- 1 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/11/24(土) 02:08:19 0]
- 国内最安帯域のらさくらインターネットの専用サーバについて。
前スレはココ
Part1 pc.2ch.net/test/read.cgi/perl/993924131/
Part2 pc2.2ch.net/test/read.cgi/hosting/1043710503/
Part3 pc5.2ch.net/test/read.cgi/hosting/1065230715/
Part4 pc5.2ch.net/test/read.cgi/hosting/1095090626/
Part5 pc8.2ch.net/test/read.cgi/hosting/1106869577/
Part6 pc8.2ch.net/test/read.cgi/hosting/1122198806/
Part7 pc8.2ch.net/test/read.cgi/hosting/1142336228/
Part8 pc11.2ch.net/test/read.cgi/hosting/1167390956/
○さくらインターネット
www.sakura.ad.jp/
○個人向け専用サーバ解説
www.sakura.ne.jp/ss/
○法人向け専用サーバ解説
www.sakura.ad.jp/services/dedicated/
○バックボーン
www.sakura.ad.jp/about_sakura/backbone/
○トラフィック
www.sakura.ad.jp/services/dedicated/dedicated/traffic.html
- 874 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 01:02:44 0]
- >>873
良く分からんな表現だな?
arpを偽装してパケットを盗んだヤシがいるって事け?
つかそれなら同じネットワーク内に犯人がいる訳で
追跡は可能だべさ
- 875 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 01:09:41 0]
- aquadrops * - さくらインターネットは基幹ルーターの管理画面も公開する会社なんですね。
ttp://aquadrops.jp/archives/362
ひでぇw
- 876 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 01:09:59 0]
- >>874
219.94.145.100が犯人だよ
- 877 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 01:30:17 0]
- これだから固定ipも使わない初心者にrootなんかさわらせるなつーのw
- 878 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 02:07:11 0]
- これと同じ手口か
ARPスプーフィング:読者のWebホスティング・サービスは守られているか
itpro.nikkeibp.co.jp/article/COLUMN/20071019/284979/
- 879 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 02:22:43 0]
- セキュリティホールmemoメーリングリストのアーカイブみたのだけど
さくらには、該当ネットワーク内のサーバーからのHTTP出力の1行目がウイルスコードに書き換えられること、
macアドレスが書き換えられることでルーティングがおかしくなっていること、
予測される該当サーバーの範囲と問題があると思われるサーバー、
を17時台には報告たのだけど1時の時点でHTML差込も知らないことになってるのか
- 880 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 02:30:48 0]
- ゆずソフトスレとかけもちしてる奴がいるなw
- 881 名前:名無しさん@お腹いっぱい。 [2008/06/03(火) 02:30:59 0]
- お前の話などだれも聞いてないんだよ
- 882 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 02:39:21 0]
- >>881
でも告知のあとに引き続き調査しますって返事きたよ…
- 883 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 02:42:57 0]
- つくづく思うなあ
安い専サバとの同居はロクなことはない
- 884 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 03:02:11 0]
- ちょw
ν速にスレが立ったときにここに書き込もうと思いつつ、
酒飲んでたら忘れてたよ
こんな大事になってるとはw
- 885 名前:名無しさん@お腹いっぱい。 [2008/06/03(火) 06:30:17 0]
- arp spoofing ですか。
これって、さくらに責任があるの?
- 886 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 09:20:12 0]
- アップデートかけない鯖は追い出せよ
- 887 名前:名無しさん@お腹いっぱい。 [2008/06/03(火) 10:08:28 0]
- >>886
犯人が契約者、契約者が攻撃者だったらどうしようもないわけだが。
- 888 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 11:18:41 0]
- それただの犯罪w
身元ばればれw
- 889 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 11:59:24 0]
- うん、さすがに契約者はやらんだろう。
ぬるい鯖が犯人に踏み台にされたって事じゃね。
- 890 名前:名無しさん@お腹いっぱい。 [2008/06/03(火) 13:10:30 0]
- どかーん!
