなら10日もあれば終わるのね。
user.log見つけて6桁以下ぐらいのパスワードに的を絞ってアタックしてるだけなのかもね
うちもadminのパス短かった
中華ならこのぐらいのレベルってのも納得できる
671593
2014/02/28(金) 12:06:18.47ID:xC6xqaMH っちゅうわけで、別方向で検証。パスワードが6桁以下の人限定。
diaryproのあるディレクトリから見て、data/user.log (例えば、
http://samp.le/webdiarypro/data/user.log)
にアクセスすると、パスワードファイルの中身が見えます
そこの13桁の暗号化されたパスワードをここに記載して下さい。
6桁以下の人なら、僕のパソコンなら4時間ぐらいで解析できますので、
パスワードをここに書き込みます。
URL書いたりID書いたりしないでね
diaryproのあるディレクトリから見て、data/user.log (例えば、
http://samp.le/webdiarypro/data/user.log)
にアクセスすると、パスワードファイルの中身が見えます
そこの13桁の暗号化されたパスワードをここに記載して下さい。
6桁以下の人なら、僕のパソコンなら4時間ぐらいで解析できますので、
パスワードをここに書き込みます。
URL書いたりID書いたりしないでね
2014/02/28(金) 12:10:31.73ID:KPWNMTQb
解析しますとかたとえ検証だとしてもふざけんなよ
中国のIP弾いてuser.logが見えないように隠して
パスワードを10桁とかにするっていう対策とればいいってわかったからもう十分
中国のIP弾いてuser.logが見えないように隠して
パスワードを10桁とかにするっていう対策とればいいってわかったからもう十分
2014/02/28(金) 12:18:36.42ID:l5JCGioN
確固たる証拠もないのに騒いでも誰からも信じて貰えないよとか言ってたのにw
2014/02/28(金) 12:23:52.36ID:KPWNMTQb
675593
2014/02/28(金) 13:01:42.44ID:xC6xqaMH パスワードはdesだから9文字以上は無意味
2014/02/28(金) 13:54:11.66ID:lpbwhKLQ
>593
ハッシュが見えるのは確かにその通りですね。
ソースが公開されてるこの手のCGIでは仕方のないことなのかな
ファイルのパスかえたりハッシュの作り方変えたり独自の修正すればOKかな
ハッシュ関数desは弄ったことないけど、
大文字、小文字、数字、記号を混ぜての9桁なら結構強力だと思うけどな?
今時PCでも3ケ月くらいかかるんじゃない?
ハッシュが見えるのは確かにその通りですね。
ソースが公開されてるこの手のCGIでは仕方のないことなのかな
ファイルのパスかえたりハッシュの作り方変えたり独自の修正すればOKかな
ハッシュ関数desは弄ったことないけど、
大文字、小文字、数字、記号を混ぜての9桁なら結構強力だと思うけどな?
今時PCでも3ケ月くらいかかるんじゃない?
