戻る
会話のスレッド
CuteBarn @CuteBarn · 約6時間前
@PYU224
ログの保全はしてあります?

トラバーサルが可能な状況でSSHやFTPのパスワードも読まれていない確証はありますか?
DiscordではGUIから設定していたと仰っていたので、ハッシュ化されたシャドーではなく平文でパスワードが置かれていた可能性も否定できません。
1 0 1
PYU224 @PYU224 · 約5時間前
@CuteBarn への返信
ファイアウォールのログやSQLの設定ファイルはローカルで保全しております。
その辺りかどうかは知識がなく断言はできませんが、GUIについてはnginx proxy managerからGUIで設定していたのと、ymlファイルのパーミッションをデフォルトのままにしていたので、そこにあった平文のパスワードを読まれたからだと考えています。
SSHとFTPはfail2banを導入していますし、もし仰る通りSSHが抜かれていたら同居させているブログや他のWebサービスも被害に遭っているでしょうからそこは考えにくいです
0 0 1
PYU224 @PYU224 · 約5時間前
@PYU224 への返信
犯行声明によるとサーバーのIP:3000からdefaultファイルに入ったと言っていたようです。
そこが問題だと睨んでいます。
0 0 2
返信
CuteBarn @CuteBarn · 約5時間前
@PYU224 への返信
Discordの鯖缶部屋からBANされて私のメッセージはmilk100%/PYU224さんがご覧になっていないと思われますので再度お伝えします。

「ymlとDBが同時に読まれてもパスワードは漏洩しません。」

これは実装上の話でもあり、私がmilkさんと同様の設定をした脆弱なテストサーバーで試した結果でもあります。

またログが書き換えられている可能性は考慮しましたか?現場にあるログは保全されていません。

その上、動機から侵入経路の特定はできません。
場合によっては単に迷惑をかけたいだけ(教徒の場合は大抵がそうですよね?)で、すぐに修復できるページ改ざんよりも被害の大きい「イタズラ」を仕込んだ可能性も考えられます。

掲示板の犯行声明は「鯖移転で脆弱性突けたからアクティブユーザの情報抜いてきた 」とのことなので、特に侵入経路について明言はしていないので依然不明です。ここから推察するに、「アクティブユーザ」以外の被害がないことから移転後のログインの有無が重要なのではないでしょうか。

まずは視点を変えて、新規ユーザに怪しい文字列を投稿している人物がいないかも確認してみてください。MisskeyはJS依存なので、投稿した上でタイムラインに表示されないようにコードを書くことも可能です。

鯖缶部屋の面々もそうですが(ここは見ていないでしょうが)、排他的な思考と思い込みは危険です。
0 1 1
CuteBarn @CuteBarn · 約5時間前
@CuteBarn への返信
漏洩したパスワードを見る限り、レインボーテーブルには一部を除いて載っていなさそうですし、逆にブルートフォースであの量を特定した可能性も考えられますが、8ラウンドのbcryptを個人的な計算資源でクラックするのは相当な豪運の持ち主でしょう。

データベースの線は後から変更したミスリードないしは単なる勘違いの可能性も十二分にあります。
0 0 0
CuteBarn @CuteBarn · 約5時間前
@PYU224 への返信
他の声明を見逃しているかもしれません。私が観測した限りではDBについての言及はしていませんでした。
0 0 0