【freo】Web Liberty総合２【Web Diary Pro】

【freo】Web Liberty総合２【Web Diary Pro】 (914ﾚｽ)
上下前次1-新
抽出解除ﾚｽ栞

ﾘﾛｰﾄﾞ規制です｡10分ほどで解除するので､他のﾌﾞﾗｳｻﾞへ避難してください｡

593(31): 593 [sage] 2013/12/13(金) 10:36:27.05 ID:gkJsmUoH(1/2) AAS
ここのコメントにある内容ですが、うちもやられてました
http://blog.nemoa.biz/2013/02/04/web-diary-professional%E3%81%AF%E4%BD%BF%E3%82%8F%E3%81%AA%E3%81%84%E6%96%B9%E3%81%8C%E3%81%84%E3%81%84%E3%81%8B%E3%82%82%E3%81%97%E3%82%8C%E3%81%AA%E3%81%84.html
中国からのIPですが、ブルートフォースアタックというよりは非常にスマートに
ファイルをアップロードして通販サイトへのphpページを作ってました
webdiaryを狙い撃ちしてるっぽいです

594(1): 593 [] 2013/12/13(金) 10:37:45.38 ID:gkJsmUoH(2/2) AAS
すみませんあげます

mode=adminのページから一発でファイルアップロードしてますので、
パスワードの複雑さなどはたぶん関係ないかと思います

598: Trackback(774) [sage] 2013/12/14(土) 21:13:38.39 ID:/av2nDVe(1) AAS
>>593
同人板のあのスレは、freo専スレじゃないんで
ここでやりなよ

作者に詳細送って返事来たら晒して
自分のは不審なファイル何もなかったよ

618: 593 [sage] 2014/01/25(土) 11:19:27.24 ID:ZaJSS7Nq(1/4) AAS
メールしました
メンテできてなくて気になってたからこの機会に停止するだそうです

620: 593 [sage] 2014/01/25(土) 17:17:27.93 ID:ZaJSS7Nq(2/4) AAS
作者さんはあんまり修正する気がないみたいです
1週間以上返事がない

とりあえず自分で見つけてみた

621(3): 593 [sage] 2014/01/25(土) 17:24:32.94 ID:ZaJSS7Nq(3/4) AAS
やっとこさ再現出来た
プラグインの処理で、クエリをそのままevalしてるところがあって、そこを使えば突破できた

mode=admin&work=new&admin_user=1&admin_pwd=1&plugin=Sample;require webliberty::App::Admin;
${$self}{init}{data_user} %3d 'echo 1 11b0WGZJEBWiw admin|';
my $app_ins %3d new webliberty::App::Admin(${$self}{init}, ${$self}{config}, ${$self}{query});
$app_ins::run;
（途中改行してます）
GETの確認までで、実際のPOSTまでは進んでないが、理屈では通るはず

こんな感じで、最初っからSampleのプラグインが存在するのを利用して、evalルーチンにやりたいことを渡せばOK
admin_user以降のクエリを付加し続ければ、adminとしてその後なんでもできる

なんでevalでrequireなんてしてるのかというと、攻撃者はわざわざ新規記事投稿して、その際のファイルアップロードを利用してファイルを置いてたのよね
俺ならuser.logでも追記しちゃうけど、それをしないでどうみてもブラウザでちまちまファイルアップしてるのよ
アップ記事の確認までちゃんとしてる
それを再現するために、わざわざパスワードを完全無効化できるパラメータにした
evalの部分を見つけるのは早かったが、パスワード無効化のパラメータ作る方に苦労したｗ

ってか、中華がこんなことわざわざやるとも思えないし、もっと別の脆弱性があるんだと思う
誰か手伝ってもらえませんか？
穴を塞ぎたいので

622: 593 [sage] 2014/01/25(土) 17:30:19.79 ID:ZaJSS7Nq(4/4) AAS
あ、echoのところの
1と11b0WGZJEBWiwとadminの区切りはタブね
WDPは\tでsplitしてるので

627: 593 [sage] 2014/01/28(火) 09:08:59.23 ID:ihcjvpF7(1/2) AAS
今回の輩はどうもSEO目的みたいですね
ファイルを置いてリンクを張るのが目的のよう
それ以外のことは特にしてこないからあんまり実害ない

私が分かったのはサーバのログに自分が置いてないファイルが出てたから
実は私と同時期にクライアントのサーバ会社も事態を把握したようだから、
変なアクセスは増えるんだろうけども。

