- 1 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/07/16(月) 04:51:07 0]
- 会員数52万人を突破した初期費用3,150円
ナウでヤングなレンタルサーバー【ロリポップ】について語るスレです。
鯖落ち・鯖重の報告や(鯖番号は記入してください)、不満の吐き出しもどうぞ。
荒らし・煽りはスルーし、sage進行で。
(※sage進行とは、E-mail欄に半角でsageと入れてスレをあげないことです)
■ロリポップ
lolipop.jp/
■ボランティア
ナウでヤングなサポートページLOLIPOKING!
lolipoking.lolipop.jp/
■前スレ
【Yahoo!】ロリポップ (lolipop)36【八分】予想外
pc11.2ch.net/test/read.cgi/hosting/1161796641/
関連スレ・過去ログ・鯖チェックは >>2-10 付近を参照。
- 665 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/05(火) 12:33:28 0]
- 結局担当者出張中のままなんだな。
改ざんされてニュースにならないと対応しないだろうな。こわ。
- 666 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/05(火) 18:21:07 0]
- >>665
それが家入&ロリポ品質だ罠。
- 667 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/05(火) 18:41:12 0]
- 社員己
- 668 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/05(火) 20:06:06 0]
- 社長はセルリアンタワーの下のセブンイレブン隣のカフェでいつもタバコすって、
やる気がありません。。。
- 669 名前:名無しさん@お腹いっぱい。 [2008/08/05(火) 23:33:07 0]
- >社員さんへ
社長は詠めとの関係はどうなの?
mixi.jp/show_friend.pl?id=114974
- 670 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/06(水) 08:11:59 0]
- 社長の年収は750万円です
- 671 名前:357 [2008/08/06(水) 12:04:24 O]
- HOMEのパミッションだけが原因じゃない
んだけど言えない
../$HOMEはlsしても何も見えないので問題ないです
- 672 名前:名無しさん@お腹いっぱい。 [2008/08/06(水) 12:28:23 0]
- そもそも、shell アクセスが出来ない、ああ、FTPだと出来るか。
でも、さくらのFreeBSDでしょ実態は。
- 673 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/06(水) 13:11:13 O]
- 使ってるやつが700とか600にしないのが悪いのであって鯖の問題じゃないだろ…JK…
- 674 名前:357 [2008/08/06(水) 13:37:59 O]
- >>673
いや、AAACAFEとかでは通用しないし自宅鯖でも普通に弊害なく解決できてるので
普通にロリポの設計ミス
- 675 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/06(水) 13:41:12 0]
- >>357が必死すぎて痛い件
- 676 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/06(水) 13:49:09 0]
- なんかどうでもいい話で熱いねw
>>674
AAACAFEをつかえばいいじゃん。
あなたにはロリポは向いてないよ。
- 677 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/06(水) 13:56:15 0]
- 天才スーパーハカー後輪
- 678 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/06(水) 14:33:59 0]
- かと言って、内容的にはそんなに叩くことじゃないと思われ。
- 679 名前:名無しさん@お腹いっぱい。 [2008/08/06(水) 14:56:21 0]
- >>670
おそらく、嫁の方か、中の社員さんか、本人かな。
情報乙。
>>676
こんな安サーバになに言っても無駄だよ。
FreeBSDの仕様から制限をかけているけど、
制限があるから共有鯖として成り立っているわけで。
パーミッションすき放題やるなら、データセンターに鯖設置して、
自分の好きなOS入れてすき放題やるしかないよね。
- 680 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/06(水) 15:32:21 0]
- >>671
当然だけどこんなとこで言わなくていいよw 通報するならロリポへ。
漏れはココでむしろ穴にしない指摘をしている。
CGI 関連ファイルはマニュアル通りで問題はない。PHP はうふふ。
揚げ足取るわけじゃないが、ls ../$HOME は ls $HOME/../ の間違い?
