フォーラムのクラッキング被害と今後の対策について

登録日: 2003年10月 05日 記事: 1744

2004年11月29日 L10N フォーラムがクラッキングの被害にあったのは最新の phpBB (2.0.11, 今月18日公開)で修正済の SQL injection に対する脆弱性をつくスクリプトが数日前からネットで公開されており、それをそのまま利用されたものです。
参考: http://diswww.mit.edu/menelaus.mit.edu/bt/37539

当フォーラムでは phpBB 本体が日本語対応が不十分すぎることを始め問題が多いためカスタマイズ版を作成して利用していたこともあり、オリジナルの phpBB での修正に対して随時素早く対応できておりませんでした。
結果として、未然に防ぐことも可能であったであろう既知の脆弱性をつかれてフォーラムの管理者権限を奪われるという事態になりました。これはフォーラム・サーバ管理者としての私の管理不行き届きに帰するものであり、反省すると共に深くお詫び申し上げます。

クラッキングについてはそれを行った者のアクセスログのうち一番最初の一行が

Code:

207.195.86.132 - - [29/Nov/2004:00:40:41 +0900] "GET /jlp/viewtopic.php?t=258 HTTP/1.1" 200 101571 "http://www.google.com/search?hl=zh-TW&q=site%3Ajp+inurl%3Aviewtopic.php&lr=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"

であることを単純に解釈すると、中国語がネイティブな言語である人(以下 C さん(^^;)が IP 204.195.86.132 を使用して日本にある不特定の phpBB フォーラムをターゲットとして行ったものであったと推察されます。検索結果の上位から順に試していったのでしょう。当フォーラムは現時点で 2番目に表示されているため被害対象となったものと考えられます。
# これはあくまでも単純に解釈した場合です。
# 最低限の注意力とやる気があればそれくらい簡単に偽装します。

その後のアクセスログを見る限り C さんは上述の公開スクリプトを何ら手を加えることなくそのまま単純に実行し、その後作成された管理者権限付ユーザを使用してフォーラムの設定を変更、迷惑メールの一括送信(14通またはそれ以上)、既存トピックを片っ端から削除という順に処理していったようです。

アクセスログ、サーバ上のファイル、その他いずれを見ても公開スクリプトをそのまま使用した以外の、C さんによるより高度なクラッキングの試みが為された形跡は一切無く、今回の被害範囲は MySQL データベース中の L10N フォーラムのデータのみでそれ以外の被害はないことが推定されます(引き続き調査は続けます)。
一旦全投稿が削除されてしまいましたが、前日のバックアップと残りのデータを組み合わせて最大限の復旧をし、全部あるいは一つを除いた投稿とすべての PM を復旧しました。
投稿数の記録など細部においてデータの不整合が生じているようですが、後ほど更に追試して出来る範囲で修正します。

今後の対策としましてはまず、当然ながら今回のセキュリティホールを修正済の最新版を元にカスタム版を再作成しました。該当するセキュリティホール修正部は以下の通り。

Code:

diff -crbBN phpbb210/viewtopic.php phpbb2011/viewtopic.php
*** phpbb210/viewtopic.php Sun Jul 18 01:13:58 2004
--- phpbb2011/viewtopic.php Thu Nov 18 21:02:13 2004
***************
*** 483,489 ****
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
! $words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

for($i = 0; $i < sizeof($words); $i++)
{
--- 483,489 ----
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
! $words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));

for($i = 0; $i < sizeof($words); $i++)
{

要するに urldecode() を不用意に使っているという、良くあるケアレスミスです。

更に、今後同様なセキュリティホールが見つかっても攻撃を遮断できるよう、Apache 側のサーバ設定で攻撃的意図があるとしか考えられないいくつかのパターンの QUERY_STRING を含むリクエストに対してアクセス拒否をするように設定しました。これにより類似の SQL injection については phpBB のセキュリティホールの有無にかかわらず全面的に排除されます。
また、用心のためフォーラムで使用しているデータベースユーザ名とパスワードを変更、管理者その他のユーザパスワードも変更、その他関連する可能性がある部分の設定変更等を行い、C さんが得た可能性のある情報はすべて今後のクラッキングに役に立たないようにしました。
# 生のパスワード自体はいずれも入手されていないが暗号化されたパスワードは入手された可能性が高く、簡単なパスワードであれば辞書攻撃によりユーザパスワードを特定される可能性があります。

また、今回利用されたセキュリティホール(および同様の手口)に対しては対処を施しましたが、phpBB それ自体は時々セキュリティホールが発見されるフォーラムであることは事実であり、今後修正に素早く追従していく必要があります。
これについては今後追従し易いよう、これを機会としてこれまでに多数のカスタマイズをしてまとまりがなくなり書けていたローカルのコードをすべて見直しつつ整理して、今後迅速に修正を行えるように準備しました。
オリジナルの phpBB が更新されたが当フォーラムがまだ最新版に追従できていないことにお気づきになられた場合、当フォーラムまたは直接私宛に PM などでお知らせ下さるよう宜しくお願いします。
http://moz.skillup.jp/jlp/viewtopic.php?p=2177#2177