あとはPOPサーバ情報なんかを入れてる人はそれは見られちゃうね

628(2): 593 [sage] 2014/01/28(火) 09:22:29.67 ID:ihcjvpF7(2/2) AAS
本当かどうか知りたい人は、diary.cgiのURLを記載したファイルを同一ドメイン上に
あげて、そのファイルのURLを張ってもらえれば、環境設定画面のスクリーンショットをUPできます

634: 593 [sage] 2014/02/06(木) 08:49:47.15 ID:1iRU7+xc(1/2) AAS
さすがはgoogleさんで、このphpファイルを見つけると、クラッキングと判定するようです
WDP使ってるサイトで、ぐぐった際の結果に、「このサイトは第三者にハッキングされています」とか出てたら、
おそらくWDPが原因でしょう

636: 593 [sage] 2014/02/06(木) 19:59:47.46 ID:1iRU7+xc(2/2) AAS
作者がそれを推奨してますので、できるならそれがいいでしょう
私は移りたくないので色々やってますが

639: 593 [sage] 2014/02/08(土) 23:33:44.43 ID:Srgf1dh0(1) AAS
儲w

646(1): 593 [sage] 2014/02/18(火) 11:40:48.29 ID:XpJp0hBh(1) AAS
WDPは対策しないと中国人にクラックされてgoogleにクラックされているサイトのタグを付けられますよ
作者も推奨してるし移れるなら移ったほうがいいです

655: Trackback(774) [sage] 2014/02/24(月) 20:46:12.73 ID:aRVOB35l(2/2) AAS
>>593のリンク先とか
https://wkey.me/thread.php?id=63　の13とか
警察から連絡あったと証拠も晒さないくせに盛んにageて書いてるやつとか
みんな同一人物なのか？

670: 593 [sage] 2014/02/28(金) 11:40:51.77 ID:xC6xqaMH(1/6) AAS
661の人の言ってることはかなりあたってる
少なくとも話に乗っかって適当に書いてる訳ではなさそう。
user.logが標準だとworld readableだってのは設置して解析した人じゃないと
分からないことなので。

って書いてて気づいたんだけど、今ってDESの解析はcorei7ぐらいなら10日もあれば終わるのね。
user.log見つけて6桁以下ぐらいのパスワードに的を絞ってアタックしてるだけなのかもね
うちもadminのパス短かった
中華ならこのぐらいのレベルってのも納得できる

671(1): 593 [sage] 2014/02/28(金) 12:06:18.47 ID:xC6xqaMH(2/6) AAS
っちゅうわけで、別方向で検証。パスワードが6桁以下の人限定。
diaryproのあるディレクトリから見て、data/user.log　（例えば、
http://samp.le/webdiarypro/data/user.log）
にアクセスすると、パスワードファイルの中身が見えます
そこの13桁の暗号化されたパスワードをここに記載して下さい。
6桁以下の人なら、僕のパソコンなら4時間ぐらいで解析できますので、
パスワードをここに書き込みます。
URL書いたりID書いたりしないでね

675: 593 [sage] 2014/02/28(金) 13:01:42.44 ID:xC6xqaMH(3/6) AAS
パスワードはdesだから9文字以上は無意味

676(1): 593 [sage] 2014/02/28(金) 13:03:44.17 ID:xC6xqaMH(4/6) AAS
>>672
あなたの頭の悪さにはもううんざり
＞URL書いたりID書いたりしないでね
この意味を理解してね

677(1): Trackback(774) [sage] 2014/02/28(金) 13:54:11.66 ID:lpbwhKLQ(1/2) AAS
>593
ハッシュが見えるのは確かにその通りですね。
ソースが公開されてるこの手のCGIでは仕方のないことなのかな
ファイルのパスかえたりハッシュの作り方変えたり独自の修正すればOKかな
ハッシュ関数desは弄ったことないけど、
大文字、小文字、数字、記号を混ぜての９桁なら結構強力だと思うけどな？
今時PCでも3ケ月くらいかかるんじゃない？

683: 593 [sage] 2014/02/28(金) 19:45:21.74 ID:xC6xqaMH(5/6) AAS
パスワードの解析は犯罪です。
desの逆変換は犯罪ではありません。

>>677
user.logは普通ならhtaccess等でwebからは見られないようにするでしょうね
そうして全く問題ないので
9桁以上の表記は、パスワードは8文字分までしか反映していないよって意味でした
例えば8文字のパスワードの人は、ログイン時になにか適当に文字列をパスワードに付加しても、
普通にログインできるはずです。
また逆に、9文字以上のパスワードを設定している人も、8文字分までしか入力しなくても、ログインできます。
8文字のパスワードも20文字のパスワードも全く変わらないって意味です。

