情報漏洩の発端はお知らせにも書きましたが、ブログとMisskeyと分けてる鯖を高性能なもので統合したら鯖代が年に2万円浮くし負荷を分散できるぞと思った事でした
42000円→22000円に鯖代が抑えられるのは大きいと感じたからです。
42000円→22000円に鯖代が抑えられるのは大きいと感じたからです。
@yp3klknl への返信
VPSのコンパネにあったDockerだからかなり古いタイプだったようでした。
このプロキシは無印のnginxと異なり、しかも前々から不具合が多く更新頻度が低いそうです。
GUIで設定できるからときちんと調べずに使ったのが間違いでした。
このプロキシは無印のnginxと異なり、しかも前々から不具合が多く更新頻度が低いそうです。
GUIで設定できるからときちんと調べずに使ったのが間違いでした。
2.11.3って2年近く前のバージョンですね
思ったのだが1年くらいだと結構脆弱性見つかるのだろうか
あまり知識がないので分からないが…
オープンソースのセキュリティの強みは脆弱性を「すぐ見つけてすぐ直す」だから見つかるのは多そう
https://github.com/NginxProxyManager/nginx-proxy-manager/releases/tag/v2.11.3
思ったのだが1年くらいだと結構脆弱性見つかるのだろうか
あまり知識がないので分からないが…
オープンソースのセキュリティの強みは脆弱性を「すぐ見つけてすぐ直す」だから見つかるのは多そう
https://github.com/NginxProxyManager/nginx-proxy-manager/releases/tag/v2.11.3
PYU224
@PYU224
·
約2ヶ月前
ぬくもりすきーでのユーザーの書き込みを確認できる範囲で確認しましたが不審な書き込みはなく、またAIの手を借りつつログを見ましたがSSHへの侵入はありませんでした。
そこから原因としてブログとWebサービスおよびMisskeyを鯖内に共存させる為にnginx proxy managerをDockerでnginxの代わりに導入して脆弱性を突かれたからだと考えています。
調べてみるとバージョンが古いもの(2.11.3)だったので可能性としてはこれが一番高いと思います。
https://nginxproxymanager.com/
nginxに代わる良いツールがあるとDockerでインストールしたnginx proxyは2.11.3で最新版だと確認しなかったのが致命的なミスの1つですね・・・
https://nvd.nist.gov/vuln/detail/CVE-2024-46256
https://nvd.nist.gov/vuln/detail/CVE-2024-46256
@Princest への返信
板管理人です
多分だが人気と新着の両方でランキング圏外なってトップページに表示されないだけだと思われ
https://810ch.yajuvideo.in/bbsmenu.html
他板だと「逆引きできないIPを禁止する板」が圏外になってる
多分だが人気と新着の両方でランキング圏外なってトップページに表示されないだけだと思われ
https://810ch.yajuvideo.in/bbsmenu.html
他板だと「逆引きできないIPを禁止する板」が圏外になってる
あとは私がNPMの設定を間違えた可能性が高いです。
misskeyの問題なら普通にnginxを導入している他のサーバーはとっくに被害を受けているはずだからです。
misskeyの問題なら普通にnginxを導入している他のサーバーはとっくに被害を受けているはずだからです。
PYU224
@PYU224
·
約2ヶ月前
ぬくもりすきーでのユーザーの書き込みを確認できる範囲で確認しましたが不審な書き込みはなく、またAIの手を借りつつログを見ましたがSSHへの侵入はありませんでした。
そこから原因としてブログとWebサービスおよびMisskeyを鯖内に共存させる為にnginx proxy managerをDockerでnginxの代わりに導入して脆弱性を突かれたからだと考えています。
調べてみるとバージョンが古いもの(2.11.3)だったので可能性としてはこれが一番高いと思います。
https://nginxproxymanager.com/
ぬくもりすきーでのユーザーの書き込みを確認できる範囲で確認しましたが不審な書き込みはなく、またAIの手を借りつつログを見ましたがSSHへの侵入はありませんでした。
そこから原因としてブログとWebサービスおよびMisskeyを鯖内に共存させる為にnginx proxy managerをDockerでnginxの代わりに導入して脆弱性を突かれたからだと考えています。
調べてみるとバージョンが古いもの(2.11.3)だったので可能性としてはこれが一番高いと思います。
https://nginxproxymanager.com/
そこから原因としてブログとWebサービスおよびMisskeyを鯖内に共存させる為にnginx proxy managerをDockerでnginxの代わりに導入して脆弱性を突かれたからだと考えています。