前者だったらエラーだから見えなくて正解なんだけど。
>>672
CGI 経由のシェルライクなものを作れば擬似環境が・・・
>>679
給料ネタにマジレスw
- 681 名前:357 [2008/08/06(水) 17:30:07 O]
- いやもう数ヶ月前にお問い合わせのセキュリティーから報告してます
返信あったけど未だに解決ならず
原因と解決案も一緒に送ったんですがね…
$HOME/../
の間違いです。すんません
- 682 名前:357 [2008/08/06(水) 19:10:13 O]
- 社員さんが必死に火消ししたい気持ちもわかりますが、個人情報漏洩と同じレベルだとの認識もお願いします
中身の閲覧はしていませんが、一覧にはユーザーコンテンツには例えば(ニュアンスだけで実際は全く違うもの)
ユーザー/public/shop/cgi/dat/user/1/
って言うようなディレクトリの中に
email.cgiだとかaddress.cgiだとかphone.cgiだとかある
パミッションもブラウザからは500な値だけども読める値。
実際中身は見てないので値は違うかもしないけど
それを直さず放置されてるんだから必死にもなるわ
- 683 名前:名無しさん@お腹いっぱい。 [2008/08/06(水) 19:36:38 0]
- >>682
まあ、高校中退の社長だもの。そんなもんだよ。
(やることが中途半端)
- 684 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/06(水) 19:42:47 0]
- >>682
あ、あの? suEXEC ってどういうものか理解してますか?
CGI スクリプトのファイルを 700 にしてたら読めないんですが・・・
755 とか 777 にしてる馬鹿ユーザは論外。ロリポの初期設定に
若干の緩さがあるのは否めないが、マニュアルにまで書いて
700 や 600 という逃げ道を提供してるんだぞ? 必死になるほどに
酷い(致命的な)問題だとは思ってない。
漏れだったら、ls されたくないディレクトリは 751 にするし、
CGI スクリプトは 700、データは 600 にする。これで読み出せる?
- 685 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/06(水) 20:11:07 0]
- というかageてるのには意味があるのかね
- 686 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/06(水) 20:20:11 0]
- >>682
ずっとロリポップを使い続けなければいけない決まりはないんだから、
そんなにいやならロリポップじゃないところに移ればいいだけじゃん。
- 687 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/06(水) 21:24:06 0]
- きっと>>357はUNIX覚えて得意になってる中二病
>>354
>たとえば守られていたものだと
>#ls -l /usr/bin/reboot
>lrwxrwxrwx 1 root root 13 Sep 6 2004 /usr/bin/reboot
>とか。実行権限が777だと簡単に再起動されちゃう。700で良いんじゃないのと思ったりするんだけどなぁ。
>システムで必要ならsudoで動くようにしておけば良いわけだし。
これには恐れ入ったw rebootでもshutdownでもhaltでもいいから
実行してみろよw ユーザ権限じゃ何も起きないって俺が保証するwww
- 688 名前:名無しさん@お腹いっぱい。 [2008/08/06(水) 21:36:47 0]
- しかもシンボリックリンクじゃねーか…
- 689 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/06(水) 22:34:36 O]
- 社員さん
確かにその点は間違いでした
その突っ込み以外で宜しくお願いします
- 690 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/06(水) 23:04:33 0]
- ダメポップ
- 691 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/06(水) 23:18:06 0]
- >>647 >>661 >>662 >>678 >>680 >>684 だけど社員じゃないぞ。
漏れが論点にしてるのは、suEXEC 環境であればユーザ各自の権限で
CGI が実行されるから、所有者に対してだけ読み取り可能な
permission に設定しておけばファイルの内容を見られることはないって、
そこだけなんだけどね。
600 という逃げ道があって、なおかつマニュアルがあるから絶対的に
ロリポが悪いとは言えないと思ってる。共有サーバで自分のデータを
自己責任で守るのは(守れる環境であれば)当然と思う。
ロリポの落ち度としては、$HOME が 705 になってないってことと、
600 やら 604 やら推奨するぐらいだったら最初から ProFTPD の設定で
Umask 0072 にでもしとけ、ゴルァということかな。
上記について、どういう風に思ってるのか聞きたい。
- 692 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 02:34:50 0]
- >>689
じゃあ、FreeBSDの本一冊よみながら、やればっていうはなしだけど。
687のいう通り、なにもおこらなかった。
俺外部の人間だけど、登録して色々実験してみたけど、
root権限じゃないと動かないのもある。
これはポリシー設定の部分だから難しい。
だけど、共有サーバで無茶をしようとする事に、意義があるのだろうか。
だったら、他社のVPSとか借りた方が、いいよ。
それだけ、能力があるのなら。
なら、Lolipopが借りているのと同じ、さくらの専用サーバを借りて色々とやった方が、まだいいのかもしれないね。
- 693 名前:357 mailto:sage [2008/08/07(木) 04:21:00 O]
- いやだから俺は大事な事には使ってない
問題なのはこれを知らずに使ってる個人情報取り扱ったりしてる人達なんだって
ディレクトリやファイル名からの推測だが何かの学校の成績一覧もあるんよ
こんなのが筒抜けになってたら普通気にならないか?見えてしまってる事によ?