>>681
私のポンコツcore2duoで、1ヶ月ぐらいですね　>671の記述は
いつもの　儲　対策で、そういうことができますよって話でした。すんません。
4時間なのは、6文字の半角小文字＋数字のみの場合なのでした。

そもそも、私の使ってるDES解析ツールが、そのままでは記号を含められないので、
記号が入ってると大変なのです。中華もきっとありきたりなツールを使ってると思うので、
記号入れてれば多分今回の攻撃者からは逃れられるはずです。
ちなみに8文字で大小文字英+数+記号なら、480年ぐらいかかります。

でもそもそも、>>621で書いてる通り、穴はあるので、そこの対策はせにゃなりませんが。

684: 593 [sage] 2014/02/28(金) 19:55:03.22 ID:xC6xqaMH(6/6) AAS
すみません、今考えると私の>>594は勘違いだったようです。
ログイン画面から直接新規投稿へは遷移できるんですね。

690: Trackback(774) [sage] 2014/03/02(日) 03:51:06.91 ID:3zfyzFIQ(1) AAS
>>593は「儲」なんて書くとアンチなんじゃね？って余計疑われるよ

692: 593 [sage] 2014/03/03(月) 10:38:47.72 ID:/vGZjGiN(1) AAS
>>681
とりあえず半角小文字+数字の6桁の組み合わせではないってことは
確認しましたが、それ以上は許して

わたしゃー作者さんに対してそこまでアンチではない
もう何年も使わせてもらってるからね　これからもそのつもりだし
今回全く何もやる気がないみたいなのは同じPGとしてどうかと思うが
ただ、頭の悪い一名は大変嫌いです

今回の一番やるべきは、.htaccessを置いて.logファイルを見れないようにする事
それ以外にも穴があるので、Plugin.pmの32行目付近のevalをコメントアウトする事
あとはFile.pmのget_extあたりに規制をかけとくといいんだろうけど、なぜかいろんなクエリが
ここを通るのでうまくいかない！

700: 593 [sage] 2014/03/04(火) 08:57:33.42 ID:RUaNI2wv(1/3) AAS
追加のセキュリティ対策をしていないと悪い使い方になっちゃうプログラムってｗ
それがPGとしてどうなのよって話　頭悪いさん
>>697
>621でパスワードを完全に無効にする脆弱性の話してるのに、それを見ても対応の必要を感じないとか
試しもしないPGってのはやっぱ終わってるよ俺からしたら

703: 593 [sage] 2014/03/04(火) 13:41:10.39 ID:RUaNI2wv(2/3) AAS
http://www.futomi.com/lecture/htaccess/files.html
こんなので。logの禁止と、あとついでにphpとか、実行権限付けなくても
実行できちゃう拡張子を禁止しとくなど。

704: 702 [sage] 2014/03/04(火) 15:10:35.44 ID:Gpii5YlC(2/2) AAS
>593 .htaccess 細かい設定ができるのね、知らなかった、ありがと

705: Trackback(774) [sage] 2014/03/04(火) 15:35:18.44 ID:9x1XcQde(2/2) AAS
>>593
じゃあそんな終わってるPGの開発したプログラムなんて利用しないで自分でプログラム開発したら？
PG（笑）なんでしょ？
とかいうと儲（笑）認定されるかな

706: 593 [sage] 2014/03/04(火) 17:56:47.88 ID:RUaNI2wv(3/3) AAS
めんどくさいからやだ（笑）

714: 593 [sage] 2014/03/06(木) 09:17:23.45 ID:H4q2Dn+T(1) AAS
もろこれの一部でしょう

721: 593 [sage] 2014/03/09(日) 09:50:36.95 ID:8D01mm9t(1) AAS
今回の件はもっとマイナーな攻撃者で、たぶんwebdiaryに的を絞って、
ページランクを持ってるサイトからリンクを張るというSEO目的
手作業してるし、botを増やそうなんていう高度な目的は無い感じ
目的から対象が企業サイトにされやすいし、そうすると電話番号明示してるから
電話連絡が多いのでしょう
まあ、加害者にならなかったのはたまたまと言っていいと思うが

725: 593 [sage] 2014/03/13(木) 13:59:00.19 ID:7vFWk75P(1) AAS
>>722
ごめん、勘なんで根拠ないんだが、ロボットによる突破という形でなく、
人手によるファイルアップロードってところが、マイナーな感じがしたので。
あと、目的がSEOってところが、他のMTとかWPとかの攻撃目的と違うので。

>>724
すごいねこれｗWDPが一番前に来てるってのはｗ

上下前次1-新書関写板覧索設栞歴

ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.039s