【freo】Web Liberty総合2【Web Diary Pro】
ブログ機能を備えたイラストサイト向け日記帳
freo、Web Diary Professional 他Web Libertyのスクリプトスレです。
Web Liberty
ttp://www.web-liberty.net/
Web Diary Professional配布元
ttp://www.web-liberty.net/download/diarypro/index.html
サポート掲示板(freo以外のWeb Libertyのスクリプト用)
ttp://www.web-liberty.net/support/index.html
freo配布元
ttp://freo.jp/
freo設置に関するサーバー別トラブルシューティング
ttp://freo.jp/setup/trouble/index.html
freoサポート掲示板
ttp://freo.jp/support/
前スレ
【freo】Web Liberty総合【Web Diary Pro】
http://hibari.2ch.net/test/read.cgi/blog/1290154285/ 635の質問に答えてるだけじゃないの?
自分もfreoとWDP使ってるけどfreoにしちゃった方がいいのかな
DBとか何か設定あったような気がするけどfreo設置したの大分前で思い出せん WDPは対策しないと中国人にクラックされてgoogleにクラックされているサイトのタグを付けられますよ
作者も推奨してるし移れるなら移ったほうがいいです WDP以外のツールなら使っても平気なのかな?
clapとgallery使ってる diaryproの脆弱性を利用して phpファイルを置かれて
そのphpからやられていると 大阪府警サイバー犯罪対策課 から
電話がありました。
うちの会社は、UGGだかの靴のサイトを置かれてた
うちにも D3ck9h.php や mod_api.php やら (数字).php やら
いくつかのPHPやファイルが置いてありました。
中国人やめてくれー diaryproの中国の大量アクセスとか
コメント欄の大量スパムとか関係あります? ていうかここまで被害大きくなってきたら作者も一言なりページに対策載せておいたほうがいいんじゃないかと思うんだが <IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} (.*)?/login(.*)?$ [OR]
RewriteCond %{REQUEST_URI} (.*)?/admin(.*)?$
RewriteCond %{REMOTE_ADDR} !^000\.000\.000\.000$ ←自分のIP
RewriteRule ^.*$ - [F]
</IfModule> >>593のリンク先とか
ttps://wkey.me/thread.php?id=63 の13とか
警察から連絡あったと証拠も晒さないくせに盛んにageて書いてるやつとか
みんな同一人物なのか? だろうね
警察から鯖に連絡行くくらいなら、どっかから作者にも連絡が入ってるはずなのに
作者から何のアナウンスもない
この状況の異常さを何とも思わない類の人なんだろう (>>656はWDPハッキングされたと言ってる連中を異常だと言ってるのか
作者を異常だと言ってるのか解らなくなってきた) とりあえず>>654のやつで対策してみた
もしWDPハックの話が本当だとして(いまんとこアクセスログにも
そんな気配は無いが)やられてから慌てるようじゃ遅いしな >>658
書いた自分でも何かよくわからないややこしい言い回しになってたw
もちろん前者の意味で書いたよ
粘着気質の頭おかしい人が一人芝居してるだけにしか見えないもんで 651です。
うちは、diaryproの(どこだったか忘れたが)あるフォルダを見ると
ユーザ名と暗号化されたパスワードが載っているファイルを見られる
その暗号化されたファイルを解析してadminのパスワードが破られた
と思われると警察の方に教えてもらった。
当方、phpなどは全然解らないため置かれたファイルを見ても何が何
だか解らないが、D3ck9h.phpはファイルマネージャ的な動作をする
ような気がするな・・・
「copy」って書くところ「copu」になっている場所もあったけど… 警察だのハッキングだのうるさい人等は
警察から来たメールのスクショとか晒せないの?
もちろんアドレスとか見られたら困る部分は隠したって構わないし
確固たる証拠もないのに騒いでも誰からも信じて貰えないよ そんなことできればとっくにやってる
やってないってことはできないってことさ
全部脳内の出来事だからね 中国からのアクセスを禁止にすれば?
