CuteBarn

@CuteBarn

Misskingway(invillage-outvillage.com)といかすきー(bktsk.com)の管理人に鯖缶コミュでモデレーターの立場から脅迫されました。

2025年12月からヤジュッターを利用しています

0 ヤジュコイン

0 フォロー中 0 フォロワー

つぶやき
CuteBarn @CuteBarn · 約5時間前
https://misskey.nukumori-sky.net/notes/afuzz0h438
他の方も言及していますね。
@hazer
@PYU224 他に考えられるのは… DBに直接アクセスは私がPYU氏から聞いた情報とブログ内容から考えると、難しい気がしています。 なぜなら、ポスグレのlistenが無効化されてたから。 これが無効化されてると、アドレスを監視しないので、同一マシン内からのリクエストじゃないと通してくれないようです。(全てのアドレスを通すだと設定が有効化されて*が入ったり、0.0.0.0/0になるかなと) これは完全な憶測なので断言はできませんが、5432ポートにリクエストできるアプリケーション、今回だとmisskeyを踏み台にすることで間接的にDBを触った可能性はあります。 あとは、アプリ側の任意コード実行とか… とりあえずログを拾い集めるところからですね。 RE: @PYU224 あとポスグレへの接続ログも見た方が良さそう。 認証失敗であればログは吐き出されます。 認証成功のパターンは、log_connectionsを有効にしてなければ吐き出されないです RE: ...
ぬくもりすきー(Nukumori-Sky)
0 0 0
CuteBarn @CuteBarn · 約5時間前
追記ですが、オープンポートからでもDBには接続できませんでした。確かにdefault.ymlには触れましたが。
CuteBarn @CuteBarn · 約5時間前

Discordの鯖缶部屋からBANされて私のメッセージはmilk100%/PYU224さんがご覧になっていないと思われますので再度お伝えします。

「ymlとDBが同時に読まれてもパスワードは漏洩しません。」

これは実装上の話でもあり、私がmilkさんと同様の設定をした脆弱なテストサーバーで試した結果でもあります。

またログが書き換えられている可能性は考慮しましたか?現場にあるログは保全されていません。

その上、動機から侵入経路の特定はできません。
場合によっては単に迷惑をかけたいだけ(教徒の場合は大抵がそうですよね?)で、すぐに修復できるページ改ざんよりも被害の大きい「イタズラ」を仕込んだ可能性も考えられます。

掲示板の犯行声明は「鯖移転で脆弱性突けたからアクティブユーザの情報抜いてきた 」とのことなので、特に侵入経路について明言はしていないので依然不明です。ここから推察するに、「アクティブユーザ」以外の被害がないことから移転後のログインの有無が重要なのではないでしょうか。

まずは視点を変えて、新規ユーザに怪しい文字列を投稿している人物がいないかも確認してみてください。MisskeyはJS依存なので、投稿した上でタイムラインに表示されないようにコードを書くことも可能です。

鯖缶部屋の面々もそうですが(ここは見ていないでしょうが)、排他的な思考と思い込みは危険です。
0 0 0
CuteBarn @CuteBarn · 約5時間前
まず見たいのはログの改ざんの有無です。ある程度高度な攻撃者だと仮定すると該当範囲の操作ログを丸々消したり、正常に見えるものに書き換えることはよく行われます。

攻撃の痕跡もログ以外で探したいところです。例えばぬくすきへの投稿や、SSHやシェルのログにそれらしい痕跡はないでしょうか。

それ以外では、何を使っているかは存じ上げませんがミドルウェアのCVEや設定、MITREのATT&CK一覧を見てみるとインセキュアな部分が見えてくるかもしれません。
0 0 0
CuteBarn @CuteBarn · 約5時間前
Misskeyの鯖缶の方々は頭が硬い上に長文が読めないのが困りますね。鯖缶部屋のモデレーターはさらに排他的な思想で知的な面でも制限されています。

