さくらインターネット、専用サーバースレ Part9

さくらインターネット ..

902:名無しさん＠お腹いっぱい。
08/06/03 17:57:10 0
>>900
どう考えても当たり前じゃねーだろ

903:名無しさん＠お腹いっぱい。
08/06/03 17:57:28 0
たとえばグローバルIPをもったサービスなら、
L3SWとかで細かくサブネットを切れば、他者と同居しなくてもいい

904:名無しさん＠お腹いっぱい。
08/06/03 18:02:21 0
>>899
現時点では>>871と同じのが書いてある。

905:名無しさん＠お腹いっぱい。
08/06/03 18:05:31 0
>>899
今は元に戻ってる。内容も同じ。

なんか乗っ取られた>>869と同じ挙動な気が・・・
大丈夫か？

906:名無しさん＠お腹いっぱい。
08/06/03 18:15:42 0
ハードウェアでルーティング切っている装置(L3SW)を使って
サブネット細かく切れば、ARP Spoofingはやられないって認識でOK？

907:名無しさん＠お腹いっぱい。
08/06/03 19:23:04 0
なわけねぇだろ

908:名無しさん＠お腹いっぱい。
08/06/03 20:07:48 0
>>905
今見たら追記されてるが、これはないだろ

　　　[6月3日追記]
　　　　　　　　同一ネットワーク内に収容された一部サーバにおいてネットワーク設定
　　　　　　　　の誤りにより、本障害が引き起こされました。
　　　　　　　　該当のサーバを隔離することにより、障害は解消しております。

909:名無しさん＠お腹いっぱい。
08/06/03 20:17:55 0
動的IPつかいが隔離されたな

910:名無しさん＠お腹いっぱい。
08/06/03 20:19:33 0
引っ越すわ

911:名無しさん＠お腹いっぱい。
08/06/03 20:20:39 0
>>908
該当のサーバを隔離だけ？
他のサーバがARP Spoofingを突いてきたらアウトじゃね？

912:名無しさん＠お腹いっぱい。
08/06/03 20:23:19 0
>>911
それ以前に、ネットワーク設定の「誤り」とかぬかしている時点でもうね……

913:名無しさん＠お腹いっぱい。
08/06/03 20:28:22 0
>>908
「障害は解消してる」けど、根本的な解決は先送り？

914:名無しさん＠お腹いっぱい。
08/06/03 20:31:19 0
トロイ仕込まれたこと公表しなくていいのかね
巻き添え食らった契約者が個別にアナウンスしろってことか？

915:名無しさん＠お腹いっぱい。
08/06/03 20:32:17 0
>>908
素直に

「問題のサーバを隔離して、ルータを再起動しておいた。
原因？知らね。他のルータの確認？忙しいから無理。」

って言った方が好感持てる・・・わけねーよｗ

916:名無しさん＠お腹いっぱい。
08/06/03 20:33:14 0
>>908
ウイルスばら撒いてたことは完全にスルーだな。
ありえねー

917:名無しさん＠お腹いっぱい。
08/06/03 20:41:45 0
これはちょっとないわ・・・ありえない
さくらも結局こういう会社なんだな

918:名無しさん＠お腹いっぱい。
08/06/03 20:42:25 0
arp spoofing に対する明確な対策は無いよ。

ただ、MACアドレスを偽装してarpを出すので、その特別なプログラムの
実行と、偽装されたIPアドレスで犯人が分かる、ログも残るので追跡可能。
もちろん犯人はバレるの前提なので、すぐトンズラするだろうし、自分の
鯖ではやらないわな。

で、arp spoofing に対する堅牢性とか無理だから、そんな事をさせない
ように日々のハッキング対策ってのがある訳だ。
これは同じスィッチに収容されてる奴らが皆で足並み揃えてやってる事が
前提なのだが、現実はそうもいかんよとね。

919:名無しさん＠お腹いっぱい。
08/06/03 20:46:17 0
>>918
arpスプーフィングは系路上にあるルーターなら簡単に検知できるらしいけど
さくらのルーターが安物だったってこと？