調べてみるとバージョンが古いもの(2.11.3)だったので可能性としてはこれが一番高いと思います。
https://nginxproxymanager.com/
CuteBarn
@CuteBarn
·
約2ヶ月前
追記ですが、オープンポートからでもDBには接続できませんでした。確かにdefault.ymlには触れましたが。
まず見たいのはログの改ざんの有無です。ある程度高度な攻撃者だと仮定すると該当範囲の操作ログを丸々消したり、正常に見えるものに書き換えることはよく行われます。
攻撃の痕跡もログ以外で探したいところです。例えばぬくすきへの投稿や、SSHやシェルのログにそれらしい痕跡はないでしょうか。
それ以外では、何を使っているかは存じ上げませんがミドルウェアのCVEや設定、MITREのATT&CK一覧を見てみるとインセキュアな部分が見えてくるかもしれません。
攻撃の痕跡もログ以外で探したいところです。例えばぬくすきへの投稿や、SSHやシェルのログにそれらしい痕跡はないでしょうか。
それ以外では、何を使っているかは存じ上げませんがミドルウェアのCVEや設定、MITREのATT&CK一覧を見てみるとインセキュアな部分が見えてくるかもしれません。
Misskeyの鯖缶の方々は頭が硬い上に長文が読めないのが困りますね。鯖缶部屋のモデレーターはさらに排他的な思想で知的な面でも制限されています。
侵入経路はログが十分にあるか、攻撃者と同じレベルにないと特定できません。
milkさんの場合は「ああしたからそれはない」、「こうなっているからこれだ」をやめて多角的に見てみるとヒントがあるかもしれません。
侵入経路はログが十分にあるか、攻撃者と同じレベルにないと特定できません。
milkさんの場合は「ああしたからそれはない」、「こうなっているからこれだ」をやめて多角的に見てみるとヒントがあるかもしれません。
@CuteBarn への返信
漏洩したパスワードを見る限り、レインボーテーブルには一部を除いて載っていなさそうですし、逆にブルートフォースであの量を特定した可能性も考えられますが、8ラウンドのbcryptを個人的な計算資源でクラックするのは相当な豪運の持ち主でしょう。
データベースの線は後から変更したミスリードないしは単なる勘違いの可能性も十二分にあります。
データベースの線は後から変更したミスリードないしは単なる勘違いの可能性も十二分にあります。
@PYU224 への返信
Discordの鯖缶部屋からBANされて私のメッセージはmilk100%/PYU224さんがご覧になっていないと思われますので再度お伝えします。
「ymlとDBが同時に読まれてもパスワードは漏洩しません。」
これは実装上の話でもあり、私がmilkさんと同様の設定をした脆弱なテストサーバーで試した結果でもあります。
またログが書き換えられている可能性は考慮しましたか?現場にあるログは保全されていません。
その上、動機から侵入経路の特定はできません。
場合によっては単に迷惑をかけたいだけ(教徒の場合は大抵がそうですよね?)で、すぐに修復できるページ改ざんよりも被害の大きい「イタズラ」を仕込んだ可能性も考えられます。
掲示板の犯行声明は「鯖移転で脆弱性突けたからアクティブユーザの情報抜いてきた 」とのことなので、特に侵入経路について明言はしていないので依然不明です。ここから推察するに、「アクティブユーザ」以外の被害がないことから移転後のログインの有無が重要なのではないでしょうか。
まずは視点を変えて、新規ユーザに怪しい文字列を投稿している人物がいないかも確認してみてください。MisskeyはJS依存なので、投稿した上でタイムラインに表示されないようにコードを書くことも可能です。
鯖缶部屋の面々もそうですが(ここは見ていないでしょうが)、排他的な思考と思い込みは危険です。
「ymlとDBが同時に読まれてもパスワードは漏洩しません。」
これは実装上の話でもあり、私がmilkさんと同様の設定をした脆弱なテストサーバーで試した結果でもあります。
またログが書き換えられている可能性は考慮しましたか?現場にあるログは保全されていません。
その上、動機から侵入経路の特定はできません。
場合によっては単に迷惑をかけたいだけ(教徒の場合は大抵がそうですよね?)で、すぐに修復できるページ改ざんよりも被害の大きい「イタズラ」を仕込んだ可能性も考えられます。
掲示板の犯行声明は「鯖移転で脆弱性突けたからアクティブユーザの情報抜いてきた 」とのことなので、特に侵入経路について明言はしていないので依然不明です。ここから推察するに、「アクティブユーザ」以外の被害がないことから移転後のログインの有無が重要なのではないでしょうか。
まずは視点を変えて、新規ユーザに怪しい文字列を投稿している人物がいないかも確認してみてください。MisskeyはJS依存なので、投稿した上でタイムラインに表示されないようにコードを書くことも可能です。
鯖缶部屋の面々もそうですが(ここは見ていないでしょうが)、排他的な思考と思い込みは危険です。