侵入経路はログが十分にあるか、攻撃者と同じレベルにないと特定できません。
milkさんの場合は「ああしたからそれはない」、「こうなっているからこれだ」をやめて多角的に見てみるとヒントがあるかもしれません。
0 0 0
CuteBarn @CuteBarn · 約5時間前
@CuteBarn への返信
漏洩したパスワードを見る限り、レインボーテーブルには一部を除いて載っていなさそうですし、逆にブルートフォースであの量を特定した可能性も考えられますが、8ラウンドのbcryptを個人的な計算資源でクラックするのは相当な豪運の持ち主でしょう。

データベースの線は後から変更したミスリードないしは単なる勘違いの可能性も十二分にあります。
0 0 0
CuteBarn @CuteBarn · 約5時間前
@PYU224 への返信
他の声明を見逃しているかもしれません。私が観測した限りではDBについての言及はしていませんでした。
0 0 0
CuteBarn @CuteBarn · 約5時間前
@PYU224 への返信
Discordの鯖缶部屋からBANされて私のメッセージはmilk100%/PYU224さんがご覧になっていないと思われますので再度お伝えします。

「ymlとDBが同時に読まれてもパスワードは漏洩しません。」

これは実装上の話でもあり、私がmilkさんと同様の設定をした脆弱なテストサーバーで試した結果でもあります。

またログが書き換えられている可能性は考慮しましたか?現場にあるログは保全されていません。

その上、動機から侵入経路の特定はできません。
場合によっては単に迷惑をかけたいだけ(教徒の場合は大抵がそうですよね?)で、すぐに修復できるページ改ざんよりも被害の大きい「イタズラ」を仕込んだ可能性も考えられます。

掲示板の犯行声明は「鯖移転で脆弱性突けたからアクティブユーザの情報抜いてきた 」とのことなので、特に侵入経路について明言はしていないので依然不明です。ここから推察するに、「アクティブユーザ」以外の被害がないことから移転後のログインの有無が重要なのではないでしょうか。

まずは視点を変えて、新規ユーザに怪しい文字列を投稿している人物がいないかも確認してみてください。MisskeyはJS依存なので、投稿した上でタイムラインに表示されないようにコードを書くことも可能です。

鯖缶部屋の面々もそうですが(ここは見ていないでしょうが)、排他的な思考と思い込みは危険です。
0 1 1
CuteBarn @CuteBarn · 約6時間前
@PYU224
ログの保全はしてあります?

トラバーサルが可能な状況でSSHやFTPのパスワードも読まれていない確証はありますか?
DiscordではGUIから設定していたと仰っていたので、ハッシュ化されたシャドーではなく平文でパスワードが置かれていた可能性も否定できません。
1 0 1
CuteBarn @CuteBarn · 約6時間前
@PYU224
CuteBarn @CuteBarn · 約6時間前

鯖缶コミュでMisskingwayといかすきーの管理人に関係のない奴は出しゃばるなと言われた上に名前聞かれてBANされた捨垢でもない人です。

Discordの投稿が消されているので思い出しつつこっちに再掲します。

ぬくすきの情報漏洩なんですが、手元で試しても再現性がない上にDBにあるパスワードはハッシュ化されていて現実的には掠取できません。
アクティブユーザーのみの流出であることを考えるとXSSかウェブスニファが一番あり得そうな線なんですがどうなんでしょう。
1 0 0
CuteBarn @CuteBarn · 約6時間前
鯖缶コミュでMisskingwayといかすきーの管理人に関係のない奴は出しゃばるなと言われた上に名前聞かれてBANされた捨垢でもない人です。

Discordの投稿が消されているので思い出しつつこっちに再掲します。

ぬくすきの情報漏洩なんですが、手元で試しても再現性がない上にDBにあるパスワードはハッシュ化されていて現実的には掠取できません。
アクティブユーザーのみの流出であることを考えるとXSSかウェブスニファが一番あり得そうな線なんですがどうなんでしょう。
1 1 0
CuteBarn @CuteBarn · 約6時間前
あっここかぁ!
1 0 0