ユーザーが700にすれば云々も理系には分かるが文系には難しいだろうし
シンボリックリンクの件で叩き落とそうとされてるが正直それこそどうでもいい訳で
パーミッション云々とか言ってると一生解決しない
中身が中身的に言いたくても言えない事ばかりで誤解されるのも解るけど
「お前はロリポ使わなくて良い」とか言ってる場合じゃないんだってよ、そもそもサーバーは何台か自前もあるわけで。
バックアップ取って無い件は腹立てる人多いのに何故にパスワード見れたりディレクトリ筒抜けな件を軽視するのか不思議だ。
バックアップは自力で出来てもシステム上の設計ミスは全ユーザーが自力で解決するのは難しい
ロリポに事実関係問い合わせて解決させるのが必要ではないのか?
- 694 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 06:52:16 0]
- >>693
>ディレクトリやファイル名からの推測だが何かの学校の成績一覧もあるんよ
まじでか…
どこの頭の悪い教師が使ってるのか流出ものなのかわからんけどスゴイな。
- 695 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 07:43:29 0]
- >>693 お前アスペルガーか?w
- 696 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 08:04:39 0]
- 通販サイト「ナチュラム」で約65万件の個人情報流出の可能性
headlines.yahoo.co.jp/hl?a=20080806-00000011-imp-sci
- 697 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 08:22:24 0]
- >>693 >>>357
>>691でございますが、おはようw
んー、どうも話が噛み合わない人だなぁ・・・。それは漏れに対するレス?
キミの主張は大体分かったんだけど、穴ばっかり晒してないで、
じゃあその解決方法とやらを、差し支えないレベルで教えてちょうだい。
他社の鯖で同居人のディレクトリに入れないのは、
・各ユーザが同一グループに所属し、$HOME が 705 になってること。
・気の利いた鯖なら FTP でログインしたときに $HOME が / に chroot(2) される。
# chroot(2) は必須条件ではない。$HOME 705 であれば入れないので。
という設定がされているからというだけだよ。これが解決法であるのに、
permission では一生解決しないというのは理解不能。
もしロリポ鯖は何らかの理由でロ $HOME 705 にしたら動作上の問題があるなら、
それは大いにロリポを叩いて良い1つのネタだとは思う。でもそこは知らん。
それから、大事なデータを鯖内に転がしちゃうのはユーザの問題であって、
これについてロリポは責任ないだろ。過去の事例として他社でも似たような
流出は数件あったような気がする。
- 698 名前:名無しさん@お腹いっぱい。 [2008/08/07(木) 09:19:20 0]
-
300Bって一度に何人くらいアクセスしても大丈夫【重くならない】なの?
あくまで目安でいいので知ってる人いたらお願い!!
