タイトルからてっきりまた有名な歌い手、P、生放送主あたりがが何かやらかしたのだろうと推測
↓
Operaで開いたらタグが明らかに違う。2ch終了?どういうことだ?
↓
「2chキャップ漏洩騒動」でぐぐる
↓
いくつかスレを見つけて概要を知る…ちょ、これはありえん。
個人が適当に建てた小規模自宅サーバとかならともかく、今やネットでもトップクラスの規模(ユーザ数、アクセス数、トラフィックなど)を誇る2chでこのレベルとか…。
そういえば昔借りてたレンタルサーバ屋(digitalbuilding.com、計画倒産で逃げた悪徳業者らしい)もアクセスパーミッションが超杜撰で他人のディレクトリに移動できてしまうなど問題だらけだった。
かつて関わった某プロジェクト(今の仕事じゃない)でも一時的とはいえWebサイトに重要情報置くとかちょっと危険な状況だった。
そして私のサイト(sephiebrain.jp)も他人事ではない。テストで作ったスクリプト(中には高権限なものも)がゴロゴロしてる。
一応、最も危険なシェルCGI(「Sephie」5thのAdministrators権限が完全掌握できて、コマンド発行、アップロードなど何でも可能)はアクセス制限(BASIC認証)+SSLオンリー化+パスワード入力欄強化(もともと7文字まで→2欄に増やして14文字まで)で多重保護してるけど、本当はオープンWebサイトに置くようなものではない。
ただ、PPTP VPNやVMware+Turbolinux+SSHなどのリモートアクセスが全滅した時の緊急用で、実際に今まで何度も危機から救ってくれただけになくすわけにもいかないんだよな。
6thではもっと強力なセキュリティをかけて残しておこうと思う。ただ、モバイル(携帯電話のPCSVとかIE Mobile)からアクセスできないと緊急用として使えないかもしれないので限界はあるが…。
ちなみにシェルCGI以外のそこそこ危険なテストスクリプトはBASIC認証+SSLオンリー化のみ。
SSLはBASIC認証でパスワードを送信する時に漏れないようにかけてる。
OSコマンド叩ける…やっぱシェルCGI的なのもあったのか(※)。これ乗っ取られたら\(^o^)/。
※:最初からOSコマンド弄るのが目的のシェルCGIと、脆弱性突いて実行できるCGIとは別だが、クラッカーにとっては同じようなものだ。
apacheの権限?あ、Linux系・UNIX系はそれがあったか。root権限じゃないんだな。
うちは今AN HTTPDをユーザ(Administrators)権限で動かしてるから乗っ取られたら本当に壊滅。
「Sephie」5thだけじゃなく「Naomi」も吹っ飛ぶ。「Fen」もタイミング次第ではアウト。
ところで2chにアクセスするとやばいと言ってるが…知らずに何度かviliv N5、Let'snote J9、Willcom D4スレリロードしちゃったよw
今のところ特におかしな挙動はなかったが…しばらくリロードやめとくか。
追記:
IEで2ch全体を制限サイト(スクリプト無効、ActiveX無効、プラグイン無効)に入れて少し見てたんだが、公式で「『ハッキング』から『夜のおかず』までを手広くカバーする巨大掲示板群です。。。」という謳い文句があるんだな。
まさに今回はハッキングをカバーしてしまったわけだが…ってそういう意味じゃないか。