パスワードを忘れた? アカウント作成
9617 story

アクセス解析ツールのバグで、人気Blogが改竄される 58

ストーリー by yoosee
穴は裏にあいている 部門より

Sassy 曰く、 "ITmediaによりますと,1月末よりアクセス解析ツールAWStatsバージョン5.0から6.2に存在するバグ「AWStats Remote Command Execution Vulnerability」(1月17日発表)を悪用して,海外の人気Blogサイトが改竄される被害が続出しているそうです。たとえばJeremy Zawodny氏のサイトの改ざんの場合,泣きじゃくる子どもの写真の下に「これは抗議であり、叫びだ……目を閉じてはいけない。世界には大きな問題がある。それをもう1つ増やしたいのか?」というメッセージが添えられています。そしてこのサイトについては,Infektion Groupというブラジルのクラック集団が改竄の成果を発表しています。彼らは日本のサイトも攻撃した前歴があるようですので,サイトを運営されている方は脆弱性情報に十分ご注意ください。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2005年02月07日 0時33分 (#690012)
    ここ [2ch.net]

    この人はファイル交換の中継ポイントにされた模様
    • 今回の件じゃないですけど、同じ連中にやられたサイトに何かの JavaServelet/Applet を置かれた形跡を発見したことがあります。IRC に接続して何かする目的だったみたい。
      他にも、sh コマンド用窓つきのファイルマネージャスクリプトが動いてたりとか。

      最近はレンタル Webサーバの容量が大きくなってますんで、サーバ上のディレクトリツリーが巨大化する傾向にあります。
      つまり何か仕込まれてもそれに気づきにくいわけで、たまには自分のディレクトリをチェックして回るべきなのでしょう。

      --
      [わかってもらうことは難しい。わかってあげることは、もっと難しい。]
      親コメント
  • by Anonymous Coward on 2005年02月07日 0時58分 (#690024)
    自宅サーバのアクセスログにこんなの。

    217.172.168.109 - - [04/Feb/2005:06:40:42 +0900]
        "GET //cgi-bin/awstats/awstats.pl?configdir=|%20id%20| HTTP/1.1"
        404 472 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
    217.172.168.109 - - [04/Feb/2005:06:40:42 +0900]
        "GET //cgi-bin/awstats.pl?configdir=|%20id%20| HTTP/1.1"
        404 472 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
  • 解説しようさん募集 (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2005年02月07日 9時42分 (#690105)
    改ざんされた事はわかったが
    どういう経路を経て書き換えられたか書いてほしいな。
    • awstatもBlogも使ってないので未確認ですが、configdirの入力値を
      十分に検査せずにopen()関数に渡しているため、任意のコマンドが
      実行できるという脆弱性を突いたものなのではないでしょうか。

      攻略難易度はかなり低いと思います。

      似たような脆弱性を持っているWebアプリケーションって多そうです。
      親コメント
    • ポイントはAWStatsとBlogが同じユーザ権限で動作するところにある訳だが.....
  • by Anonymous Coward on 2005年02月07日 3時55分 (#690055)
    > 世界には大きな問題がある。それをもう1つ増やしたいのか?
    というのなら,問題を増やさずに問題を解決して欲しいと思ったそんな日のこと

    # マイナスモデ覚悟
    • by kitsune.info (18329) on 2005年02月07日 7時30分 (#690066) ホームページ

      正論だと思います。
      ま、この手のクラッキングなんて自己陶酔の範囲でしかないですし、気の利いた警句に見えるけど、中身がない(「問題」を具体的に指摘していない)ので真に受ける必要もないとは思いますが。

      --
      [わかってもらうことは難しい。わかってあげることは、もっと難しい。]
      親コメント
    • 今イチ分かってないのかなぁ、俺。

      「世界には大きな問題がある。それをもう1つ増やしたいのか?」は
      クラックされた被害者の言だと思うのだが、その被害者に対して
      「増やさずに解決してほしい」と考えるのは的が外れてないか?
      それとも、「クラックされるようなサイトを運営してるんじゃねぇ
      お前がサイト閉じれば一つ問題が減るんだ」ってこと?
      • 690168です。
        ごめん、なんか勘違いしてたわ……改竄した側が残したメッセージなのね。
        改竄された側が改竄行為に抗議するためにやったのだと思ってた。
        逝ってきます……。

        # というか、ここで話題になるくらい時間が経ってもまだ復旧していないとは
        #思わなかったよ。
        親コメント
        • #ここにぶら下げよう。
          改竄者のメッセージを、記事に引用するのも如何なものでしょう?
          しかもご丁寧にも日本語訳までしてあげて、犯人の肩を担いでいるような。
          blogサイトがクラックされたというニュースの本質を伝えるために、
          わざわざ説明が必要な内容でもありませんし。