- 699 名前:357 mailto:sage [2008/08/07(木) 12:37:52 O]
- 私が本件で取り上げたい根本的問題はシステム設計の見直しが必要で、ユーザーが対策できる範囲を越えています
パーミッション云々ってのは、2ちゃんねる上でパーミッションを700にと呼びかけてた所で50万ユーザー全員伝わる訳がない
だから解決には繋がらないって事で言ってました
パーミッション云々言う前にロリポに解決するように要望して欲しいって事です
根本的問題ですが、残念ながら言えません。これ言うとある程度知ってる人なら再現できちゃう根本的な事なんで
これが言えないのが誤解産んでて辛いんですがね…
- 700 名前:357 mailto:sage [2008/08/07(木) 12:44:04 O]
- >>691
これも全くその通りですね
ただこれも根本的な事ではないのです
誘導尋問的に根本的な事に導かれるのもあれなんで根本的については今後ノーコメントでいきますね
- 701 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 13:19:43 0]
- >>699
>私が本件で取り上げたい根本的問題はシステム設計の見直しが必要で、ユーザーが対策できる範囲を越えています
あのさ、ここはロリポップの公式な掲示板でもなんでもないわけ。
ユーザーが対策できないと思っているのなら、ここで書いても誰も対策できないのよ。
いまキミがしていることは、ただ大声で「ここに不具合があります。わかる人には簡単に悪用することができますよ。」
「これは私が見つけましたすごいでしょう?」と宣伝して騒いでるだけにしか俺たちには受け取れないのよ。
あなた以外にいまのところ同じ事で不満や危機感を持ってる人はこのスレには居ないようなのね。
しかも、誰もあなたに助けを求めても居ない様なのよ。
だから、どうしても気に入らないのなら、あなた自身がロリポップをつかってる必要性はないのだから、すぐに利用を停止して
あなたのいうところの自分で運用しているサーバーなり、ほかのところなりに移せばいいだけじゃない?
あなたの主張がロリポップに受け入れられないからといってここで騒がれても、俺たちはどうしようもないし、ただ迷惑なだけなのよ。
- 702 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 13:41:44 O]
- っと社員が申しております
- 703 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 13:52:20 O]
- そりゃ357が居なくなれば解決しなくて良くなるから社員はどっかいけって思うだろうよ
そもそも解決しようとしてるのかわからんがwww
- 704 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 14:17:01 0]
- >>702-703
わざわざ携帯で連投とか必死さがミエミエw
- 705 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 15:22:03 0]
- 約半年間も放置されてるなら特に問題ないってことで
その穴晒してみれば?
- 706 名前:p2141-ipbf2108souka.saitama.ocn.ne.jp [2008/08/07(木) 15:27:46 0]
- >>702-703
何必死になってんの?
>>701が何言ってるか分からないの?
言っとくけど
お前の主張を否定する奴=ロリポの中の犬
って公式は成り立たないからな?
お前の主張を否定する奴=お前の脳内でロリポの犬とレッテル貼られる奴
って公式なら成り立つかも知れないけどなw
- 707 名前:357 mailto:sage [2008/08/07(木) 18:09:20 O]
- ちょい
携帯=私と言うレッテルもやめてくれ
肯定するやつで携帯=私ってのが違う
- 708 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 18:11:23 0]
- なんにせよ、いつまでもここで騒いでてもしょうがない
既にロリポの中の人には接触してるっぽいけどそっちに言った方が意見届くわけだし
- 709 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 18:28:26 0]
- >>357
ここで騒いでも、自分の低脳を曝け出すだけだぞ
おまいの技術が低いのは分かったから、引っ込んでろや
- 710 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 18:29:49 0]
- >>707
そういう書き込みは携帯からじゃなくてPCからしようぜ。
このスレッドの性格からすると携帯でわざわざアクセスする必要があるスレッドではないんだぜ。
ここまでのレスの中では、>>702-703と>>707だけが携帯からの書き込みw
- 711 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 18:31:54 0]
- 357とかいう奴はほとんど携帯から書き込みしかしてないっぽいな。
- 712 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 19:22:11 0]
- ひさびさに来てみたらなんかキチガイがいるなw
- 713 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 19:39:43 0]
- >>701
「セキュリティの問題をここに書くべきではない」というのは理解できない.
サーバのセキュリティはこの板の主要話題の1つだと思う.
実際, XREAの広告ウイルス事件はこの板に情報が集まり整理された. その結果
デジロックが認識できたと見てよいと思う.
Lolipopは昔, セキュリティホールを突かれて大量のサイトが改竄された事件
があった. セキュリティには神経質になっておく方がよいと思う.
