世界中でウェブサーバのクラッキングが急増 155
ストーリー by Oliver
油断するとやられる 部門より
油断するとやられる 部門より
nzm曰く、"ウェブページ、Whitehouseがクラックされています。といってもパロディサイトのWhitehouse.netの方ですが。ISSKの記事によると、アメリカのウェブページを中心に世界中で3000サイトがクラックされており、これらのサイトはApache/1.3x + OpenSSL/0.96bを使用していることが多いとのことです。書き換えられたウェブページを見ますと、中国のハッカーを名乗っているようですが詳細は不明。
それにしても、アメリカのイラク攻撃に対する抗議だとしても、パロディサイトを攻撃するのはお門違いなような気が…。"
世界中から多数のscript kiddie軍団がApacheやIIS、国やページの中身に関係なく、穴の残っているサーバを競争しながら探している感じだ。バーチャルホスティングが行われているサーバを占拠して数百ものサイトを一気に改ざんするケースもあるとか。恥をかく前に、自分の担当するサーバもすべてチェックし直そう。
ネタなのかなあ (スコア:2, 参考になる)
中国人にWhiteHouseがクラックされた、という想定で
つくられているネタサイトなんだが…
リロードしてみました?
Re:ネタなのかなあ (スコア:1, 参考になる)
Re:ネタなのかなあ (スコア:1)
時節柄、という感じの表紙になってますけど。
"Make Love, Not War"
Re:ネタなのかなあ (スコア:1)
何となくありそうな気がしてぐぐってみた。
こんなの [w-house.jp]とかこんなの [whitehouse-jp.com]とか
・・・まぁ予想はつくだろうけど両方とも18禁ね(笑)
クラックされた状態 (スコア:1)
nobuo * Who's gonna die first? *
もし… (スコア:1)
Re:もし… (スコア:1)
ま、ハックされましたと、公表して人集めなんて可能性もないわけじゃないですが
redhat ? (スコア:1)
これって Redhat を install した時の初期の組合せですかね。
Apache 1.3.x 系は 1.3.27 [apache.org]
OpenSSL は0.9.7a [openssl.org] が最新の様子。
動作検証は大変でしょうけど、
頑張って下さいね>管理者の方々
PHPつこてるとむっちゃ不便やでぇ (スコア:2, 興味深い)
#いや、バージョンあっぷはしてるけど、死にそう。PHP導入を考えてる奴はその辺のリスクかんがえときやー。Apacheのモジュール型のサーバソフトは危険と罠がいっぱいや。
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1, 参考になる)
security holeがあって、新バージョンでないとfixされないものでも、
古いバージョンにbackportされたりします。
赤帽もパッケージの依存関係とかがちゃんとしてくれると良いのですが。
個人的にはDebian for SolarisとかAIXとかが出てくれると嬉しいのですが。
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
Server: Apache/1.3.26
Ben-SSL/1.48 (Unix)
Debian GNU/Linux
となってますね
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
これは本当に何とかしてほしい。
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
サーバの数が増えた時に、有効ですね。
ただし、パッケージ管理に rpm が最適かというのは疑問。
apt や ports の方が、便利ではないかな。
# 依存関係があるのが分かってるなら
# 解決してくれよ > rpm
最高のプラットフォームは何か ?
これは、常に問い続け、異なった答えが出た場合は、
勇敢に最適解を選択したいと思う今日このごろ。
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
また、Red Hatには、Up2dateというツールもあって、Red Hatから直接パッケージをインストールできます。
みんな、競って便利なものを作ってますよ。
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
例えば昔よく議論(というかフレーム?)のもとになったMacとWinの比較なんかでも、Macはハードが限定されるゆえにインストールとかがかなり楽だった。ただそれをもってMacが優れているっていうのは、Mac派の私でも違和感あったよ。
WinとLinuxでも、環境としての多様性は後者のほうがより多いであろうことは十分予想できるわけで、単純なWinの方が楽だよね。
せいぜいその程度のことのような気がするよ。
ただ、管理コストを考えればあまり多くのケースを抱えたくはないので、そういう意味で、現時点ではちょっと差がついちゃってるな。
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
セキュリティに敏感な素人ならいいけど。
up2dateって簡単? (スコア:1)
RedHat8のftp版をインストールした後、up2dateを初めて使ってみたんですが、最初の起動時に英語のメッセージがわらわら出てくる(個人情報の入力画面です)んで一瞬引いちゃいました。
メーリングリストなどでは、「英語だから」という理由だけでREADMEとかエラーメッセージの類をろくに読まない人が時々見かけられます。自分で使ってみた感想では、そういう人にとっても使いやすいインターフェースとは思えなかったんですが<up2date
…ま、その手の人は、そもそもセキュリティ情報をマメにチェックすることなんてない、という話もありますが(笑)
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
> WindowsUpdateの便利さに慣れるとねえ…。
WindowsUpdate は MS のパッケージしか対象にならないのでは。
Oracle のパッチとか適用されないですよね。
# っていうか、
# なんで毎日 Media Player の同じパッチを
# 当てようとするんだろう ? > MS
# 昨日適用したじゃない。
# レジストリどこか壊れたかな。
rpm や port, apt などの機能をもう少し検証してから、
書き込みなさると幸せになるかと。
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
rpm,port,aptだとOracleのパッチが適用されるの?