あと電話がきたってにわかには信じ難い
その電話番号は誰から漏れたの?ってことになるし 逆にサイバー何とかにこういう件でハッキングがあるかどうか尋ねればいいのでは
自分はこういうのよくわからんけど被害ないと問い合わせってできないのかな? 651が詳しくかいている。
オレもそこからだ。
メールをさらせっていわれても電話だもん。
単に情報提供しているだけなのに、記事をしっかり読めよ。
おれだってWDPを使い続けたい。 661の人の言ってることはかなりあたってる
少なくとも話に乗っかって適当に書いてる訳ではなさそう。
user.logが標準だとworld readableだってのは設置して解析した人じゃないと
分からないことなので。
って書いてて気づいたんだけど、今ってDESの解析はcorei7ぐらいなら10日もあれば終わるのね。
user.log見つけて6桁以下ぐらいのパスワードに的を絞ってアタックしてるだけなのかもね
うちもadminのパス短かった
中華ならこのぐらいのレベルってのも納得できる っちゅうわけで、別方向で検証。パスワードが6桁以下の人限定。
diaryproのあるディレクトリから見て、data/user.log (例えば、
http://samp.le/webdiarypro/data/user.log)
にアクセスすると、パスワードファイルの中身が見えます
そこの13桁の暗号化されたパスワードをここに記載して下さい。
6桁以下の人なら、僕のパソコンなら4時間ぐらいで解析できますので、
パスワードをここに書き込みます。
URL書いたりID書いたりしないでね 解析しますとかたとえ検証だとしてもふざけんなよ
中国のIP弾いてuser.logが見えないように隠して
パスワードを10桁とかにするっていう対策とればいいってわかったからもう十分 確固たる証拠もないのに騒いでも誰からも信じて貰えないよとか言ってたのにw >>673
誰に言ってるんだか知らないけど今もまだ脆弱性云々は疑ってるよ
ただ本当にパス突破された時に面倒くさいことになりそうだから予防しておこうと思ってるだけ >>672
あなたの頭の悪さにはもううんざり
>URL書いたりID書いたりしないでね
この意味を理解してね >593
ハッシュが見えるのは確かにその通りですね。
ソースが公開されてるこの手のCGIでは仕方のないことなのかな
ファイルのパスかえたりハッシュの作り方変えたり独自の修正すればOKかな
ハッシュ関数desは弄ったことないけど、
大文字、小文字、数字、記号を混ぜての9桁なら結構強力だと思うけどな?
今時PCでも3ケ月くらいかかるんじゃない? >>676
URLやIDを書いたりしないでも他人にパフワードを解析されること自体が不快なんだが?
あなたの胡散臭さにはもううんざり 試したい人がいたらどうぞって話なのに何過剰反応してんの お言葉に甘えて例題出します
I2fNjxGCR8aW2
英数大小文字+記号、6文字
これで、どれくらいの時間かかりますかね そういわれりゃ、オレも3件やられたが
3件ともアカウントadminでパスワードは4〜6文字のホームページ
あるいはブログタイトルに関連した
単純な単語だった。
まあ、依頼者の希望だが。
英数8文字以上の12件はいまのところ大丈夫 パスワードの解析は犯罪です。
desの逆変換は犯罪ではありません。
>>677
user.logは普通ならhtaccess等でwebからは見られないようにするでしょうね
そうして全く問題ないので
9桁以上の表記は、パスワードは8文字分までしか反映していないよって意味でした
例えば8文字のパスワードの人は、ログイン時になにか適当に文字列をパスワードに付加しても、
普通にログインできるはずです。
また逆に、9文字以上のパスワードを設定している人も、8文字分までしか入力しなくても、ログインできます。
8文字のパスワードも20文字のパスワードも全く変わらないって意味です。
>>681
私のポンコツcore2duoで、1ヶ月ぐらいですね >671の記述は
いつもの 儲 対策で、そういうことができますよって話でした。すんません。
4時間なのは、6文字の半角小文字+数字のみの場合なのでした。
そもそも、私の使ってるDES解析ツールが、そのままでは記号を含められないので、
記号が入ってると大変なのです。中華もきっとありきたりなツールを使ってると思うので、
記号入れてれば多分今回の攻撃者からは逃れられるはずです。
ちなみに8文字で大小文字英+数+記号なら、480年ぐらいかかります。
でもそもそも、>>621で書いてる通り、穴はあるので、そこの対策はせにゃなりませんが。 すみません、今考えると私の>>594は勘違いだったようです。
ログイン画面から直接新規投稿へは遷移できるんですね。 使いたい人は使えばいいし
まあよく分からん自分はfreoに変更したわ
使いやすくて好きだったんだけどな残念 とりあえず「中国人にファイル置かれてた><」って言ってる人が書いたファイル名を検索してもこのスレしか出てこないんだけどw
あと素直な疑問なんだけど、なんで警察は「被害者」に連絡しても「セキュリティに穴のあるプログラムの作者」には連絡してないの?