ただ, 357の主張が妥当かどうかは別の話.
# 私はここを借りてないので具体的な議論に入れないのが残念だけど.
- 714 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 19:53:26 0]
- >>713
よそ者はお帰りください。
- 715 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 19:56:41 0]
- あの手この手で357とかいう奴が必死な件wwwww
- 716 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/07(木) 20:17:24 0]
- >>700 >>357
>>691だけど、とりあえずレスありがと。
なんかよく分からんが、誘導尋問とかノーコメントとか言い出すなら
最初からここでオナニーネタ展開すんなよw
それから、全ユーザが安全な permission を設定することは実質的に
不可能ってのはその通り。だがキミの話をまとめると、仮にもそれが
可能だった場合には問題は解決すると言ってるよね。
だからこそ漏れは、ロリポが初期設定として 705 をしてくれれば
解決するんじゃないの? と言ってみただけだ。
ま、別にロリポの肩を持つつもりはないし、ユーザのデータがどう
なろうと知ったことではないので別にいいやw
- 717 名前:名無しさん@お腹いっぱい。 [2008/08/07(木) 21:18:40 0]
- >>713
ここでガタガタ騒がずペーパーボーイ・コーに連絡しろよな。
- 718 名前:357 mailto:sage [2008/08/07(木) 21:26:34 O]
- 713ではないけど
半年前から定期的に連絡してますが
「個別ではなくインフォメーションに報告」
するそうです
とりあえず事実は中の人がご存知かと思いますので一旦降ります
中の、いや熱心なロリポファンの方には申し訳ないですが、良ければ解決された時、悪い時(未解決の時)には不定期に現れようと思います
- 719 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 01:27:31 0]
- >>718
仕事でもないのに半年近くも粘着して正直ウザイ。
もう来るな。
- 720 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 01:29:25 0]
- >>718
あー二度と来るなよ、頭でっかちのゆとり夏厨君よ。
ついでに死ね。
- 721 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 01:50:24 0]
- >>718
っていうか、ネタバレしなよ
半年以上放置プレイされて泣き寝入り?
それでもロリポを使い続けてる?のも不可解だし
- 722 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 03:01:36 0]
- >>718
こんな安かろう悪かろうな鯖でガタガタ言うなよ.....
あなたの要求水準だとVPSか専用サーバですよ。。。。
- 723 名前:357 mailto:sage [2008/08/08(金) 03:04:44 O]
- ネタバレの件について
本当か嘘かで迷いがでてる人がいるかもなので
間違いなく事実。ロリポに証拠として提出してるページのスクショ
画像はオンマウスで右上にプレビュー
画像以外はパーミッションを表示
但し画像は著作権が絡むので表示してない
ワードプレスとかいうやつのPHP群でパーミッションは見事に644の閲覧可能
成績一覧も写そうかと思ったがパーミッションが「見てください」と言ってるかのようなものだったので普通に無理
ttp://up1.up48.net/file/up48-000000265-1218195560.png.html
ただ画像はいくらでも編集できるので信憑性はないだろうからこれでも信じない人もいるでしょう
しかし、嘘偽りは100%無い
- 724 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 04:12:39 0]
- 正直すまんかった
- 725 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 07:45:18 0]
- セキュリティホール キタキタキターーーーーーーーーー
WordPressにw
WordPressとかXOOPSとか穴の宝庫だからな
こんなので自慢されてもちょっと萎えるわ
ロリポがスルーしたくなる気持ちも分かってきたよ
- 726 名前:名無しさん@お腹いっぱい。 [2008/08/08(金) 10:35:14 0]
- >>719〜>>722 は頭がロリポの馬鹿社員か。さすがGMOに買収されたチンピラ会社w
- 727 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 11:04:20 0]
- >>726
俺は部外者だけど、
買収というより、GMOが出資してあげたじゃないのか?
