まず見たいのはログの改ざんの有無です。ある程度高度な攻撃者だと仮定すると該当範囲の操作ログを丸々消したり、正常に見えるものに書き換えることはよく行われます。
攻撃の痕跡もログ以外で探したいところです。例えばぬくすきへの投稿や、SSHやシェルのログにそれらしい痕跡はないでしょうか。
それ以外では、何を使っているかは存じ上げませんがミドルウェアのCVEや設定、MITREのATT&CK一覧を見てみるとインセキュアな部分が見えてくるかもしれません。
攻撃の痕跡もログ以外で探したいところです。例えばぬくすきへの投稿や、SSHやシェルのログにそれらしい痕跡はないでしょうか。
それ以外では、何を使っているかは存じ上げませんがミドルウェアのCVEや設定、MITREのATT&CK一覧を見てみるとインセキュアな部分が見えてくるかもしれません。
Misskeyの鯖缶の方々は頭が硬い上に長文が読めないのが困りますね。鯖缶部屋のモデレーターはさらに排他的な思想で知的な面でも制限されています。
侵入経路はログが十分にあるか、攻撃者と同じレベルにないと特定できません。
milkさんの場合は「ああしたからそれはない」、「こうなっているからこれだ」をやめて多角的に見てみるとヒントがあるかもしれません。
侵入経路はログが十分にあるか、攻撃者と同じレベルにないと特定できません。
milkさんの場合は「ああしたからそれはない」、「こうなっているからこれだ」をやめて多角的に見てみるとヒントがあるかもしれません。
@CuteBarn への返信
漏洩したパスワードを見る限り、レインボーテーブルには一部を除いて載っていなさそうですし、逆にブルートフォースであの量を特定した可能性も考えられますが、8ラウンドのbcryptを個人的な計算資源でクラックするのは相当な豪運の持ち主でしょう。
データベースの線は後から変更したミスリードないしは単なる勘違いの可能性も十二分にあります。
データベースの線は後から変更したミスリードないしは単なる勘違いの可能性も十二分にあります。
@PYU224 への返信
Discordの鯖缶部屋からBANされて私のメッセージはmilk100%/PYU224さんがご覧になっていないと思われますので再度お伝えします。
「ymlとDBが同時に読まれてもパスワードは漏洩しません。」
これは実装上の話でもあり、私がmilkさんと同様の設定をした脆弱なテストサーバーで試した結果でもあります。
またログが書き換えられている可能性は考慮しましたか?現場にあるログは保全されていません。
その上、動機から侵入経路の特定はできません。
場合によっては単に迷惑をかけたいだけ(教徒の場合は大抵がそうですよね?)で、すぐに修復できるページ改ざんよりも被害の大きい「イタズラ」を仕込んだ可能性も考えられます。
掲示板の犯行声明は「鯖移転で脆弱性突けたからアクティブユーザの情報抜いてきた 」とのことなので、特に侵入経路について明言はしていないので依然不明です。ここから推察するに、「アクティブユーザ」以外の被害がないことから移転後のログインの有無が重要なのではないでしょうか。
まずは視点を変えて、新規ユーザに怪しい文字列を投稿している人物がいないかも確認してみてください。MisskeyはJS依存なので、投稿した上でタイムラインに表示されないようにコードを書くことも可能です。
鯖缶部屋の面々もそうですが(ここは見ていないでしょうが)、排他的な思考と思い込みは危険です。
「ymlとDBが同時に読まれてもパスワードは漏洩しません。」
これは実装上の話でもあり、私がmilkさんと同様の設定をした脆弱なテストサーバーで試した結果でもあります。
またログが書き換えられている可能性は考慮しましたか?現場にあるログは保全されていません。
その上、動機から侵入経路の特定はできません。
場合によっては単に迷惑をかけたいだけ(教徒の場合は大抵がそうですよね?)で、すぐに修復できるページ改ざんよりも被害の大きい「イタズラ」を仕込んだ可能性も考えられます。
掲示板の犯行声明は「鯖移転で脆弱性突けたからアクティブユーザの情報抜いてきた 」とのことなので、特に侵入経路について明言はしていないので依然不明です。ここから推察するに、「アクティブユーザ」以外の被害がないことから移転後のログインの有無が重要なのではないでしょうか。