なら凄いなあ。
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
> # 当てようとするんだろう ? > MS
とりあえずこのへん [impress.co.jp]でも見てみるよろし。
例えが悪いです (スコア:1)
例えが悪かったです。
> MS 以外のパッチとか適用されないですよね。
としたら良いかな。
私もOracle のパッチを提供してくれるディストリビュータには、
出会った事ないです。
# っていうか PostgresSQL で十分なので、
# 詳しく調査してない為かも知れません。
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
でも OS 2000 なんですよね。
んー。はてな ?
apt の使い方 (スコア:1)
>(手順書なんていらない)
-- 中略 --
> 「自分ができるからOK」ってのでは、大規模サイトを管理なんてできないよ。
> 個人サイトの管理と大規模サイトの管理は訳が違うんだから。
なんか、矛盾してません ?
手順書もないのに他の人も、あなたと同じ事ができるの ?
その程度の管理だったら、
cron で以下のコマンドでも回してりゃ、全自動だぜ !
apt-get update;apt-get upgrade
# セキュリティって一体 ...
> (つーか、ディストリ限定されてなかったっけ?)
RHL 系でも apt が使えるらしいから(確か Vine)
限定ってわけじゃないな。
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
dselect のフロントエンドとして頑張っています。
ブラウザから呼べる奴もあったと思います。
Re:apt の使い方 (スコア:1)
APT-RPM Red Hat repository [tuxfamily.org]
-- 雪のない富士山もきれいだな
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:2, おもしろおかしい)
そゆ時はpurgeしとけばよろしいかと。
#ちょうどそうしようと思ったタイミングだったので
Kiyotan
オフトピ (スコア:1)
#尼崎なんか大阪じゃない。というのは無しで…
Re:オフトピ (スコア:1)
#新今宮なんか大阪じゃない。というのは無しで(ぉぃ
#いや、むしろある意味日本じゃないかも(暴言
すらど宴会SNS開放中 [e-meet.jp]
Re:変な関西弁つこてるとむっちゃ不快やでぇ (スコア:1)
こういう口語はイントネーションが大事なわけで。
文章でかかれても不快に思う人の方が多いような気はします。
へたすると関西の人の方が不快に思う人が多いのではないでしょうかねぇ。
# 私は流して読める標準語の方が
# イントネーションを考えてしまう関西弁より読みやすいです。
はすかわ
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
(というか、西日本全般で、片付けて=直してだと思うんだが)
ついでに言うと、関東でも通じますな
標準語で話せっても、横浜弁や千葉弁や茨城弁だったら、誰も文句言わないんじゃなかろうか?とも思うのだが?
(都内でも正確な標準語は滅多に聞きませんが?)
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
雑談する所であり、独り言を言う所ではないです。
雑談には相手が必要で、相手に読んで欲しいわけでないのならここに書き込む必要はありません。
言ってる事は判りますよね?
はすかわ
Re:変な関西弁つこてるとむっちゃ不快やでぇ (スコア:1)
てません。というよりも、難波弁としても河内弁としても不自然な気
がする。まぁ難波はネイティブでなないので、断言はできませんが。
実際の方言だろうが、隠語だろうが、「意味が明確に伝わらないかも
知れない言葉」を使う時点で、まともに人と議論や会話をしようと
しているとは思えない。
Re:変な関西弁つこてるとむっちゃ不快やでぇ (スコア:1)
だから他の土地に行っても言葉を使い続ける。
それが他の土地では押し付けがましい、とか感じるのかもしれないですけどね。
で、関西弁を愛してるが故に、不快に感じる度合いが高いと思うんですよ。
少なくとも東京に出たら東京の言葉を使ってしまう程に自分の土地の言葉に気持ちがなければ、この事に関して矛盾を感じると思う。
はすかわ
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
俺か?兵庫あたりやけど、関西弁つこてええんは大阪人だけか?
まぁ、関西のいろんなとこおったからごちゃまぜなってんのは確かやね。
細かい事は気にせんといてぇな。
そらさすげねぐねだよ (スコア:1)
にしゃ、おんつぁげすが?
ほだごどいわっちも、こまっぴした?
まんずに、みぐせぇべ?
みなにしゃべっとぎは、までえにすっぺで。
たれかこいでっと、きかねとかいわっち、ぶっつめられっつぉい?