まあ、社長が高校中退で嫁とできっちゃった結婚した挙句出来た会社だからな。
>さすがGMOに買収されたチンピラ会社w
つーかこの体質って、社長と嫁とでやってたころから変わらんだろう。
- 728 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 13:04:01 0]
- どんなに努力しても mod_php が共有サーバに向いてないからなぁ。
さくらとかがあえて CGI 版の PHP を提供しているのは訳がある。
- 729 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 13:35:59 0]
- 時間ができたから、鯖のトラブルが起きてないうちにまたフルバックアップしておくか・・・
- 730 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 13:56:42 0]
- 日々是バックアップだな
- 731 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 14:58:09 0]
- だから、VPSか専用サーバなんだよ。。。要求水準は...。
- 732 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 15:01:34 0]
- >>731
普通レンタルサーバーって他人のディレクトリ見えないように努力してるよ
見えてるのは要求水準が高いんじゃなくてセキュリティホール。
- 733 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 15:06:14 0]
- >>725
これってWordPress関係なくないか?
映ってるのがWordPressなだけで実際全部見えてるわけだからその解釈は間違ってると思う
- 734 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 17:06:11 0]
- ロリポップにアップロードしてあるファイル類の属性情報も含めて自分のPCにダウンロードしておいて
また簡単にアップロードすると自動的に各ファイルの属性を以前の状態にもどしてくれるような
バックアップツール(FTPツールでもいいんだけど)って無いですか?
- 735 名前:357 mailto:sage [2008/08/08(金) 17:47:05 O]
- 一旦降りますと言いながら申し訳ないですが、ワードプレスだけの穴と言われてるようなので差し支えのない別のものを
ttp://up1.up48.net/file/up48-000000266-1218248819.png.html
- 736 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 17:58:20 0]
- mod_php が提供されてる環境なんだからこんなもんでしょ。何も不思議じゃない。
suEXEC で動いてれば UID, GID を縛れるけど、mod_php は httpd と同じ UID, GID で
動作するんだから httpd がアクセスできるディレクトリやファイルじゃないといけない。
つまり、同居人が PHP でそういうアプリを作ればそうなる。
だから PHP はうふふ と書いたじゃん。
こう言っちゃ何だが、共有サーバなんて分かる人がその気になればサーバ内を荒らす
ことなんか難しくない。そんな行為に興味がないからやらないだけで。
- 737 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 18:02:35 0]
- あ、ついでに追加しとこ。こうやってディレクトリリストを内部から取られたくない香具師は、
すべてのディレクトリを 751 とか 711 にしとけ。ファイルアクセスはできても、ディレクトリを
readdir(2) で読み出すことはできなくなるから。漏れはそうしてる。
- 738 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 18:08:35 0]
- >>そんな行為に興味がないからやらないだけで。
無料の学生厨房鯖でもここまで見れるの少ないぞ?
- 739 名前:357 mailto:sage [2008/08/08(金) 18:12:09 O]
- 使ってるのはperlで書いてるCGIです
PHPは無関係な訳で。
- 740 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 18:18:36 0]
- 俺多分分かった。357が言いたい根本的ってのは見れることじゃないんだわ。
俺が気付いたのが正しければ確かにパーミッション云々では解決できる話ではないし
736の言うmod_phpも関係ない。
その仕組みを公に出来ないっていうのも分かるが俺もその方法を知りたい。
方法次第にもよるがひょっとしたら357は天才かもしれない。
- 741 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 18:35:57 0]
- ああ、書き方が悪かったかな。確かに現状では Perl に限らず CGI で出来るだろうね。
じゃ、ディレクトリが 705 になったとき、CGI で突破できるかい? これを突破するには
suEXEC を経由しないように(コンパネの穴を突くとか)小細工するか、root 権限を取る
必要がある。
705 になったとき突破するには今度は PHP で行けばイイってこと。
700 は更に安全になるが、ちと別の話になってくるんでとりあえずスルー。
suEXEC を迂回する方法に関してはロリポで試してないので知らん。できるかもしれない。
# 念のため繰り返し書くけど、ロリポの肩を持つ気はないよ。というか過去レスの通り
# 散々けなしてるからw
- 742 名前:357 mailto:sage [2008/08/08(金) 18:36:35 O]