2014/02/28(金) 14:45:38.79ID:wOfk9n0+
2014/02/28(金) 14:47:48.22ID:wOfk9n0+
??パフワード 〇パスワード
スレ汚しスマン
スレ汚しスマン
2014/02/28(金) 14:49:23.66ID:o2vQzJvr
試したい人がいたらどうぞって話なのに何過剰反応してんの
2014/02/28(金) 15:07:35.00ID:lpbwhKLQ
お言葉に甘えて例題出します
I2fNjxGCR8aW2
英数大小文字+記号、6文字
これで、どれくらいの時間かかりますかね
I2fNjxGCR8aW2
英数大小文字+記号、6文字
これで、どれくらいの時間かかりますかね
682Trackback(774)
2014/02/28(金) 18:01:10.14ID:varXdMZ9 そういわれりゃ、オレも3件やられたが
3件ともアカウントadminでパスワードは4〜6文字のホームページ
あるいはブログタイトルに関連した
単純な単語だった。
まあ、依頼者の希望だが。
英数8文字以上の12件はいまのところ大丈夫
3件ともアカウントadminでパスワードは4〜6文字のホームページ
あるいはブログタイトルに関連した
単純な単語だった。
まあ、依頼者の希望だが。
英数8文字以上の12件はいまのところ大丈夫
683593
2014/02/28(金) 19:45:21.74ID:xC6xqaMH パスワードの解析は犯罪です。
desの逆変換は犯罪ではありません。
>>677
user.logは普通ならhtaccess等でwebからは見られないようにするでしょうね
そうして全く問題ないので
9桁以上の表記は、パスワードは8文字分までしか反映していないよって意味でした
例えば8文字のパスワードの人は、ログイン時になにか適当に文字列をパスワードに付加しても、
普通にログインできるはずです。
また逆に、9文字以上のパスワードを設定している人も、8文字分までしか入力しなくても、ログインできます。
8文字のパスワードも20文字のパスワードも全く変わらないって意味です。
>>681
私のポンコツcore2duoで、1ヶ月ぐらいですね >671の記述は
いつもの 儲 対策で、そういうことができますよって話でした。すんません。
4時間なのは、6文字の半角小文字+数字のみの場合なのでした。
そもそも、私の使ってるDES解析ツールが、そのままでは記号を含められないので、
記号が入ってると大変なのです。中華もきっとありきたりなツールを使ってると思うので、
記号入れてれば多分今回の攻撃者からは逃れられるはずです。
ちなみに8文字で大小文字英+数+記号なら、480年ぐらいかかります。
でもそもそも、>>621で書いてる通り、穴はあるので、そこの対策はせにゃなりませんが。
desの逆変換は犯罪ではありません。
>>677
user.logは普通ならhtaccess等でwebからは見られないようにするでしょうね
そうして全く問題ないので
9桁以上の表記は、パスワードは8文字分までしか反映していないよって意味でした
例えば8文字のパスワードの人は、ログイン時になにか適当に文字列をパスワードに付加しても、
普通にログインできるはずです。
また逆に、9文字以上のパスワードを設定している人も、8文字分までしか入力しなくても、ログインできます。
8文字のパスワードも20文字のパスワードも全く変わらないって意味です。
>>681
私のポンコツcore2duoで、1ヶ月ぐらいですね >671の記述は
いつもの 儲 対策で、そういうことができますよって話でした。すんません。
4時間なのは、6文字の半角小文字+数字のみの場合なのでした。
そもそも、私の使ってるDES解析ツールが、そのままでは記号を含められないので、
記号が入ってると大変なのです。中華もきっとありきたりなツールを使ってると思うので、
記号入れてれば多分今回の攻撃者からは逃れられるはずです。
ちなみに8文字で大小文字英+数+記号なら、480年ぐらいかかります。
でもそもそも、>>621で書いてる通り、穴はあるので、そこの対策はせにゃなりませんが。
684593
2014/02/28(金) 19:55:03.22ID:xC6xqaMH すみません、今考えると私の>>594は勘違いだったようです。
ログイン画面から直接新規投稿へは遷移できるんですね。
ログイン画面から直接新規投稿へは遷移できるんですね。
2014/02/28(金) 20:01:20.21ID:BrEc/9Hj
使いたい人は使えばいいし
まあよく分からん自分はfreoに変更したわ
使いやすくて好きだったんだけどな残念
まあよく分からん自分はfreoに変更したわ
使いやすくて好きだったんだけどな残念
2014/03/01(土) 00:40:42.65ID:o5fSSSvJ
とりあえず「中国人にファイル置かれてた><」って言ってる人が書いたファイル名を検索してもこのスレしか出てこないんだけどw
あと素直な疑問なんだけど、なんで警察は「被害者」に連絡しても「セキュリティに穴のあるプログラムの作者」には連絡してないの?
