PYU224 (@PYU224)

情報漏洩の発端はお知らせにも書きましたが、ブログとMisskeyと分けてる鯖を高性能なもので統合したら鯖代が年に2万円浮くし負荷を分散できるぞと思った事でした
42000円→22000円に鯖代が抑えられるのは大きいと感じたからです。

0 0 0

@yp3klknl への返信

VPSのコンパネにあったDockerだからかなり古いタイプだったようでした。
このプロキシは無印のnginxと異なり、しかも前々から不具合が多く更新頻度が低いそうです。
GUIで設定できるからときちんと調べずに使ったのが間違いでした。

0 0 0

nginxに代わる良いツールがあるとDockerでインストールしたnginx proxyは2.11.3で最新版だと確認しなかったのが致命的なミスの1つですね・・・
https://nvd.nist.gov/vuln/detail/CVE-2024-46256

NVD - CVE-2024-46256

nvd.nist.gov

0 0 0

PYU224 @PYU224 · 2日前

あとは私がNPMの設定を間違えた可能性が高いです。
misskeyの問題なら普通にnginxを導入している他のサーバーはとっくに被害を受けているはずだからです。

PYU224 @PYU224 · 2日前

ぬくもりすきーでのユーザーの書き込みを確認できる範囲で確認しましたが不審な書き込みはなく、またAIの手を借りつつログを見ましたがSSHへの侵入はありませんでした。
そこから原因としてブログとWebサービスおよびMisskeyを鯖内に共存させる為にnginx proxy managerをDockerでnginxの代わりに導入して脆弱性を突かれたからだと考えています。
調べてみるとバージョンが古いもの（2.11.3）だったので可能性としてはこれが一番高いと思います。
https://nginxproxymanager.com/

0 0 0

PYU224 @PYU224 · 2日前

ぬくもりすきーでのユーザーの書き込みを確認できる範囲で確認しましたが不審な書き込みはなく、またAIの手を借りつつログを見ましたがSSHへの侵入はありませんでした。
そこから原因としてブログとWebサービスおよびMisskeyを鯖内に共存させる為にnginx proxy managerをDockerでnginxの代わりに導入して脆弱性を突かれたからだと考えています。
調べてみるとバージョンが古いもの（2.11.3）だったので可能性としてはこれが一番高いと思います。
https://nginxproxymanager.com/

Nginx Proxy Manager

Docker container and built in Web Application for managing Nginx proxy hosts with a simple, powerful interface, providing free SSL support via Let's Encrypt

nginxproxymanager.com

CuteBarn @CuteBarn · 3日前

追記ですが、オープンポートからでもDBには接続できませんでした。確かにdefault.ymlには触れましたが。

0 2 0

PYU224 @PYU224 · 3日前

@PYU224 への返信

犯行声明によるとサーバーのIP:3000からdefaultファイルに入ったと言っていたようです。
そこが問題だと睨んでいます。

0 0 2

PYU224 @PYU224 · 3日前

@CuteBarn への返信

ファイアウォールのログやSQLの設定ファイルはローカルで保全しております。
その辺りかどうかは知識がなく断言はできませんが、GUIについてはnginx proxy managerからGUIで設定していたのと、ymlファイルのパーミッションをデフォルトのままにしていたので、そこにあった平文のパスワードを読まれたからだと考えています。
SSHとFTPはfail2banを導入していますし、もし仰る通りSSHが抜かれていたら同居させているブログや他のWebサービスも被害に遭っているでしょうからそこは考えにくいです

0 0 1

PYU224 @PYU224 · 3日前

Webスニファとはこれか。
こんな方法もあるとは。
https://wa3.i-3-i.info/word12625.html

0 0 0

PYU224 @PYU224 · 3日前

Postgresのデフォルト設定が問題だと思っていましたが、根本的な問題として侵入された際にファイアウォールが有効になっていなかった可能性が出てきました。

0 0 0

PYU224 @PYU224 · 3日前

思い返してみれば実際は複数の方々から同じようなご指摘を頂いていたのに気づきましたが、私はそれに耳を傾けたつもりでも実際は受け止めていませんでした。

PYU224 @PYU224 · 3日前

Misskeyサーバー「ぬくもりすきー」での情報漏洩について
https://33-4.me/blog/archives/742

技術の問題は勉強したり人から教わったりしたらついてきますが、それを扱う側（私）の想像力や誠実さのなさといった人間性の問題の方が非常に大きいです。
言われてみてやっと気づきました。

0 0 0

PYU224 @PYU224 · 3日前

Misskeyサーバー「ぬくもりすきー」での情報漏洩について
https://33-4.me/blog/archives/742

技術の問題は勉強したり人から教わったりしたらついてきますが、それを扱う側（私）の想像力や誠実さのなさといった人間性の問題の方が非常に大きいです。
言われてみてやっと気づきました。

Misskeyサーバー「ぬくもりすきー」での情報漏洩について

【利用者の皆様へのお願い】この事態を受けて、以下の対応を強くお願いいたします：パスワードの変更二段階認証の有効化他サービスで同じパスワードを使用している場合は、そちらも変更ご不明な点やご心配な点がございましたら、この記事のコメント欄やX・...

33-4（Twenty-Nine）運用ブログ

0 1 0