          ちょっと違和感を感じたので。
          • > しかもご丁寧にも日本語訳までしてあげて、犯人の肩を担いでいるような。

            犯人が具体的な主張を掲げているならば兎も角、
            今回の場合は「なんか意味不明なこと言ってるよアハハ」な次元なので、
            特に問題無いような気がしなくも無くもないのですが...。

            > わざわざ説明が必要な内容でもありませんし。

            「何らかの主張
  • とりあえず (スコア:1, 参考になる)

    by Anonymous Coward on 2005年02月07日 13時08分 (#690201)
    AWStats 使ってる奴は 6.3 にバージョンアップしとけ
  • この記事とコメントを見て、少し新鮮に感じました。
    ついにセキュリティーホールが「バグ」と呼ばれることに抵抗がなくなったのだな…と。
    喜ばしいことです。
    • by Elbereth (17793) on 2005年02月07日 19時20分 (#690433)
      ただ単にバグによってできるセキュリティホールとか、
      単体では問題ない「仕様」のプログラムの組み合わせによって
      セキュリティホールができる場合とか、そもそも仕様が
      くさっていてできるセキュリティホールとか、
      世の中にはいろいろあるんですよ。
      親コメント
  • オフとぴですが、2年ほど前、
    mozilla-tabext-1.6.2003021201-0vl1
    を、入れたMozillaで、Zopeを使ったサイトの管理画面に入ると、
    ロジックごと破棄されてました。 そのときは、100%再現しましたねー。
    (1週間後にリリースされた物では、起こりません)

    以後、Mozillaには、mozilla-tabext入れなくなりました。
    今使ってる、Firefoxにはたくさん入れてますが。 (笑

    # 仲間内では、「新たなDos攻撃方法、発見だね。」なんて、言われましたけど。
    --
    hoihoi-p  得意淡然、失意泰然。
  • by Anonymous Coward on 2005年02月07日 3時43分 (#690052)
    こういうことがあるからいわゆるWebアプリはコワイ。
    さまざまなスクリプトを一気にインスコするblogシステムを雑誌の記事とか真似てインスコしただけの
    「自宅Webサーバーやってます」なんて奴は、一度しっかりその構造を確かめた方がいい。
    OSアップデートしてようがポート塞いでようがこういうのは関係ないんだから。

    さらに書けば「このサイトHTMLで十分じゃん」みたいな内容のblogよ。
    非力なサーバーマシンだとCGIの実行だけでそれなりにもたるのに
    「更新が面倒だから」という管理者の都合だけでblogにするのもどうかと思うぞ。
    しかもゴテゴテの装飾までつけて。flashだらけのサイトにぶつかった時同様ムカッとする時がある。

    興味本位で入れるのは仕方ないけど、ちゃんと面倒は見ようね。
    • by kei100 (5854) on 2005年02月07日 8時06分 (#690080)
      動的なコメント、TrackBackとかどうやって実装するのさ(笑)
      大体、modrewrite使ってURLが.htmlでも実はCGIなケースも沢山あるし。
      例えばうちみたいな日記 [kei100.jp]とかで日付は.htmlですが内部はRubyなCGIスクリプトです。
      どうでも良いですが装飾と静的HTMLであるかは無関係かと思います。
      かの愛生会(リンク先、音その他多数注意セヨ) [aiseikai.or.jp]のような例もあるわけで。

      閑話休題。
      大体、スクリプトが沢山だろうが1つだろうが同じです。
      マニュアルクラッキングならともかく自動検索(CGIのバナー頼りにGoogle経由とか)なら
      穴があるスクリプトが簡単に発見され簡単に侵入されます。
      結局1つでもスクリプトを入れたなら継続的メンテナンスが必要になるわけで。
      結局、WebアプリもOSの定期的なアップデートと同じでしょ?

      そういう意味でblog系とかのスクリプトも自動更新とかに対応してほしいですな。
      大抵そのまま上書きすればいいけど、たまに互換性問題があって面倒だったりするし。

      # tDiaryで日記をつけているからID
      親コメント
      • .html ですが中身はphpで

        ・ヘッダ(日付)
        +include("20050205.html");
        ・ヘッダ(日付)
        +include("20050204.html");

        みたいな感じで include しまくってます。 ~_~;
        これは静的というのか動的というのか。
        --
        ==========================================
        投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
        親コメント
        • >みたいな感じで include しまくってます。 ~_~;
          >これは静的というのか動的というのか。

          動的です。
          インクルード先は、静的なれどそのコンテンツはアクセス毎に生成しているではないですか。

          いや、静的です。
          見る人は毎回同じコ
          • 動的、静的というのは
            「アクセスしたときにページを生成してるか」という
            定義で決まると思ってました。

            その原理で言うと、アクセスカウンタが乗ってる、SSI使った
            HTMLも動的になるけど、、あれは動的とは言わな
            • SSIは動的。それ以上でもそれ以下でもない。
              親コメント
            • 十分条件として、If-Modified-Since が使えないページは動的ページ、ってことはまず言えると思ってます。