警察から作者に連絡がいってて、本当にこのままじゃ不味い事態なんだったら、すくなくとも休止中のサイトのトップに「直ちに使用を中止してください」くらいの事は書きそうなんだけどな。 今きた。
昔から放置してるサイトでWDP使ってる。うちは問題ないけど
心配な人はこのページ読んで実行汁。
http://www.web-liberty.net/support/security.html
作者さんはちゃんと昔からセキュリティ強化方法書いてるよ。 とりあえず
lib 内 .pm ファイルのパーミッションを600にする
ってのをやっておいた。 >>593は「儲」なんて書くとアンチなんじゃね?って余計疑われるよ 自分と意見の合わない者=信者
って考え、自分が何なのか名乗ってるようなもんだよなw >>681
とりあえず半角小文字+数字の6桁の組み合わせではないってことは
確認しましたが、それ以上は許して
わたしゃー作者さんに対してそこまでアンチではない
もう何年も使わせてもらってるからね これからもそのつもりだし
今回全く何もやる気がないみたいなのは同じPGとしてどうかと思うが
ただ、頭の悪い一名は大変嫌いです
今回の一番やるべきは、.htaccessを置いて.logファイルを見れないようにする事
それ以外にも穴があるので、Plugin.pmの32行目付近のevalをコメントアウトする事
あとはFile.pmのget_extあたりに規制をかけとくといいんだろうけど、なぜかいろんなクエリが
ここを通るのでうまくいかない! 593>どうもでした
10年程前、MD5の解析で6文字以上は無理だとおもったけど
いまどき6文字が1か月でいけちゃいますか....
8文字で480年っていっても4コアのPC200台もってくりゃ7か月か 作者も忙しくて対処できないとかあろうよ
好意でやってくれてる人に対して求めすぎ 忙しい以外にも乗り気じゃないとかね
よくわからんアンチも実際にいたわけだし メディアに閲覧制限かけると管理者であっても開けなくなって
しまうのですがどうしたら良いでしょうか?
グループ、パスワード、ユーザー登録と一通り試してみたのですが
ファイルにURL直打ちでも403が出ます。
エントリー、ページそのものへの制限はかけられて確認も出来ます。
色々試してみたのですが解決策がわかりません。
心当たりのある方、ご教示願います。 作者はやる気が無いんじゃなくて、対応の必要性を感じてないんじゃないの?
これだけ「警察から連絡来た緊急事案だ」って騒いでるヤツが(数人でも)いて
それが本当の話ならのんびりしてる訳ないじゃん
警察から連絡来たって人は、それが本当なら連絡くれた警察に「作者に伝えろ」
と言えよ>>651とかさ、ここで騒いでも解決しないだろ
警察なら作者の身元調べるくらい簡単だろうし
あと警察のサイトに注意情報を掲載させるとかさ
ホントにヤバいなら俺らにも解るようにヤバさを伝えてくんない? >>694につきる
おれも被害を受けてレスった1人だが何も騒いでいない。
単なる情報提供。
それをどう受け取ってどう対応するかはそれぞれの勝手。
結構みんな対応情報くれてるよ。 >>687にある対応をとっておけば問題はなかったんだろ
悪いのはプログラムではなくセキュリティ対策をとっていない使い方をしてたこと
だからKもユーザーに個別に連絡してるという状況なのでは 追加のセキュリティ対策をしていないと悪い使い方になっちゃうプログラムってw
それがPGとしてどうなのよって話 頭悪いさん
>>697
>621でパスワードを完全に無効にする脆弱性の話してるのに、それを見ても対応の必要を感じないとか
試しもしないPGってのはやっぱ終わってるよ俺からしたら >621 はまだ確認していない
usr.logの置いてあるディレクトリにはup fileとかもあるので.htaccessを置くわけにはいかない。
ソースコードがオープンなんだから破る側が圧倒的に有利だなぁ http://www.futomi.com/lecture/htaccess/files.html
こんなので。logの禁止と、あとついでにphpとか、実行権限付けなくても
実行できちゃう拡張子を禁止しとくなど。 >593 .htaccess 細かい設定ができるのね、知らなかった、ありがと >>593
じゃあそんな終わってるPGの開発したプログラムなんて利用しないで自分でプログラム開発したら?
