Apache.org のサーバー、侵入され一時ダウン 30
ストーリー by reo
中の人も大変だ 部門より
中の人も大変だ 部門より
ある Anonymous Coward 曰く、
去る 8 月 27 日の 18:00 UTC に、minotaur.apache.org に不正な侵入があったらしく、十数時間オフラインとなった (Apache Infrastructure Team の blog 記事、V3.co.uk の記事、エフセキュアブログの記事より) 。
侵入が 27 日 18:00 UTC で、復帰が 28 日 10:53 UTC 頃。Apache Infrastructure Team の blog 記事によれば「ダウンロードファイルに影響が及んでいるか証拠はないんですが、ユーザはいつでもデジタル署名をチェックしてほしい。」とのこと。
hack のおはなし (スコア:2, 興味深い)
V3.co.uk でも F-Secure Weblog でも hack という言葉を使っているのですが、なんかもう hack でいいんですか? 変えられない流れなのですか? もしかして hack じゃなく crack だとか言ってるのは一部の原理主義者だけなんでしょうか?
とは言え、これらの記事でタイトルには hack が使われていますが、本文中では hack が使われていないんですよね。タイトルには多くの人々が分かりやすい hack を使って、本文中では使わないぞということなのかなとかとも思ったり。
Hiroki (REO) Kashiwazaki
Re:hack のおはなし (スコア:1)
> 本文中では hack が使われていない
単に、hack や crack という言葉では、技術的詳細を述べることができないというだけではないかと。
#cracker でも、それなりに技術があると認めるなら hacker と呼ぶのかな。
Re:hack のおはなし (スコア:1, おもしろおかしい)
ハイパーメディア・クリエイターあたりが得意げに、
「最近、西海岸あたりでは優れたハックのことをクラックと呼んでますね」とでも言えば、
「クラック=超ハック」でかっこいいので、一般的にクラックの方が使用されるようになり、
侵入事件の記事にもクラックという名称が使われるようになる。
急がば回れ
Re: (スコア:0)
>ハイパーメディア・クリエイター
高城剛のことかーっ!!
Re:hack のおはなし (スコア:1)
ちょうどHadoopを見てたのでその時の最後の方のログ添付します。恐らく、DDosアタックだったのでは無いでしょうか?
まあ、いいもん見させてもらいました。
~ここから
The Infrastructure Team of The Apache Software Foundation is currently investigating a
potential compromise of one of our servers. For security reasons most apache.org
services are therefore offline, but will be restored shortly. We apologies for any
inconvenience this may cause.
10:42am UTC: Compromise was due to a compromised SSH Key, not due to any software
exploits in Apache itself.
More details soon.
10:53am UTC: We have restored services on our european mirror machine which was
not compromised. DNS should be shifting you over right about ... now..
~~ここまで
Hack the World.
Re: (スコア:0)
これよんだことあるかい?
http://cruel.org/freeware/hack.html [cruel.org]
> hack じゃなく crack だとか言ってるのは一部の原理主義者だけなんでしょうか
そんなところじゃないでしょうか。
質問です (スコア:0)
本丸である「Apache.org」に浸入される体たらくで、こいつらが
関わってるソフトウェアのセキュリティ品質を信用できるのか?
と言われたら、なんと答えます?
Re:質問です (スコア:1, すばらしい洞察)
Re: (スコア:0)
貴方は本気でそれを口に出来ますか?
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
Re:質問です (スコア:1)
横槍でごめんなさい
言っていることが
・営業よりの意見(不安を煽るようなことは言うべきではない)
と
・技術者よりの意見(事実は事実として伝えなきゃいけない)
で言合っているようにしか見えません。
多分、お互の価値観について相容れがたいのだと思います。
ソコはツッコミ入れてもしょうがないでしょう。
#最近、技術者寄りの意見をメールで流して、ウチの偉い人に怒られた。
Re: (スコア:0)
Sendmailは実際に毒入りソースコードを配布して使われた経験アリ。
皆の大好きなMozilaの関連団体も不正侵入されたし。
Linuxは、RedHat, Debian....キリがない。
OSSじゃないけど、トレンドマイクロはウィルス情報サイトが改ざん
されたこともありますね。
浸入 (スコア:1)
水攻めにあったよう [kotobank.jp]ですな。
Re: (スコア:0)
>しん‐にゅう〔‐ニフ〕【浸入】
∧,,∧
(;`・ω・) 。・゚・⌒) チャーハン作るよ!!