- 天才かは微妙ですがmodPHPとかはその通りです。
スルーしてましたがsuEXECとかmodPHPとか使ってても使ってなくてもどうでもよくて完全に的外れなんです。
他の無料鯖では問題なかったんですがね
僕の知識で発見したので、見つける人が出てくるでしょうから、本当に個人情報取り扱ってるサイトはヤバいんです
因みにゆとり世代ではないです。
- 743 名前:357 mailto:sage [2008/08/08(金) 18:41:55 O]
- >>741
言いたい事は重々分かるのですが
当然705、700も意味わかりますが
それ以前の問題で正直的外れなんです
言いたくてうずうずしますが耐えて中身は言えません
- 744 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 18:50:23 0]
- なるほど。じゃあ、共有サーバだからここがこうで・・・みたいリスクを先入観で考えてるところに
逆に落とし穴があるのかな。大した用途で使ってないから調べてもなかったけど、特大の穴が
あるのかもね。というか、あるようだw
とりあえず穴ありということにして、完全に漏れの負けっぽい。色々といちゃもんつけて申し訳
ございませんでした m(_ _)m
# 週末で時間あるときに調べてみる。
- 745 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 18:54:38 0]
- >>744
740だが俺も調べようとして357の論点と思われる場所はすぐ気付いた。
どうやら彼の的外れという言葉の通り全く関係ないことを討論していた模様。
でもその方法が分からんので解決を願う。
- 746 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 18:59:20 0]
- とりあえず>>744は死刑な 社員乙
- 747 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/08(金) 19:56:34 0]
- >>744で、未調査ながらも妄想してみたけど、ファイルシステムのセキュリティってのは
簡単に突破できるもんじゃないんで、そう考えると問題に近づくことはできるな。
具体的な方法は知らんけど、セキュリティホールのタイプについては想像できた。
大はずれかもしれんけど、とりあえず調査経過も含めてヒントになり得る書き込みは
今後は控えておきまつ。
>>746
||
∧||∧
( / ⌒ヽ
| | |
∪ / ノ
| ||
∪∪
:
-====-
- 748 名前:721 mailto:sage [2008/08/08(金) 20:44:46 0]
- ネタバレ乙w
これでロリポおじさんのケツに聖火は灯るかね
DB鯖のレスポンス悪すぎる
ロリポはCMS導入のヲヌヌメみたいなのやっとるが、まじありえない
SOYCMSでも試してみるかなあ
んんー
WEB鯖のレスポンスは満足なんだがなあ
- 749 名前:名無しさん@お腹いっぱい。 [2008/08/12(火) 15:28:32 0]
- _,,,. ‐─‐-- .,,,,,_
,,,-‐'''";;_;;;-‐──‐‐--ヽ
/;;;;,,-‐''" _,,,,--‐──‐--ヽ、
/;;;;,/ ,,,-‐''";;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;`ヽ、
/;;;;;/ /;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;ヽ
/;;;;;;/ /;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;|ヽ;;;;;;;;;;;;;;;;;l;|
|;;;;;;;;| |;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;/リl;;;| ゙、;;;;;;;;;;;;;;|リ
|;;;;;;;;| |;;;;;;;;;;;;;;;;;;/;;;/l,,ノ;/ |/ lハ;;;;;;;;/
|;;;;;;;;|j;;;;;;;;〃/l∠ニ'" ‐ニ、 l;;/
|;;;;;;;;l;;;;;;;;/'" ,r''{。;;;;;l` , 〈 l。;;;}.〉 |_
|;;;;;;;,-、;;| ヽ`ー''" ゙、 `ー''' | |
゙、;;;|''ヽ l , / |ノ
ヾ、ヽi |
入__ ,、 ,.-、 /゙、
l;;;;;;;;;;ノ \  ̄ /;;;;;;l
ヽ;;;〈 | ゙ヽ、. /ヽ;;;;;;ノ
/;;;;;ヽ | ゙''‐- ,,_ ,.イ /;;;;;;;ヽ
l;;;;;;;;;;| _| _,,,,>、|;;;;;;;;;;;;;|
ヽ;;;;;7/::| __,,,-─'''":::::::::`ヽ、;;;;〈
(;;;;/:::::゙i/:::::::::::::::::::::::::::::::::::::::::"''-,,_
l'"::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::"ニ-,,_
/::::::::::::::::::::::::::::::::::::::::::::::::::::::_,,,-‐'''":::::::::::::::ヽ
/::::|:::::::::::::::::::::::::::::::::::::::::::::::/:::::::::::::::::::::::::::::::::::゙、
- 750 名前:名無しさん@お腹いっぱい。 [2008/08/12(火) 16:18:37 0]
- FTPに繋がらない…
- 751 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/12(火) 17:11:37 0]
- >>750
どの鯖?