警察から作者に連絡がいってて、本当にこのままじゃ不味い事態なんだったら、すくなくとも休止中のサイトのトップに「直ちに使用を中止してください」くらいの事は書きそうなんだけどな。
あと素直な疑問なんだけど、なんで警察は「被害者」に連絡しても「セキュリティに穴のあるプログラムの作者」には連絡してないの?
警察から作者に連絡がいってて、本当にこのままじゃ不味い事態なんだったら、すくなくとも休止中のサイトのトップに「直ちに使用を中止してください」くらいの事は書きそうなんだけどな。
687Trackback(774)
2014/03/01(土) 11:53:54.27ID:H3dBhQvk 今きた。
昔から放置してるサイトでWDP使ってる。うちは問題ないけど
心配な人はこのページ読んで実行汁。
http://www.web-liberty.net/support/security.html
作者さんはちゃんと昔からセキュリティ強化方法書いてるよ。
昔から放置してるサイトでWDP使ってる。うちは問題ないけど
心配な人はこのページ読んで実行汁。
http://www.web-liberty.net/support/security.html
作者さんはちゃんと昔からセキュリティ強化方法書いてるよ。
688Trackback(774)
2014/03/01(土) 11:56:03.62ID:H3dBhQvk とりあえず
lib 内 .pm ファイルのパーミッションを600にする
ってのをやっておいた。
lib 内 .pm ファイルのパーミッションを600にする
ってのをやっておいた。
689Trackback(774)
2014/03/01(土) 15:43:52.29ID:PEBICC/I >>687
ありがとう
ありがとう
2014/03/02(日) 03:51:06.91ID:3zfyzFIQ
>>593は「儲」なんて書くとアンチなんじゃね?って余計疑われるよ
2014/03/02(日) 22:38:13.66ID:wi4Fn/fE
自分と意見の合わない者=信者
って考え、自分が何なのか名乗ってるようなもんだよなw
って考え、自分が何なのか名乗ってるようなもんだよなw
692593
2014/03/03(月) 10:38:47.72ID:/vGZjGiN >>681
とりあえず半角小文字+数字の6桁の組み合わせではないってことは
確認しましたが、それ以上は許して
わたしゃー作者さんに対してそこまでアンチではない
もう何年も使わせてもらってるからね これからもそのつもりだし
今回全く何もやる気がないみたいなのは同じPGとしてどうかと思うが
ただ、頭の悪い一名は大変嫌いです
今回の一番やるべきは、.htaccessを置いて.logファイルを見れないようにする事
それ以外にも穴があるので、Plugin.pmの32行目付近のevalをコメントアウトする事
あとはFile.pmのget_extあたりに規制をかけとくといいんだろうけど、なぜかいろんなクエリが
ここを通るのでうまくいかない!
とりあえず半角小文字+数字の6桁の組み合わせではないってことは
確認しましたが、それ以上は許して
わたしゃー作者さんに対してそこまでアンチではない
もう何年も使わせてもらってるからね これからもそのつもりだし
今回全く何もやる気がないみたいなのは同じPGとしてどうかと思うが
ただ、頭の悪い一名は大変嫌いです
今回の一番やるべきは、.htaccessを置いて.logファイルを見れないようにする事
それ以外にも穴があるので、Plugin.pmの32行目付近のevalをコメントアウトする事
あとはFile.pmのget_extあたりに規制をかけとくといいんだろうけど、なぜかいろんなクエリが
ここを通るのでうまくいかない!
693681
2014/03/03(月) 17:53:21.80ID:+mNG1F/b 593>どうもでした
10年程前、MD5の解析で6文字以上は無理だとおもったけど
いまどき6文字が1か月でいけちゃいますか....
8文字で480年っていっても4コアのPC200台もってくりゃ7か月か
10年程前、MD5の解析で6文字以上は無理だとおもったけど
いまどき6文字が1か月でいけちゃいますか....