              だから、SSI でも、

              ・最終更新日時を埋め込むぐらいの処理で、If-Modified-Since が使えるようにしてるものは静的
              (apacheでファイルに実行属性を付けてるとか)

              ・アクセスカウンタみたいにアクセスする度にデータが変わるのは動的

              ですかねぇ。

              もっとも、apache は CGI でも Last-Modified 情報を元に If-Modified-Since を処理してくれますので、
              If-Modified-Since が使えても静的ではない場合があるってところが判断の難しいところですが…
              親コメント
      • Blogのスクリプトアップデートが面倒なので・・・
        未だにlivedoor Blogを使っています(笑)

        最初は、自分のサーバにBlogを乗せる予定だったのですが管理する手間を考えると、
        まだまだBlogを自分のサーバに実装する気が、なかなか起きず。
        # ものぐさな私にはBlogを毎日更新するだけでも面倒(笑)なのは秘密

        ライブドアBlogは日付の変わる前後は更新が多いらしく重たいので、
        ソフトの自動更新が出来るBlogがあれば自分のサーバに導入したいな~。
        親コメント
      • by Anonymous Coward on 2005年02月07日 10時42分 (#690129)
        どうも微妙にズレてる気がしますが....。
        CGIに加えて装飾となれば、ただ静的htmlな所より明らかに重いです。
        コメントやTrackBackなんか明らかに必要なさげなblogも実際ありますし、
        提供する情報に合ったサイト構造を選んでいないところには私もうんざりします。

        量の問題ではないと申しますが、ひとつよりふたつ、三つとスクリプトが増えれば
        設定ミスなんてポカの可能性も含め、穴ができる可能性は指数的に増えますよ。
        サーバー機なら導入するソフトウェアは厳選するのが基本でしょ?
        なんか、このスレ先頭のコメントみたいなこと言われないために
        Webアプリ開発者がいかに頭をしぼっているか、考慮の外におかれたようでガックリです。

        正直個人の日記サイトなら、HTMLな扉にレンタル日記、レンタル掲示板で十分だと思いますよ。
        親コメント
      • そう言えば、Trackback機能だけ提供するサービスがあった気がします。
        自分の領域ではCGIスクリプトを走らせないヤツね。
        素人はそんなんでいいじゃん。
        • なんかアレだな。
          パソコンはウイルス感染の可能性があるから素人は使うな、みたいなえらい低レベルな話だな。
          • おふとぴごめん。

            パソコンはともかく、サーバーは素人が扱うのは感染の可能性が高いと思われるけど。
            更新?なにそれ?って感じのサーバーがやたらと多いと思いませんか?
          • > パソコンはウイルス感染の可能性があるから素人は使うな、みたいなえらい低レベルな話だな。

            他人に迷惑を掛けないだけの責任意識の無いものは保護者の監督下以外では使うな。
            サーバやパソコンに限らず、社会のあらゆる要素について同様にお考え頂きたい。
    • どこにぶら下げようか迷ったので大元に。

      まず、動的コンテンツと静的コンテンツの定義を云々しても始まらんと思うのですよ。
      SSI でページのヘッダとフッタをくっつけても動的ってことになるだろうけど、それが脆弱性になるとは考えにくい。
      JavaScript でランダムな文字列を出力しても動的ということになると思うのですが、この場合サーバでの演算処理が入っていないので、おそらくこのストーリーとは無関係です。

      仕組みがよくわかっていない初心者がいろいろ手を出したあげくに穴を開けてしまうことを憂慮して「動的コンテンツは危険(なこともある)だからなるべく使うな」という助言はアリでしょうけど、./で提唱するレベルの話ではないような。

      あと、気持ちはわかるけど Flash にまで当たり散らすべきではありません。Flash だって Web アプリになりうるけど、Flash だらけのサイトが今回のようなクラック対象になるわけじゃないでしょ?
      HTML で書けばじゅうぶんに見える Blog だって、Blog の内容と管理者の技術や知識は別問題なので、ちと説得力に欠けると思います。いかんせん、脈絡がなさ過ぎ。

      気持ちはわかるんだけどね。
      たぶん身近に「手に負えない初心者」がおられるのでしょう。
      > 興味本位で入れるのは仕方ないけど、ちゃんと面倒は見ようね。
      の一文には同意できますし。

      --
      [わかってもらうことは難しい。わかってあげることは、もっと難しい。]
      親コメント
    • 気に喰わないWebアプリに、嫌いな自宅サーバ管理者、おまけに虫の好かないWeb
      ページと、一緒くたに言いすぎです。

      # だからマイナスモデ喰らうんだよ。
  • by Anonymous Coward on 2005年02月07日 13時30分 (#690214)
    ログを検証してみるとawstatsは修正コードが出る前に既にアタックかかっている。そこが大問題。実行UIDをちゃんと分離しているので、HTMLのファイルが改ざんされない、とか思っていても、/tmpにボットを置かれている奴は多いので、今頃DDoS用のボットになっているマシンはかなりあるはず。
typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...