なお、フォーラムデータの自動バックアップについてもこれまで 1日1回であったのを 1日2回に変更しました。

最後になりましたが、このたびはご利用の皆様に多大なご迷惑とご心配をおかけしたこと、重ねてお詫び申し上げます。

ゲスト

パスワードを変更したという旨、メールは来ましたが実際には変更されていないようです。パスワード変更メールはどのように送られたのでしょうか・・・

登録日: 2004年9月 07日 記事: 113

私の所には、パスワードの変更メールが来ていません…

登録日: 2003年10月 05日 記事: 1744

説明不足などにより混乱と不安が生じているようですので、全ユーザのパスワードを一旦無効化しました。以下、全登録ユーザに送信したメールとほぼ同一内容です。

パスワードの再設定について私の説明が間違っていたりしたため誤解や不安が生じているようですので、改めて説明および全ユーザのパスワードを一旦強制的に無効化させて頂きました。

大変お手数とは思いますが、各自にてパスワードの再発行をお願いします。
http://moz.skillup.jp/jlp/profile.php?mode=sendpassword

このフォームにユーザ名と登録メールアドレスを入力すると以下のような変更確
認メールが届きます。メールの指示に従いメール中の URL にアクセスして新規
パスワードを有効化してください。

Quote:

あなた(或いはあなたを装った誰か)から Mozilla L10N での dynamisさんの
アカウントに新しいパスワードを発行するように申請されました。
申請を行っていない場合はこのメールを無視して下さい。何度もメールが来る場合は
フォーラムの管理者に問い合わせてください。

新しいパスワードをご利用になるにはそれを有効化する必要があります。
新規パスワードを有効化されるには次のリンクをクリックしてください。

http://moz.skillup.jp/jlp/profile.php?mode=activate&u=*&act_key=******

成功したら以下のパスワードでログインできるようになります。

パスワード: ********

勿論パスワードはユーザ設定画面で変更できます。
何か問題がありましたらフォーラム管理者までお問い合わせください。

パスワードの変更を完了したら通知された新規パスワードでログインし、必要に
応じてユーザ設定画面で覚えやすいパスワードに変更して下さい。
http://moz.skillup.jp/jlp/profile.php?mode=editprofile

既にパスワードを変更された方には二度手間となってしまうこととなり、誠に申
し訳ありません。

以下、補足説明です。

既に以前一度私の方で全ユーザに対してパスワードの再発行申請処理を行った際
に(結果としてこのフォームと同様となる処理をしましたので)同様のメールが皆
さんに届いていると思います。
# 一部届いていない方がいるようですが、私の作業ミスの可能性が大。
# あるいは先日 14 通のスパムが飛んだことでサーバから一時的に拒否されている。

パスワードを再設定すると書きましたが実際に再設定処理を完了するところまで
はしておらず、メールの指示に従って頂くことで初めて実際に変更が完了すると
いうものでした。
その説明との食い違いや通知メールでの "申請を行っていない場合はこのメール
を無視して下さい。" などという記述があること、更に短期間とはいえ一旦管理
者権限を奪われたフォーラムの機能を使用しての通知であることが皆さんに不安
を抱かせたり混乱をさせてしまいました。

不十分な説明と配慮の不足、重ねてお詫び申し上げます。

なお、フォーラムの管理者権限が奪われていた期間は私が気づく(仮眠から目覚
める)までの数時間のみであり、皆さんへの直接的影響は14通のスパムメールが
送信されたことと今後の再発防止と状況解析をするために私が外部からのアクセ
ス遮断を行った結果フォーラムを1日近く使用できなかったことのみです。
"Zuso.Org - DEVIL2K" 以外のメールについてはすべて私が送信したものであり、
不正なものはありません。
# 丸一日乗っ取られていたなどということはありません。
# 間違ってもサーバの管理権限などは奪われていません。

また、繰り返しになりますがパスワード自体は奪われておりません。暗号化され
たものが奪われた可能性があるだけで、ある程度の知識と時間がなければそれを
元に各ユーザのパスワードを特定してなりすましを行うことは不可能です。
今回クラッキングを行った方は単なるスクリプトキディであり技術レベルはかな
り低レベルなものだと推定されるため、問題となる可能性は高くありません。
# 被害の詳細: http://moz.skillup.jp/jlp/viewtopic.php?p=2190#2190

とはいえ変更されないままのユーザが存在することは他の方も不安に感じるかと
思いますので、今回改めて強制的に全ユーザのパスワードを一旦無効化させて頂
くことにした次第です。

私の当初の対処が不適切であったために二度手間になってしまいましたが、なに
とぞご理解とご了承をお願いします。

メール見るまで意味が分からなかったけど、無事に更新できました。

ゲスト

Quote:

大変お手数とは思いますが、各自にてパスワードの再発行をお願いします。
http://moz.skillup.jp/jlp/profile.php?mode=sendpassword