920:名無しさん＠お腹いっぱい。
08/06/03 21:08:02 0
>>901-902
常識だろ
usenだってIPレンジ貸しをしてるよ

っつーか、あそこの営業うぜええええ！！！

921:名無しさん＠お腹いっぱい。
08/06/03 22:18:38 0
URLﾘﾝｸ(support.sakura.ad.jp)

　　[6月3日追記2]
　　　　弊社技術者により該当のサーバを調査しましたところ、上記サーバにて
　　　　クラッキングされていたことが判明いたしました。そのため、影響範囲
　　　　のお客様サーバへ WEBによるアクセスを行った場合、改竄されたウェブ
　　　　ページが表示される事象がございました。状況によっては、ウイルス等
　　　　による被害をうけられる可能性がございました。

　　　　影響を受けられたお客様へは、別途状況の連絡をさせていただきます

922:名無しさん＠お腹いっぱい。
08/06/03 22:35:33 0
こういうのはインプレスとかにリークしてやるのがいいじゃね？

923:名無しさん＠お腹いっぱい。
08/06/03 22:40:34 0
>>922
メディアにリークしても、さくらに問題がないということが補強されるだけで、無意味。
もっと、ほら、サポートにでも連絡するほうがよいと思うよ。

924:sage
08/06/03 22:57:36 0
>>872 さん
ftp は開いておりません。
sshを作業環境からのアクセスのみTCPwrapperで制限してます。
>>873 さん
ありがとうございます。

15万PVぐらい毎日あるので、困ったなぁという感じです。
この件で問い合わせも来てますし、責任範囲が明確になった所で、
訪問者への対応をします。
ひとまず、さくらからの連絡を待ちます。

925:名無しさん＠お腹いっぱい。
08/06/03 23:32:09 0
>>924
訪問者には早く知らせるべきだろ

926:918
08/06/04 00:06:24 0
>>919
おっとすまねぇ、偽装するのはMACアドレスじゃなくてIPアドレスだった。

勿論、arp spoofing をしているホストのゲートウェイとなっているルータ
は、異常を検地出来るし、実際していると思うな。

自分のarpテーブルに自分自身として静的な登録のIPアドレスの情報が
別のMACアドレスでarp要求を出しているってのはIPアドレスの重複設定
だと認識する訳で、Windows ですら重複IPあるよバーカバーカって警告
するだろ？

arp仕様上の問題発生なので、どんな安物のルータでも警告は出るよ。
でも、そのルータからの警告ログをどうしているかは、ネットワーク管理
のポリシー次第って事だわね。

927:名無しさん＠お腹いっぱい。
08/06/04 01:27:50 0
　　今レンタルサーバー探してる皆さーん

　　　　　　　　　　　　　　　　　　　　　　マジックボックスはやめといた方がいいですよー

受付時間内でも電話に出ない
メールほったらかし
家族全員一斉に温泉に浸かる
言い訳だけはいっちょまえ
宣伝文句にウソ多数

928:名無しさん＠お腹いっぱい。
08/06/04 01:58:13 0
俺なんかマジックボックスで借りてたころに
鯖がとんで復旧に3日かかったうえに、その間届いてたはずのメールまで
ぶっとんだんだぜｗ
数年前だけど・・
ちなみに会社はオランダから鯖かりて、再販してるだけだから
会社はなんの技術もノウハウもないよ。
そんなことマジックボックススレにいくらでもでてたんじゃないか？
あぁおれのは全部昔の話だけど・・

929:名無しさん＠お腹いっぱい。
08/06/04 03:00:32 0
ゆずソフトホームページが改竄被害、アクセスでウイルス感染の可能性も
URLﾘﾝｸ(headlines.yahoo.co.jp)

ホームページが改竄被害、アクセスでウイルス感染の可能性も（ゆずソフト）
URLﾘﾝｸ(www.netsecurity.ne.jp)

930:名無しさん＠お腹いっぱい。
08/06/04 03:06:47 0
謎の HTML インジェクション
URLﾘﾝｸ(memo.st.ryukoku.ac.jp)

くらっきんぐ被害 (ネット)
URLﾘﾝｸ(ruriko.denpa.org)

931:名無しさん＠お腹いっぱい。
08/06/04 06:55:49 0
>>921
URLﾘﾝｸ(memo.st.ryukoku.ac.jp)