まずは視点を変えて、新規ユーザに怪しい文字列を投稿している人物がいないかも確認してみてください。MisskeyはJS依存なので、投稿した上でタイムラインに表示されないようにコードを書くことも可能です。
鯖缶部屋の面々もそうですが(ここは見ていないでしょうが)、排他的な思考と思い込みは危険です。
@CuteBarn への返信
ファイアウォールのログやSQLの設定ファイルはローカルで保全しております。
その辺りかどうかは知識がなく断言はできませんが、GUIについてはnginx proxy managerからGUIで設定していたのと、ymlファイルのパーミッションをデフォルトのままにしていたので、そこにあった平文のパスワードを読まれたからだと考えています。
SSHとFTPはfail2banを導入していますし、もし仰る通りSSHが抜かれていたら同居させているブログや他のWebサービスも被害に遭っているでしょうからそこは考えにくいです
その辺りかどうかは知識がなく断言はできませんが、GUIについてはnginx proxy managerからGUIで設定していたのと、ymlファイルのパーミッションをデフォルトのままにしていたので、そこにあった平文のパスワードを読まれたからだと考えています。
SSHとFTPはfail2banを導入していますし、もし仰る通りSSHが抜かれていたら同居させているブログや他のWebサービスも被害に遭っているでしょうからそこは考えにくいです
@PYU224
ログの保全はしてあります?
トラバーサルが可能な状況でSSHやFTPのパスワードも読まれていない確証はありますか?
DiscordではGUIから設定していたと仰っていたので、ハッシュ化されたシャドーではなく平文でパスワードが置かれていた可能性も否定できません。
ログの保全はしてあります?
トラバーサルが可能な状況でSSHやFTPのパスワードも読まれていない確証はありますか?
DiscordではGUIから設定していたと仰っていたので、ハッシュ化されたシャドーではなく平文でパスワードが置かれていた可能性も否定できません。
鯖缶コミュでMisskingwayといかすきーの管理人に関係のない奴は出しゃばるなと言われた上に名前聞かれてBANされた捨垢でもない人です。
Discordの投稿が消されているので思い出しつつこっちに再掲します。
ぬくすきの情報漏洩なんですが、手元で試しても再現性がない上にDBにあるパスワードはハッシュ化されていて現実的には掠取できません。
アクティブユーザーのみの流出であることを考えるとXSSかウェブスニファが一番あり得そうな線なんですがどうなんでしょう。
Discordの投稿が消されているので思い出しつつこっちに再掲します。
ぬくすきの情報漏洩なんですが、手元で試しても再現性がない上にDBにあるパスワードはハッシュ化されていて現実的には掠取できません。
アクティブユーザーのみの流出であることを考えるとXSSかウェブスニファが一番あり得そうな線なんですがどうなんでしょう。
Postgresのデフォルト設定が問題だと思っていましたが、根本的な問題として侵入された際にファイアウォールが有効になっていなかった可能性が出てきました。
思い返してみれば実際は複数の方々から同じようなご指摘を頂いていたのに気づきましたが、私はそれに耳を傾けたつもりでも実際は受け止めていませんでした。
PYU224
@PYU224
·
約7時間前
Misskeyサーバー「ぬくもりすきー」での情報漏洩について
https://33-4.me/blog/archives/742
技術の問題は勉強したり人から教わったりしたらついてきますが、それを扱う側(私)の想像力や誠実さのなさといった人間性の問題の方が非常に大きいです。
言われてみてやっと気づきました。
Misskeyサーバー「ぬくもりすきー」での情報漏洩について
https://33-4.me/blog/archives/742
技術の問題は勉強したり人から教わったりしたらついてきますが、それを扱う側(私)の想像力や誠実さのなさといった人間性の問題の方が非常に大きいです。
言われてみてやっと気づきました。
https://33-4.me/blog/archives/742
技術の問題は勉強したり人から教わったりしたらついてきますが、それを扱う側(私)の想像力や誠実さのなさといった人間性の問題の方が非常に大きいです。
言われてみてやっと気づきました。