/ o━ヽニニフ))
しー-J
Re:質問です (スコア:1)
信用できないのでぜひIISで。
とMSは答えるでしょう。
# IIS は lighttpd または tux など任意に変更してください。
Re:質問です (スコア:2)
インターネット インフォメーション サービスの FTP サービスの脆弱性により、リモートでコードが実行される
このような問題が一切、目に入らずにオープンソースの脆弱性ばかり目に付く人もいるのでしょうね。
IIS で FTP でファイルアップロードを許可してるサーバーはパスワードもへったくれも無くてやられるって事? これ、ゼロデイだし、発覚したばかりだから、こっちもソピックス上げたほうがいいんじゃないかな。
Re:質問です (スコア:1)
ネタにマジレス格好悪い。
その脆弱性を突いて攻撃を成功させるには少なくとも
のどちらかが必要だが、2番目は脆弱性以前に危険な状況なので論外。
今回のFTP脆弱性も、少し前にあったWebDAVの脆弱性もデフォルトでは無効になっている機能で影響を受けないし、あえてセキュリティ的に弱い方向へ設定を変更しない限りまず影響を受けない類のもの。
Re:質問です (スコア:1, 参考になる)
IIS 5.xの脆弱性の数は多いけれども。
IIS 6.0では、ASPやASP.NETなんかの既定で有効にならないモジュールを除くと1つくらいしかない。
FTPサービスは既定で有効にはなっていません。
WebDAVも同様です。好印象のないFrontPage Server Extensionも。
サーバーの役割には追加されていないサービスとなっています。
(2003年から現在までで見つかった数)
IIS 6.0の役割を有効にした最初の状態では脆弱性は1つ (だったかな。2つはない。)。
IIS 6.0で提供できるサービスを全部有効にしたら7つ。
ただ、既定で有効ではないと言っても使っている人がいるので対処する必要がありますね。
それでもなんだかんだで一部では煙たがられているようですが、なんなんでしょ。
私は既にIIS自体は信頼できる部品の一つとして見ていますが。
Re: (スコア:0)
処女のおばさんと、一度だけ経験のある少女と、
どちらがお好みですか?
Re: (スコア:0)
Re: (スコア:0)
そ こ で !
こちらの会社のWAFを並行して導入、念のため二台でHA構成にし、
さらに不正データ改変監視装置を導入して、今ならお値段○○○○万円!
お買い得ですよ!
# ……っていう趣旨の質問ですよね?
Re: (スコア:0)
apache怖い、という意見をapacheなサイトに平気で書き込む親ACの矛盾。。。
Re: (スコア:0)
それだよな
実際使い慣れてるapacheを外したくないんだけど
こういった前歴が残ると色々と売り文句が減ってくるんだよな
私なら
「なかなか難しい問題ではありますが全てに100%のものはありません、
今大丈夫だから永久に大丈夫とは言えません
逆に過去に失敗があったから将来もダメとも言い難い
後は付随する工数や各コストを踏まえて検討して下さい」
と言ってApacheとIISの二種類の見積もりで相手に検討させ
最後に
「因みにですが、個人的な意見としては私ならapacheを選びます、
慣れもありますけど一番の理由はオープンソースである事で
制作会社の意向によるリリース中止等のリスクを回避できると信じているからです」
と個人的な意見を付け加えておく
Re: (スコア:0)
> 制作会社の意向によるリリース中止等のリスクを回避できると信じているからです
それで天下のマイクロソフトが、これだけ売れているソフトウェアを
(製品名・方針などの変更はあるにせよ)リリース中止するのかね? と聞かれたら?
Re: (スコア:0)
可能性の話であって無いとは言えませんねと答えてOKだろ
Re: (スコア:0)
GMですら破綻するのです。MSがこの先どうなるかなんて、誰にもわかりません。
もちろん、apache foundationがこの先どうなるかも分かりません
(むしろ、MSが破綻する確率よりも、apache foundationがどうにかなる
可能性のほうがはるかに高いでしょう)が、それでもソースは残ります。
Re: (スコア:0)
機能をてんこ盛りにして利益率を高くした新製品を開発し、"新製品にリソースを集中するので
旧製品をお使いの方は移行してください。旧製品の保守はあと○ヵ月で終了します。"
ってのはありがちでは。
Re: (スコア:0)
「顧客・ユーザにとって良いもの」
と
「開発者・SIerにとって楽なもの」
は違うんですよね。
顧客にとってはC#などで書かれたやつをIISで動かすほうが
適切なところってあります。
でも、自己中で傲慢なベンダーは
「IIS?Windows?そんなの危ないですよ。やっぱApacheとLinuxでしょ?」
って押し付けてくるんですよね。
だからオプソ信者のいるベンダーには頼みたくない。