8文字で480年っていっても4コアのPC200台もってくりゃ7か月か
2014/03/03(月) 18:40:07.09ID:KSfHATZe
作者も忙しくて対処できないとかあろうよ
好意でやってくれてる人に対して求めすぎ
好意でやってくれてる人に対して求めすぎ
2014/03/03(月) 18:42:09.91ID:KSfHATZe
忙しい以外にも乗り気じゃないとかね
よくわからんアンチも実際にいたわけだし
よくわからんアンチも実際にいたわけだし
2014/03/03(月) 19:37:41.27ID:Rziy1vsJ
メディアに閲覧制限かけると管理者であっても開けなくなって
しまうのですがどうしたら良いでしょうか?
グループ、パスワード、ユーザー登録と一通り試してみたのですが
ファイルにURL直打ちでも403が出ます。
エントリー、ページそのものへの制限はかけられて確認も出来ます。
色々試してみたのですが解決策がわかりません。
心当たりのある方、ご教示願います。
しまうのですがどうしたら良いでしょうか?
グループ、パスワード、ユーザー登録と一通り試してみたのですが
ファイルにURL直打ちでも403が出ます。
エントリー、ページそのものへの制限はかけられて確認も出来ます。
色々試してみたのですが解決策がわかりません。
心当たりのある方、ご教示願います。
2014/03/03(月) 23:02:36.89ID:D1YmIvnS
作者はやる気が無いんじゃなくて、対応の必要性を感じてないんじゃないの?
これだけ「警察から連絡来た緊急事案だ」って騒いでるヤツが(数人でも)いて
それが本当の話ならのんびりしてる訳ないじゃん
警察から連絡来たって人は、それが本当なら連絡くれた警察に「作者に伝えろ」
と言えよ>>651とかさ、ここで騒いでも解決しないだろ
警察なら作者の身元調べるくらい簡単だろうし
あと警察のサイトに注意情報を掲載させるとかさ
ホントにヤバいなら俺らにも解るようにヤバさを伝えてくんない?
これだけ「警察から連絡来た緊急事案だ」って騒いでるヤツが(数人でも)いて
それが本当の話ならのんびりしてる訳ないじゃん
警察から連絡来たって人は、それが本当なら連絡くれた警察に「作者に伝えろ」
と言えよ>>651とかさ、ここで騒いでも解決しないだろ
警察なら作者の身元調べるくらい簡単だろうし
あと警察のサイトに注意情報を掲載させるとかさ
ホントにヤバいなら俺らにも解るようにヤバさを伝えてくんない?
698Trackback(774)
2014/03/04(火) 01:23:09.22ID:1l79YYb32014/03/04(火) 01:53:54.39ID:9x1XcQde
700593
2014/03/04(火) 08:57:33.42ID:RUaNI2wv 追加のセキュリティ対策をしていないと悪い使い方になっちゃうプログラムってw
それがPGとしてどうなのよって話 頭悪いさん
>>697
>621でパスワードを完全に無効にする脆弱性の話してるのに、それを見ても対応の必要を感じないとか
試しもしないPGってのはやっぱ終わってるよ俺からしたら
それがPGとしてどうなのよって話 頭悪いさん
>>697
>621でパスワードを完全に無効にする脆弱性の話してるのに、それを見ても対応の必要を感じないとか
試しもしないPGってのはやっぱ終わってるよ俺からしたら
2014/03/04(火) 12:22:38.61ID:Ty6pstqB
(キリッ)
2014/03/04(火) 13:11:18.38ID:Gpii5YlC
>621 はまだ確認していない
usr.logの置いてあるディレクトリにはup fileとかもあるので.htaccessを置くわけにはいかない。
ソースコードがオープンなんだから破る側が圧倒的に有利だなぁ
usr.logの置いてあるディレクトリにはup fileとかもあるので.htaccessを置くわけにはいかない。
ソースコードがオープンなんだから破る側が圧倒的に有利だなぁ
703593
2014/03/04(火) 13:41:10.39ID:RUaNI2wv http://www.futomi.com/lecture/htaccess/files.html
こんなので。logの禁止と、あとついでにphpとか、実行権限付けなくても
実行できちゃう拡張子を禁止しとくなど。
こんなので。logの禁止と、あとついでにphpとか、実行権限付けなくても
実行できちゃう拡張子を禁止しとくなど。
704702