PG(笑)なんでしょ?
とかいうと儲(笑)認定されるかな 結局、作者が神で593が取るに足らない存在ってことを自ら喧伝してるだけか
人を頭悪い扱いできる程度の頭があるんなら、もうちょっと上手く立ち回ればいいのに 実際に被害に遭ったのは何人なの?
ここに1人か多くて2人しか居ないように見える
そのうち1人は同人板に居た人なら仕事で使ってるようなブログじゃなくて個人のブログでも
警察が連絡してくるの? > 実際に被害に遭ったのは何人なの?
ここで聞いて分かるわけないだろ
バカなのか? ×人を頭悪い扱いできる程度の頭がある
○人を頭悪い扱いできる程度の頭があると思ってる こんなの見つけましたが、関係あるのでは?
ttp://www.yomiuri.co.jp/e-japan/osaka/news/20140302-OYT8T00047.htm ここでの個人の情報とメディアの情報が一致したな
それでも信じられんやつは勝手にしろ >>711
ここでレスしてる中で何人なのかと思って
馬鹿でスマソ 己のセキュリティ対策の甘さ自慢大会会場はここですか 警察からではなけれど、サーバー業者から連絡は来た。
<お客様ご利用プログラム緊急停止のお知らせ>
拝啓 貴社益々ご清栄のこととお慶び申し上げます。
また、平素は大塚商会「アルファメール」をご利用いただきまして
誠にありがとうございます。
お客様のホームページ領域に設置されているプログラムが第三者に
よって悪用される可能性がある事を、弊社監視システムにより検知
いたしました。
このままではサービス提供に影響を与える可能性があるため、お客
様のプログラムの実行権限(属性)を停止させていただきました事を
ご連絡致します。
お客様におかれましては、ご利用Webツール(Web Diary
Professional)の脆弱性有無を確認いただくとともに、適切なアッ
プデートを行っていただけますようお願い申し上げます。
敬具
記
検知日 : 2014年03月03日
プログラム停止日時: 2014年03月03日 17時12分
停止したプログラム: cgi-bin/blog/data/z.php
上記内容を含めお客様コンテンツの修正内容に関するお問合わせは
お受けできかねますので、何卒ご了承いただけます様、お願い申し
上げます。
──────────────────────────────
このメールは重要なお知らせのためお客様の管理者アドレス宛てに
配信しております。
------------------------------------------------------------
このメールの送信元アドレスは送信専用です。ご返信によるお問い
合わせは受け付けておりませんので、ご了承ください。 2012年頃から大流行の「WEBサイト改ざん攻撃」について知らない人が
もしかしたら、まだいるかもしれないので、リンクおいておきますね。
【重要】日本中のWebサイトへの改ざん攻撃が多発中 4月から1000サイト以上が被害に | Web担当者Forum
http://web-tan.forum.impressrd.jp/e/2013/06/11/15427
去年の6月の記事ですが、まだ有効です。
Webから降ってくる脅威:最悪だったWeb改ざんとマルウェア感染攻撃をふりかえる・2013年まとめ (1/3) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1403/06/news029.html
ググれば、↑みたいな2013年のセキュリティ動向まとめがいっぱい出てきますが、
専門家向けでちょっと読みにくいかも。
「ウェブサイト 改ざん お詫び」でググると、KADOKAWAを始めとする
大手企業サイトの謝罪文がずらずらと出てきて楽しいですよ。 WEBサイト改ざん攻撃被害者が加害者になる典型的なケースだけど、
サイト運営者側の責任がどうなるか気になることろです。
脆弱性を承知していたか、いなかったがが、分かれ目になりそうですけど、
自称警察やプロバイダーから警告を受けたにもかかわらず使い続けた人や、
セキュリティ対策してみたけど不十分だった人はアウトじゃないですかね?