(⌒⌒⌒)
||
/ ̄ ̄ ̄ ̄ ̄\
| ・ U |
| |ι |つ
U||  ̄ ̄ ||
 ̄  ̄
- 891 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 13:48:30 0]
- マルチユーザなんだから主契約者がどうってのは大した意味が無いんだよ
- 892 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 15:19:41 0]
- >>888
こういう犯罪者たちは、カード番号も盗んだもので登録してくるぞ。
iframe埋め込んでトロイを埋め込んで、また新しいカード番号を盗む
この繰り返し。
- 893 名前:名無しさん@お腹いっぱい。 [2008/06/03(火) 15:26:11 0]
- もっとこう詳細ないわけ?
これって大問題なんじゃないの?
- 894 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 15:46:25 0]
- ARP Spoofingって初めて知った。これ、超ヤバいじゃん。
さくらなんか格好の餌食。
/var/log/messagesを常時監視してゲートウェイのMACアドレスが変わったら
httpdのデーモンを停止するっていうのがいいのかしら。
- 895 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 16:00:18 0]
- スタンダードじゃなくてプレミアム回線を使えばお
- 896 名前:名無しさん@お腹いっぱい。 [2008/06/03(火) 16:20:10 0]
- support.sakura.ad.jp/page/news/20080602-001.news
support.sakura.ad.jp/page/news/20080602-002.news
↑の2つが真っ白なんだけど、またなんかあったの?
- 897 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 16:21:49 0]
- 安鯖つかうからこうなる
ファーストサーバーが最高ww
- 898 名前:名無しさん@お腹いっぱい。 [2008/06/03(火) 16:35:24 0]
- 情報が少なすぎる
何が起こってるんだよ・・・
- 899 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 17:34:00 0]
- >>896
さっきまで>>871と同じ内容だったのに
今は「表示できるお知らせはありません」しか書いてない。
今度は公式サイトが乗っ取られた?
- 900 名前:名無しさん@お腹いっぱい。 [2008/06/03(火) 17:39:48 0]
- 他人とおなじLANに同居する格安サービス使う奴が悪い
安いんだから、おなじLAN内に同居する他社サーバがやられるくらいのリスクは
サービス利用者が負ってあたりまえ
文句あるなら、他人のサーバと同居しないサービス使えよ
- 901 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 17:45:17 0]
- >>900
ルーターを一切置かないサービスってこと?
- 902 名前:名無しさん@お腹いっぱい。 [2008/06/03(火) 17:57:10 0]
- >>900
どう考えても当たり前じゃねーだろ
- 903 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 17:57:28 0]
- たとえばグローバルIPをもったサービスなら、
L3SWとかで細かくサブネットを切れば、他者と同居しなくてもいい
- 904 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 18:02:21 0]
- >>899
現時点では>>871と同じのが書いてある。
- 905 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 18:05:31 0]
- >>899
今は元に戻ってる。内容も同じ。
なんか乗っ取られた>>869と同じ挙動な気が・・・
大丈夫か?
- 906 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 18:15:42 0]
- ハードウェアでルーティング切っている装置(L3SW)を使って
サブネット細かく切れば、ARP Spoofingはやられないって認識でOK?
- 907 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 19:23:04 0]
- なわけねぇだろ
- 908 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 20:07:48 0]
- >>905
今見たら追記されてるが、これはないだろ
[6月3日追記]
同一ネットワーク内に収容された一部サーバにおいてネットワーク設定
の誤りにより、本障害が引き起こされました。
該当のサーバを隔離することにより、障害は解消しております。
- 909 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 20:17:55 0]
- 動的IPつかいが隔離されたな
- 910 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 20:19:33 0]
- 引っ越すわ
- 911 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 20:20:39 0]
- >>908
該当のサーバを隔離だけ?
他のサーバがARP Spoofingを突いてきたらアウトじゃね?
- 912 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 20:23:19 0]
- >>911
それ以前に、ネットワーク設定の「誤り」とかぬかしている時点でもうね……
- 913 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 20:28:22 0]
- >>908
「障害は解消してる」けど、根本的な解決は先送り?
- 914 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 20:31:19 0]
- トロイ仕込まれたこと公表しなくていいのかね
巻き添え食らった契約者が個別にアナウンスしろってことか?