2014/03/04(火) 15:10:35.44ID:Gpii5YlC >593 .htaccess 細かい設定ができるのね、知らなかった、ありがと
2014/03/04(火) 15:35:18.44ID:9x1XcQde
706593
2014/03/04(火) 17:56:47.88ID:RUaNI2wv めんどくさいからやだ(笑)
2014/03/04(火) 18:31:31.83ID:Ty6pstqB
じゃあ他の使えば(笑)
2014/03/05(水) 02:38:52.61ID:Z/L3srr0
593ってヤツがなんだかなぁ…w
2014/03/05(水) 12:21:01.81ID:Lpo0ZTTM
結局、作者が神で593が取るに足らない存在ってことを自ら喧伝してるだけか
人を頭悪い扱いできる程度の頭があるんなら、もうちょっと上手く立ち回ればいいのに
人を頭悪い扱いできる程度の頭があるんなら、もうちょっと上手く立ち回ればいいのに
2014/03/05(水) 13:06:17.85ID:gBGmk44I
実際に被害に遭ったのは何人なの?
ここに1人か多くて2人しか居ないように見える
そのうち1人は同人板に居た人なら仕事で使ってるようなブログじゃなくて個人のブログでも
警察が連絡してくるの?
ここに1人か多くて2人しか居ないように見える
そのうち1人は同人板に居た人なら仕事で使ってるようなブログじゃなくて個人のブログでも
警察が連絡してくるの?
2014/03/05(水) 13:11:05.78ID:PEOIO+iQ
> 実際に被害に遭ったのは何人なの?
ここで聞いて分かるわけないだろ
バカなのか?
ここで聞いて分かるわけないだろ
バカなのか?
2014/03/05(水) 14:02:32.64ID:4c1zqGwN
×人を頭悪い扱いできる程度の頭がある
○人を頭悪い扱いできる程度の頭があると思ってる
○人を頭悪い扱いできる程度の頭があると思ってる
713Trackback(774)
2014/03/06(木) 09:11:02.20ID:pl0d3xKy こんなの見つけましたが、関係あるのでは?
ttp://www.yomiuri.co.jp/e-japan/osaka/news/20140302-OYT8T00047.htm
ttp://www.yomiuri.co.jp/e-japan/osaka/news/20140302-OYT8T00047.htm
714593
2014/03/06(木) 09:17:23.45ID:H4q2Dn+T もろこれの一部でしょう
715Trackback(774)
2014/03/06(木) 13:54:47.13ID:iFrPnw1i ここでの個人の情報とメディアの情報が一致したな
それでも信じられんやつは勝手にしろ
それでも信じられんやつは勝手にしろ
2014/03/06(木) 13:59:42.00ID:axYXDb5h
2014/03/07(金) 06:31:32.77ID:elF96g2z
己のセキュリティ対策の甘さ自慢大会会場はここですか
718Trackback(774)
2014/03/08(土) 14:36:51.67ID:A21YWaSF 警察からではなけれど、サーバー業者から連絡は来た。
<お客様ご利用プログラム緊急停止のお知らせ>
拝啓 貴社益々ご清栄のこととお慶び申し上げます。
また、平素は大塚商会「アルファメール」をご利用いただきまして
誠にありがとうございます。
お客様のホームページ領域に設置されているプログラムが第三者に
よって悪用される可能性がある事を、弊社監視システムにより検知
いたしました。
このままではサービス提供に影響を与える可能性があるため、お客
様のプログラムの実行権限(属性)を停止させていただきました事を
ご連絡致します。
お客様におかれましては、ご利用Webツール(Web Diary
Professional)の脆弱性有無を確認いただくとともに、適切なアッ
プデートを行っていただけますようお願い申し上げます。
敬具
記
検知日 : 2014年03月03日
プログラム停止日時: 2014年03月03日 17時12分
停止したプログラム: cgi-bin/blog/data/z.php
上記内容を含めお客様コンテンツの修正内容に関するお問合わせは
お受けできかねますので、何卒ご了承いただけます様、お願い申し
上げます。
──────────────────────────────