長いことアップデートされず、しかも、作者が危険性を認識してサイトを閉じて
トンズラしたようなプログラムを使い続けることがどのようなリスクを招くか、
ちょっと考えてみて欲しいです。特に自分で対策できないような人は。
作者の人も、ただサイトを閉じるだけではなく、危険性をきちんと告知しなくては、
責任を果たしたことにならないんじゃないかと思います。
以上。 今回の件はもっとマイナーな攻撃者で、たぶんwebdiaryに的を絞って、
ページランクを持ってるサイトからリンクを張るというSEO目的
手作業してるし、botを増やそうなんていう高度な目的は無い感じ
目的から対象が企業サイトにされやすいし、そうすると電話番号明示してるから
電話連絡が多いのでしょう
まあ、加害者にならなかったのはたまたまと言っていいと思うが >webdiaryに的を絞って
この根拠よければくわしく そっかーうちがもう三年もWDP使ってるのに被害に遭ってないのは
セキュリティ対策をしっかりしたからとかそういうんじゃなくて
どピコだから攻撃者の眼中にないってことかぁ(゚∀゚)
orz WPD以外も被害にあっている感じだな。バックドア仕込まれて、
個人情報が抜かれても、ウェブ管理者はそこまで追跡能力がない。
ウェブサイト管理者の責任が問題。まさに、720さんに同意。
ttp://www.police.pref.osaka.jp/15topics/nisesite_teguchi_1.html >>722
ごめん、勘なんで根拠ないんだが、ロボットによる突破という形でなく、
人手によるファイルアップロードってところが、マイナーな感じがしたので。
あと、目的がSEOってところが、他のMTとかWPとかの攻撃目的と違うので。
>>724
すごいねこれwWDPが一番前に来てるってのはw 休止サイトのトップにセキュリティページへのリンクが足されたね。
どうしても使い続けたいならあれを全部やっといてって。 sb懐かしいな。あれはもう更新ないだろ…
記事数増えると対応出来ないし pmファイルのパーミッションを600にすると、サーバーエラーになっちゃうのはなぜ?
init.pmのcgiファイルの初期値変更しようにも、アプリケーションエラーになっちゃうよ・・ 単純なエディタの設定ミスで文字化けしてただけだったorz
だがパーミッション600の設定はできず。自鯖じゃないからかな。 ほんとにsuexec環境なの?
ファイル1個だけ0600にしてもエラー? ページイメージ分類別表示って>>33の例でいうと
表示させたいイメージがあるページは作品ページ1〜の位置にないとダメ??
分類用ページ1にイメージを設定しても、ページイメージ分類別表示プラグインのURL で表示されないけどこういう仕様なのかな?? ページイメージ分類別表示プラグインのURLで表示されないっていう意味がわからないけど
これ使えば?
ttp://32877.xii.jp/index.php/view/39 >>735
ページイメージを分類別表示させるURL( freo/index.php/page_image_categorized/gallery )って意味だった
あと>>733でアンカ間違えてた、>>31の例でいうと、の間違い またやられた。今度は楽天のレイバンのカタログを
dataフォルダーに入れられた。
いろいろやってるんだけど。 作者が提示した対策全部やってもまだ仕込まれるの?
前に来てた顧客のサイトの人じゃないならfreoにした方がいいんじゃね? tp://www.yomiuri.co.jp/it/20140612-OYT1T50017.html 今は使っていないが未対策のWDPのrecord.log
よりFilesManの記述を検出 ギャラリーを切り取りじゃなくて縮小サムネイルにしたい場合はどうしたらいい?
標準装備になったらプラグインの公式ページ消えてしまった...(´・ω・`) >>567
これとまったく同じ
設定終わり画像登録も終わり
挿入画面も出るんだけど
挿入ボタンおしても初期に戻るだけでなにも起きない
ここにも数人いるし公式サポートにも同じ症状が1人いるけど
なんの音沙汰もないのか…
導入無理だなあ