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
Blackdog-Bowwowさんのコメント [srad.jp]を翻訳してください。お願いします。
# 本人だったりして。
Re:PHPつこてるとむっちゃ不便やでぇ (スコア:1)
名古屋生まれの子供が、両親の出身地である九州への里帰りに連れて行かれて、福岡で言われたまさにこの「なおして」が「かたづけて」とは、まったく理解できなかった実例があります。わたしのことですが。
Re:redhat ? (スコア:1)
>
>これって Redhat を install した時の初期の組合せですかね。
8.0だとApache2.0.xでした。
#7.x以前はどうなんでしょう?
SSLを入れると経路は安全だがクラックされ易い (スコア:1)
最近俺は「SSL未対応のサイトの方が安全」と思えてきてます。
Re:SSLを入れると経路は安全だがクラックされ易い (スコア:1, すばらしい洞察)
SSLの仕組み自体に脆弱性があるわけじゃないぞ。
Re:SSLを入れると経路は安全だがクラックされ易い (スコア:1)
現時点でフリーでOpenSSLの代替足りうるもの、となると何があげられるでしょうか?
Re:SSLを入れると経路は安全だがクラックされ易い (スコア:1)
をCUPSで求められて困った記憶があります(Debian sid)…
Re:SSLを入れると経路は安全だがクラックされ易い (スコア:1)
Re:SSLを入れると経路は安全だがクラックされ易い (スコア:1)
そして OpenSSL をリンクするプログラムが一度にクラックされると。
# Red Hat が OpenSSH に OpenSSL を static link しているのは、そういう懸念があるためではないかと思うID
Re:SSLを入れると経路は安全だがクラックされ易い (スコア:1)
実行時に参照される OpenSSL のバージョンを比較して
一致しない場合は起動しないようなので、
動的リンクにしてもあまりメリットがありません。
Re:SSLを入れると経路は安全だがクラックされ易い (スコア:1)
そして、OpenSSLの穴の多さ。
警察とか公安とかに狙われているやくざならば兎に角暗合化した方が良いだろうけど、大手のISPの回線に簡単に接触出来るとは思えないし、細工しても比較的早くばれる気がする。
自分の家の回線にぱくり用の分岐線か電波で飛ばす奴がついている確率って高いとは全く思えない。
総会屋とかやくざに「暗号化しなければパクられる」とか「パクられている」と考えると、平文のメールのやり取りや、何処のサイトを見たか全てバレバレだよね。
パスワードも全てが暗号化して送信している訳でもないし、回線は違うけど電話やFAXも暗号化してないよね。
コードレス電話なんか近所に電波飛ばしまくりだよね。大抵は音声反転くらいでしょ。
受信機の音声反転回路ってツクモとかでも売っていたしね。
アナログ電話なんか二本の線に電話機を並列に繋げば聞けるんだし。
ADSL回線だと割り込むと回線品質保てなくなるんじゃないの?
FTTHもそれ用の器材がいるし。
俺は、これらを総合的に考えると、回線途中からパクられる危険性って凄く減ったように感じてます。
(俺は毎日のようにセキュリティー情報確認しているけど)全然当ててない奴って結構いるよね。
「SSLだから安全です」なんて言っているサイトほどパッチ当ててないぼろぼろの状態の割合が高いと感じています。
「安全」なんて大口叩いているところほど、データファイルの置き場所や属性の設定をミスっていたり、CGIに初歩的な欠陥持っていると感じていますね。
だから、俺は「SSL使っていない住所入力の方が安心してます」。SSLも使えるのならば7割くらいはSSL使いますが、SSLのページに移動するのが面倒だからと言う理由で平文でパスワード入れることも結構あります。
SSLには懐疑的な考えですね。
# ちなみに、俺のサイトはさくらにあるが、SSH使って弄っているわりには、POPはAPOP使ってません(対応してないので)。
Re:SSLを入れると経路は安全だがクラックされ易い (スコア:1)
で、「しばらくの間」って何時かと言えば、ハードのSSLの機器が安価で出て来た時。
同じ人かの確認は、平文メールに日替わりのパスワード入れて送る方法を採用する予定だから、ってのもあるけど。
Re:SSLを入れると経路は安全だがクラックされ易い (スコア:1)
Re:中国人のイラク戦抗議だとして (スコア:1)
って、これは日本のODAもだけれど。
AMIGA4000T(60/50)使い
Re:GNUハクられてねえ? (スコア:1)
> www.gnu.org and ftp.gnu.org are temporarily down. We hope to have everything back online this weekend.
> Message posted on: 2003-03-22, 12:03am EST
…となってます。クラッキングされて復旧作業中なのか?
This cookie has a scrap of paper inside. It reads:
If you can't learn to do it well, learn to enjoy.