- 915 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 20:32:17 0]
- >>908
素直に
「問題のサーバを隔離して、ルータを再起動しておいた。
原因?知らね。他のルータの確認?忙しいから無理。」
って言った方が好感持てる・・・わけねーよw
- 916 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 20:33:14 0]
- >>908
ウイルスばら撒いてたことは完全にスルーだな。
ありえねー
- 917 名前:名無しさん@お腹いっぱい。 [2008/06/03(火) 20:41:45 0]
- これはちょっとないわ・・・ありえない
さくらも結局こういう会社なんだな
- 918 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 20:42:25 0]
- arp spoofing に対する明確な対策は無いよ。
ただ、MACアドレスを偽装してarpを出すので、その特別なプログラムの
実行と、偽装されたIPアドレスで犯人が分かる、ログも残るので追跡可能。
もちろん犯人はバレるの前提なので、すぐトンズラするだろうし、自分の
鯖ではやらないわな。
で、arp spoofing に対する堅牢性とか無理だから、そんな事をさせない
ように日々のハッキング対策ってのがある訳だ。
これは同じスィッチに収容されてる奴らが皆で足並み揃えてやってる事が
前提なのだが、現実はそうもいかんよとね。
- 919 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 20:46:17 0]
- >>918
arpスプーフィングは系路上にあるルーターなら簡単に検知できるらしいけど
さくらのルーターが安物だったってこと?
- 920 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 21:08:02 0]
- >>901-902
常識だろ
usenだってIPレンジ貸しをしてるよ
っつーか、あそこの営業うぜええええ!!!
- 921 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 22:18:38 0]
- ttp://support.sakura.ad.jp/page/news/20080602-001.news
[6月3日追記2]
弊社技術者により該当のサーバを調査しましたところ、上記サーバにて
クラッキングされていたことが判明いたしました。そのため、影響範囲
のお客様サーバへ WEBによるアクセスを行った場合、改竄されたウェブ
ページが表示される事象がございました。状況によっては、ウイルス等
による被害をうけられる可能性がございました。
影響を受けられたお客様へは、別途状況の連絡をさせていただきます
- 922 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 22:35:33 0]
- こういうのはインプレスとかにリークしてやるのがいいじゃね?
- 923 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 22:40:34 0]
- >>922
メディアにリークしても、さくらに問題がないということが補強されるだけで、無意味。
もっと、ほら、サポートにでも連絡するほうがよいと思うよ。
- 924 名前:sage [2008/06/03(火) 22:57:36 0]
- >>872 さん
ftp は開いておりません。
sshを作業環境からのアクセスのみTCPwrapperで制限してます。
>>873 さん
ありがとうございます。
15万PVぐらい毎日あるので、困ったなぁという感じです。
この件で問い合わせも来てますし、責任範囲が明確になった所で、
訪問者への対応をします。
ひとまず、さくらからの連絡を待ちます。
- 925 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/03(火) 23:32:09 0]
- >>924
訪問者には早く知らせるべきだろ
- 926 名前:918 mailto:sage [2008/06/04(水) 00:06:24 0]
- >>919
おっとすまねぇ、偽装するのはMACアドレスじゃなくてIPアドレスだった。
勿論、arp spoofing をしているホストのゲートウェイとなっているルータ
は、異常を検地出来るし、実際していると思うな。
自分のarpテーブルに自分自身として静的な登録のIPアドレスの情報が
別のMACアドレスでarp要求を出しているってのはIPアドレスの重複設定
だと認識する訳で、Windows ですら重複IPあるよバーカバーカって警告
するだろ?
arp仕様上の問題発生なので、どんな安物のルータでも警告は出るよ。
でも、そのルータからの警告ログをどうしているかは、ネットワーク管理
のポリシー次第って事だわね。
- 927 名前:名無しさん@お腹いっぱい。 [2008/06/04(水) 01:27:50 0]
- 今レンタルサーバー探してる皆さーん
マジックボックスはやめといた方がいいですよー
受付時間内でも電話に出ない
メールほったらかし
家族全員一斉に温泉に浸かる
言い訳だけはいっちょまえ
宣伝文句にウソ多数
- 928 名前:名無しさん@お腹いっぱい。 [2008/06/04(水) 01:58:13 0]
- 俺なんかマジックボックスで借りてたころに
鯖がとんで復旧に3日かかったうえに、その間届いてたはずのメールまで
ぶっとんだんだぜw
数年前だけど・・
ちなみに会社はオランダから鯖かりて、再販してるだけだから
会社はなんの技術もノウハウもないよ。
そんなことマジックボックススレにいくらでもでてたんじゃないか?