6月3日1時時点でルータ乗っ取りを把握してるのに
なんですぐに顧客に情報を流せないんだか・・・

932:名無しさん＠お腹いっぱい。
08/06/04 07:06:33 0
>>923
タゲ逸らししてないで早く土下座しろや糞リーマン

933:名無しさん＠お腹いっぱい。
08/06/04 08:00:20 0
こういうのって責任の所在はどこにあんのかね
ゲートウェイ監視してれば異常には気付くとして
元凶切り離すのに40時間近くもかかるもんか？

934:名無しさん＠お腹いっぱい。
08/06/04 09:22:54 0
乗っ取られたやつは悪いのは当然として、それを即感知、対処できなかった
さくらも悪い。iDC責任放棄・拡散放置だな。

935:名無しさん＠お腹いっぱい。
08/06/04 10:02:02 0
>>934
> 乗っ取られたやつは悪いのは当然

( ﾟдﾟ)ﾎﾟｶｰﾝ

936:名無しさん＠お腹いっぱい。
08/06/04 10:31:47 0
せきゅmemoメーリングリストに流れたから各ニュースサイトは既に把握してるっしょ
乗っとられるのは悪い事だと思うが、ぽかーんとしてそのまま？
すぐに対応出来なかったさくらも悪いが、会社のサイトとかは被害を保証してもらえるんかな
無理だろなぁ。契約書どーなってるん？

937:名無しさん＠お腹いっぱい。
08/06/04 10:49:11 0
乗っ取られたサイト運営者に非があるような書き方はやめれ。

今回乗っ取られたサイトにセキュリティーホールはない、
セキュリティーホールがあったのはさくらインターネットのルータ。

938:名無しさん＠お腹いっぱい。
08/06/04 10:56:36 0
なおさらだめじゃんｗ

939:名無しさん＠お腹いっぱい。
08/06/04 11:08:09 0
この文脈で「乗っ取られた」は、実際にクラックされて
ARP飛ばして改竄用ゲートウェイをやるハメになったサーバだろ。
こいつは明らかにセキュリティに問題あったから乗っ取られたわけで、
ここの管理者には非がある。

940:名無しさん＠お腹いっぱい。
08/06/04 11:17:06 0
どこだよｗ

941:名無しさん＠お腹いっぱい。
08/06/04 11:23:13 0
>>937
今回、中継役にされたサーバは乗っ取られた可能性があるんじゃね？
www.yuzu-soft.com、ethna.jp、jp2.php.netに罪がないのは同意だけど。

942:名無しさん＠お腹いっぱい。
08/06/04 11:27:27 0
せっかくなんで ARP Snoofing(ARP Poisoning)勉強会。

URLﾘﾝｸ(herald.jugem.jp)
URLﾘﾝｸ(www.soi.wide.ad.jp)

943:名無しさん＠お腹いっぱい。
08/06/04 11:32:09 0
さくらも問題サバを切り離したと書いてるしな
その問題サバの管理は当然問われるところだろ

944:名無しさん＠お腹いっぱい。
08/06/04 11:34:41 0
>>939
あ、そういうことか。
「乗っ取られたサーバ」の解釈の違いだ。すまん。

>>934の「乗っ取られたサーバ」 → ARP Snoofingを実行したサーバ
>>937の「乗っ取られたサーバ」 → www.yuzu-soft.com、ethna.jp、jp2.php.net

945:名無しさん＠お腹いっぱい。
08/06/04 11:53:14 0
>>942 追加
URLﾘﾝｸ(www.allied-telesis.co.jp)

946:名無しさん＠お腹いっぱい。
08/06/04 12:23:43 0
＜iframe＞を非対応にしないブラウザ各社も悪い

947:名無しさん＠お腹いっぱい。
08/06/04 12:32:55 0
わかった範囲だけ
URLﾘﾝｸ(www.opendns.com)
にブラックリスト入りしました。

948:名無しさん＠お腹いっぱい。
08/06/04 12:39:27 0
ゲートウェイのMACアドレスをarpテーブルにstaticに登録しようにも
さくらの都合でゲートウェイのMACアドレスが変わると、
その時点でリモートメンテナンスできなくなっちゃうのかー。