このメールは重要なお知らせのためお客様の管理者アドレス宛てに
配信しております。
------------------------------------------------------------
このメールの送信元アドレスは送信専用です。ご返信によるお問い
合わせは受け付けておりませんので、ご了承ください。
<お客様ご利用プログラム緊急停止のお知らせ>
拝啓 貴社益々ご清栄のこととお慶び申し上げます。
また、平素は大塚商会「アルファメール」をご利用いただきまして
誠にありがとうございます。
お客様のホームページ領域に設置されているプログラムが第三者に
よって悪用される可能性がある事を、弊社監視システムにより検知
いたしました。
このままではサービス提供に影響を与える可能性があるため、お客
様のプログラムの実行権限(属性)を停止させていただきました事を
ご連絡致します。
お客様におかれましては、ご利用Webツール(Web Diary
Professional)の脆弱性有無を確認いただくとともに、適切なアッ
プデートを行っていただけますようお願い申し上げます。
敬具
記
検知日 : 2014年03月03日
プログラム停止日時: 2014年03月03日 17時12分
停止したプログラム: cgi-bin/blog/data/z.php
上記内容を含めお客様コンテンツの修正内容に関するお問合わせは
お受けできかねますので、何卒ご了承いただけます様、お願い申し
上げます。
──────────────────────────────
このメールは重要なお知らせのためお客様の管理者アドレス宛てに
配信しております。
------------------------------------------------------------
このメールの送信元アドレスは送信専用です。ご返信によるお問い
合わせは受け付けておりませんので、ご了承ください。
2014/03/08(土) 18:39:57.98ID:ZjDG/eHC
2012年頃から大流行の「WEBサイト改ざん攻撃」について知らない人が
もしかしたら、まだいるかもしれないので、リンクおいておきますね。
【重要】日本中のWebサイトへの改ざん攻撃が多発中 4月から1000サイト以上が被害に | Web担当者Forum
http://web-tan.forum.impressrd.jp/e/2013/06/11/15427
去年の6月の記事ですが、まだ有効です。
Webから降ってくる脅威:最悪だったWeb改ざんとマルウェア感染攻撃をふりかえる・2013年まとめ (1/3) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1403/06/news029.html
ググれば、↑みたいな2013年のセキュリティ動向まとめがいっぱい出てきますが、
専門家向けでちょっと読みにくいかも。
「ウェブサイト 改ざん お詫び」でググると、KADOKAWAを始めとする
大手企業サイトの謝罪文がずらずらと出てきて楽しいですよ。
もしかしたら、まだいるかもしれないので、リンクおいておきますね。
【重要】日本中のWebサイトへの改ざん攻撃が多発中 4月から1000サイト以上が被害に | Web担当者Forum
http://web-tan.forum.impressrd.jp/e/2013/06/11/15427
去年の6月の記事ですが、まだ有効です。
Webから降ってくる脅威:最悪だったWeb改ざんとマルウェア感染攻撃をふりかえる・2013年まとめ (1/3) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1403/06/news029.html
ググれば、↑みたいな2013年のセキュリティ動向まとめがいっぱい出てきますが、
専門家向けでちょっと読みにくいかも。
「ウェブサイト 改ざん お詫び」でググると、KADOKAWAを始めとする
大手企業サイトの謝罪文がずらずらと出てきて楽しいですよ。
2014/03/08(土) 18:56:52.31ID:ZjDG/eHC
WEBサイト改ざん攻撃被害者が加害者になる典型的なケースだけど、
サイト運営者側の責任がどうなるか気になることろです。
脆弱性を承知していたか、いなかったがが、分かれ目になりそうですけど、
自称警察やプロバイダーから警告を受けたにもかかわらず使い続けた人や、
セキュリティ対策してみたけど不十分だった人はアウトじゃないですかね?