あぁおれのは全部昔の話だけど・・
- 929 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 03:00:32 0]
- ゆずソフトホームページが改竄被害、アクセスでウイルス感染の可能性も
headlines.yahoo.co.jp/hl?a=20080603-00000001-vgb-secu
ホームページが改竄被害、アクセスでウイルス感染の可能性も(ゆずソフト)
https://www.netsecurity.ne.jp/1_11628.html
- 930 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 03:06:47 0]
- 謎の HTML インジェクション
memo.st.ryukoku.ac.jp/archive/200806.month/thread.html
くらっきんぐ被害 (ネット)
ruriko.denpa.org/200806a.html#0201
- 931 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 06:55:49 0]
- >>921
memo.st.ryukoku.ac.jp/archive/200806.month/9458.html
6月3日1時時点でルータ乗っ取りを把握してるのに
なんですぐに顧客に情報を流せないんだか・・・
- 932 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 07:06:33 0]
- >>923
タゲ逸らししてないで早く土下座しろや糞リーマン
- 933 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 08:00:20 0]
- こういうのって責任の所在はどこにあんのかね
ゲートウェイ監視してれば異常には気付くとして
元凶切り離すのに40時間近くもかかるもんか?
- 934 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 09:22:54 0]
- 乗っ取られたやつは悪いのは当然として、それを即感知、対処できなかった
さくらも悪い。iDC責任放棄・拡散放置だな。
- 935 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 10:02:02 0]
- >>934
> 乗っ取られたやつは悪いのは当然
( ゚д゚)ポカーン
- 936 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 10:31:47 0]
- せきゅmemoメーリングリストに流れたから各ニュースサイトは既に把握してるっしょ
乗っとられるのは悪い事だと思うが、ぽかーんとしてそのまま?
すぐに対応出来なかったさくらも悪いが、会社のサイトとかは被害を保証してもらえるんかな
無理だろなぁ。契約書どーなってるん?
- 937 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 10:49:11 0]
- 乗っ取られたサイト運営者に非があるような書き方はやめれ。
今回乗っ取られたサイトにセキュリティーホールはない、
セキュリティーホールがあったのはさくらインターネットのルータ。
- 938 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 10:56:36 0]
- なおさらだめじゃんw
- 939 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 11:08:09 0]
- この文脈で「乗っ取られた」は、実際にクラックされて
ARP飛ばして改竄用ゲートウェイをやるハメになったサーバだろ。
こいつは明らかにセキュリティに問題あったから乗っ取られたわけで、
ここの管理者には非がある。
- 940 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 11:17:06 0]
- どこだよw
- 941 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 11:23:13 0]
- >>937
今回、中継役にされたサーバは乗っ取られた可能性があるんじゃね?
www.yuzu-soft.com、ethna.jp、jp2.php.netに罪がないのは同意だけど。
- 942 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 11:27:27 0]
- せっかくなんで ARP Snoofing(ARP Poisoning)勉強会。
herald.jugem.jp/?eid=67
www.soi.wide.ad.jp/class/20050011/slides/23/45.html
- 943 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 11:32:09 0]
- さくらも問題サバを切り離したと書いてるしな
その問題サバの管理は当然問われるところだろ
- 944 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 11:34:41 0]
- >>939
あ、そういうことか。
「乗っ取られたサーバ」の解釈の違いだ。すまん。
>>934の「乗っ取られたサーバ」 → ARP Snoofingを実行したサーバ
>>937の「乗っ取られたサーバ」 → www.yuzu-soft.com、ethna.jp、jp2.php.net
- 945 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 11:53:14 0]
- >>942 追加
www.allied-telesis.co.jp/solution/switch_sec/taisaku.html
- 946 名前:名無しさん@お腹いっぱい。 [2008/06/04(水) 12:23:43 0]
- <iframe>を非対応にしないブラウザ各社も悪い
- 947 名前:名無しさん@お腹いっぱい。 [2008/06/04(水) 12:32:55 0]
- わかった範囲だけ
www.opendns.com/
にブラックリスト入りしました。
- 948 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/06/04(水) 12:39:27 0]
- ゲートウェイのMACアドレスをarpテーブルにstaticに登録しようにも
さくらの都合でゲートウェイのMACアドレスが変わると、
その時点でリモートメンテナンスできなくなっちゃうのかー。
|
 |