- 752 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/12(火) 20:13:36 0]
- PHPでもPerlでも357を再現できない件について
- 753 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/12(火) 20:43:59 0]
- 仕掛け方の問題だな ただそのまんま書いて設置では無理すぐるw
- 754 名前:357 mailto:sage [2008/08/12(火) 21:13:11 O]
- ttp://up1.up48.net/file/up48-000000267-1218606736.png.html
どこの学校かも特定でき、05年から現在進行形で利用されているのが分かりました
該当すると思われる先生に連絡しときます
- 755 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/12(火) 22:04:17 0]
- >>752
これが味噌なんだろな。
普通のやり方じゃできないな。
>>736論はこれで崩れたと。
- 756 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/12(火) 22:37:37 0]
- また夏厨か。
>>357お前のことだよ!
- 757 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 00:03:51 0]
- 社員乙としか言いようが無いな 笑
>>756
さっさ解決しろや無能社員
- 758 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 00:16:31 0]
- 普通に深刻なこの問題を夏厨と言えるお前が夏厨だろw
- 759 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 06:27:09 0]
- 357が何かに必死でロリポが更なる糞っぷりを露呈してる
のは何となく解った
それはそうと、ピントがずれた話かもだけど
公開鯖、特に共有鯖なんかに個人情報とか置いとく>>754
みたいのはロリポ云々以前の話じゃまいか
このご時世にセキュリティ意識低すぎ
こんなんが教師とかやってられねぇ
- 760 名前:357 mailto:sage [2008/08/13(水) 15:21:49 O]
- いろいろ見えすぎてるんで確かに必死になりますね…
>>756
漏洩物を見つけて報告したら夏厨ですか。そうですか。だとしたら1月から夏厨です。
(携帯電話からの書き込みについて
ISPがしょっちゅう2chで規制されてるもんで、常日頃携帯から書き込んでます)
- 761 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 18:22:13 0]
- とりあえず、興味本位の人を増やして傷口をどんどん大きくしてないかい?
ロリポップがとりあってくれない腹いせなのか、なんなのかよくわからないけど、
もうすこし根気よく冷静に、ちゃんとした手順とちゃんとした文面でロリポップに
何度でも掛け合ってみてはどう?
なんかあわよくば他のだれかが気づいてやらかせばロリポップだって
動かざるを得ないだろうというようにもくろんでるふうにも見えるよ?
- 762 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 19:00:51 0]
- >>760
ユーザー自身では塞ぐことができないらしい問題(と自身で書いてる)をなぜここで書いてるのか真意が知りたい。
具体的な手法は書いていないようだけど、結局ここに書いても根本的な解決には至らないと思うんだが。
- 763 名前:357 mailto:sage [2008/08/13(水) 19:18:55 O]
- 確かに発見直後にこういう事実を公にしたのであれば傷口を広げてるだけです。
しかし、実は最初のロリポへ報告したのは1月ですが、全く解決しようとする経過が見られず半年が優に過ぎてしまいました。
私がここに書いている目的は、ここを見ている社員が自覚すること、また事実を知ったユーザーが問い合わせる事により、問い合わせが増えた結果、ロリポがなんとか行動を起こしてくれないかと考えています。
正直ロリポがここまで黙秘するのは予想外でした。真剣にロリポの技術不足なのかもしれないです。
- 764 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 20:20:37 0]
- ロリポ「仕様です」
- 765 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/13(水) 20:57:00 0]
- >>763
こことかにいえば?
www.ipa.go.jp/security/vuln/report/index.html
|
 |