長いことアップデートされず、しかも、作者が危険性を認識してサイトを閉じて
トンズラしたようなプログラムを使い続けることがどのようなリスクを招くか、
ちょっと考えてみて欲しいです。特に自分で対策できないような人は。
作者の人も、ただサイトを閉じるだけではなく、危険性をきちんと告知しなくては、
責任を果たしたことにならないんじゃないかと思います。
以上。
サイト運営者側の責任がどうなるか気になることろです。
脆弱性を承知していたか、いなかったがが、分かれ目になりそうですけど、
自称警察やプロバイダーから警告を受けたにもかかわらず使い続けた人や、
セキュリティ対策してみたけど不十分だった人はアウトじゃないですかね?
長いことアップデートされず、しかも、作者が危険性を認識してサイトを閉じて
トンズラしたようなプログラムを使い続けることがどのようなリスクを招くか、
ちょっと考えてみて欲しいです。特に自分で対策できないような人は。
作者の人も、ただサイトを閉じるだけではなく、危険性をきちんと告知しなくては、
責任を果たしたことにならないんじゃないかと思います。
以上。
721593
2014/03/09(日) 09:50:36.95ID:8D01mm9t 今回の件はもっとマイナーな攻撃者で、たぶんwebdiaryに的を絞って、
ページランクを持ってるサイトからリンクを張るというSEO目的
手作業してるし、botを増やそうなんていう高度な目的は無い感じ
目的から対象が企業サイトにされやすいし、そうすると電話番号明示してるから
電話連絡が多いのでしょう
まあ、加害者にならなかったのはたまたまと言っていいと思うが
ページランクを持ってるサイトからリンクを張るというSEO目的
手作業してるし、botを増やそうなんていう高度な目的は無い感じ
目的から対象が企業サイトにされやすいし、そうすると電話番号明示してるから
電話連絡が多いのでしょう
まあ、加害者にならなかったのはたまたまと言っていいと思うが
2014/03/10(月) 22:10:07.67ID:A6+C5Mw6
>webdiaryに的を絞って
この根拠よければくわしく
この根拠よければくわしく
2014/03/11(火) 16:02:00.48ID:M7lF0Bjf
そっかーうちがもう三年もWDP使ってるのに被害に遭ってないのは
セキュリティ対策をしっかりしたからとかそういうんじゃなくて
どピコだから攻撃者の眼中にないってことかぁ(゚∀゚)
orz
セキュリティ対策をしっかりしたからとかそういうんじゃなくて
どピコだから攻撃者の眼中にないってことかぁ(゚∀゚)
orz
2014/03/11(火) 21:49:09.51ID:iOMGpwYc
WPD以外も被害にあっている感じだな。バックドア仕込まれて、
個人情報が抜かれても、ウェブ管理者はそこまで追跡能力がない。
ウェブサイト管理者の責任が問題。まさに、720さんに同意。
ttp://www.police.pref.osaka.jp/15topics/nisesite_teguchi_1.html
個人情報が抜かれても、ウェブ管理者はそこまで追跡能力がない。
ウェブサイト管理者の責任が問題。まさに、720さんに同意。
ttp://www.police.pref.osaka.jp/15topics/nisesite_teguchi_1.html
725593
2014/03/13(木) 13:59:00.19ID:7vFWk75P2014/03/24(月) 00:16:16.26ID:E7fJNbni
休止サイトのトップにセキュリティページへのリンクが足されたね。
どうしても使い続けたいならあれを全部やっといてって。
どうしても使い続けたいならあれを全部やっといてって。
2014/03/27(木) 05:49:57.82ID:RKurIip/
他にデータベース使わないブログってあるか?
2014/03/27(木) 07:52:20.17ID:kjwWHxJ9
2014/03/28(金) 02:40:28.76ID:jN6fphSu
sb懐かしいな。あれはもう更新ないだろ…
記事数増えると対応出来ないし
記事数増えると対応出来ないし
2014/04/09(水) 00:22:22.58ID:TpnXFUnA
pmファイルのパーミッションを600にすると、サーバーエラーになっちゃうのはなぜ?
init.pmのcgiファイルの初期値変更しようにも、アプリケーションエラーになっちゃうよ・・
init.pmのcgiファイルの初期値変更しようにも、アプリケーションエラーになっちゃうよ・・
731730
2014/04/09(水) 17:41:12.19ID:TpnXFUnA 単純なエディタの設定ミスで文字化けしてただけだったorz
だがパーミッション600の設定はできず。自鯖じゃないからかな。
だがパーミッション600の設定はできず。自鯖じゃないからかな。
2014/04/11(金) 08:55:50.69ID:ms1b4YTd
ほんとにsuexec環境なの?
ファイル1個だけ0600にしてもエラー?
ファイル1個だけ0600にしてもエラー?
733sage
2014/04/17(木) 16:39:03.01ID:uKwUhD4c ページイメージ分類別表示って>>33の例でいうと
表示させたいイメージがあるページは作品ページ1〜の位置にないとダメ??
分類用ページ1にイメージを設定しても、ページイメージ分類別表示プラグインのURL で表示されないけどこういう仕様なのかな??
表示させたいイメージがあるページは作品ページ1〜の位置にないとダメ??
分類用ページ1にイメージを設定しても、ページイメージ分類別表示プラグインのURL で表示されないけどこういう仕様なのかな??
2014/04/17(木) 16:39:54.12ID:uKwUhD4c
名前欄スマソ
レスを投稿する
ニュース
- 【対日戦略】中国とロシア、対日共闘で一致 「軍国主義復活に反撃」… ★6 [BFU★]
- 【フジテレビ】『サン!シャイン』3月で終了 放送わずか1年… 谷原章介MC起用も 視聴率低迷、3%台の壁を越えれず 後継番組はなし [冬月記者★]
- 【話題】おでんの好きな具は?! 「だいこん」「たまご」「もち巾着」「ちくわぶ」「こんにゃく」「牛すじ」★2 [ひぃぃ★]
- 【社会】丸亀製麺12月24日は15時30分で閉店 従業員とその家族のため [あずささん★]
- 【文春】松岡昌宏が「日本テレビへの戸惑い」を語った!「鉄腕DASHの出演について、我々に進退を決める選択肢はないんだなと思った」 [Ailuropoda melanoleuca★]
- チキンラーメンやカップヌードル、来年4月から5-11%値上げ…袋麺の日清ラ王などは内容量減らす ★2 [蚤の市★]
- 国債金利の上昇+中国からの制裁、これで日本、普通に終わるんじゃないの? [805596214]
- JSF、高市の間違いを指摘した結果「戦艦は戦闘艦の意味なんだァァァ!」と連呼する高市支持者のネトウヨ達に延々と噛みつかれる [165981677]
- BLEACHの乳輪デカそうな女
- 海外のネット見ると6割くらい左翼みたいな奴で向こうのネトウヨは4割~それ以下(3割程度)だけど日本は8割ネトウヨしかいないよな [685321817]
- じゃん拳、グー🏡💥👊😅👊💥🏡
- 【悲報】解剖医「安倍晋三の遺体には潰瘍性大腸炎の痕跡がなかった」えっ😨 [746833765]