とのことですが「そのメールアドレスがそのユーザ名で登録されたものと一致しません。」とエラーになってしまいます。登録日のメールログを探しても見つからなかったので断言はできませんが、まずメールアドレスは入力したもので間違いないと思われるのですが・・・。

＃この投稿、「えむいな」だと『このユーザ名は既に使われています』
＃になっちゃうし。私本人なのですが・・・ Crying or Very sad

登録日: 2003年10月 05日 記事: 1744

えむいな(ゲスト) wrote:

とのことですが「そのメールアドレスがそのユーザ名で登録されたものと一致しません。」とエラーになってしまいます。登録日のメールログを探しても見つからなかったので断言はできませんが、まずメールアドレスは入力したもので間違いないと思われるのですが・・・。

ご迷惑をおかけしております。
こちらで再発行申請を代行しましたが、メールサーバがエラーを返してきていました。

Code:

Reporting-MTA: dns; mail.skillup.jp
Arrival-Date: Wed, 8 Dec 2004 01:00:01 +0900 (JST)

Final-Recipient: rfc822; ********
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; host *******[*.*.*.*] said:
550 <********>... User unknown (in reply to RCPT TO command)

# 個人やプロバイダを特定できる情報は全て削除。

登録されていたメールアドレスが無効であった模様です。
これまでもフォーラムからは一通もメールが届いていなかったのではないでしょうか？
過去のバックアップデータも調べてみましたが、えむいなさんの登録メールアドレスはユーザ登録直後よりずっと変更がされていないようです。単に登録時に誤ったメールアドレスでユーザ登録されたか、メールアドレスが無効になったかのいずれかではないかと思います。
# 現在では不可能ですが当初はメールアドレスが無効であってもユーザ登録を完了できました。

こうなるとメールによる本人同定は不可能ですので、以前のパスワードによる本人同定とします。
えむいなさんのパスワードのみクラック以前のものに戻しますので、お手数ですがログインして、以下の作業をお願いします。

パスワードの変更
メールアドレスの変更
変更した旨このトピックにレス

登録日: 2004年1月 21日 記事: 2

dynamis wrote:

登録されていたメールアドレスが無効であった模様です。
これまでもフォーラムからは一通もメールが届いていなかったのではないでしょうか？

ご指摘の通り、登録しているメールアドレスを誤記入していました・・・。こんな初歩的な過ちでdynamisさんのお手を煩わせてしまうとは、申し訳ないやら恥ずかしいやら・・・。

Quote:

えむいなさんのパスワードのみクラック以前のものに戻しますので、お手数ですがログインして、以下の作業をお願いします。

1. パスワードの変更
2. メールアドレスの変更
3. 変更した旨このトピックにレス

ご指示戴いた方法を実行し、無事再ログインできるようになりました。Thunderbird 1.0の作業でお忙しい時に、お手間を取らせて申し訳ありませんでした。

登録日: 2003年10月 05日 記事: 1744

えむいな wrote:

ご指示戴いた方法を実行し、無事再ログインできるようになりました。

それは良かったです。安心しました。

また何か困ったことがあれば遠慮なくどうぞ。
他の方もトラブってたら遠慮なくどうぞ。;-)

ゲスト

私が使っているメールサービスの仕様が変更されてskillup.jpからのメールを受け取れなくなったためにパスワードの再発行ができなくなりました
（逆引きができないところからのメールを一律拒否するようになったみたいです）。

お手数をおかけして申し訳ありませんが、えむいなさんと同様の処置をお願いします。

登録日: 2003年10月 05日 記事: 1744

tenpuru（ゲスト） wrote:

私が使っているメールサービスの仕様が変更されてskillup.jpからのメールを受け取れなくなったためにパスワードの再発行ができなくなりました
（逆引きができないところからのメールを一律拒否するようになったみたいです）。

お手数をおかけして申し訳ありませんが、えむいなさんと同様の処置をお願いします。

大変お待たせしました。
同様に28日時点でのパスワードを復旧させましたので宜しくお願いします。

プロバイダなど有料のメールサービスでは(ユーザから苦情が来るため)通常逆引きができないサーバからのメールを弾くということはしないのですが、一部の転送サービスなどは逆引き不可のサーバは一律で拒否しますね。
申し訳ありませんが、逆引き設定がされていないというのは私のサーバの仕様としてご容赦ください。

ついでに私見を述べると、逆引きの可否でサービスの対応を決めるというのは不特定多数向けのサービスにおいてはあまり適切な解だとは思いません。そうしたくなる側の気持ちや意図も分からなくはないですけど。

登録日: 2003年11月 02日 記事: 13

パスワード＆メールアドレス変更完了しました。

dynamis wrote:

ついでに私見を述べると、逆引きの可否でサービスの対応を決めるというのは不特定多数向けのサービスにおいてはあまり適切な解だとは思いません。そうしたくなる側の気持ちや意図も分からなくはないですけど。

そうですよねぇ。逆引きが不可のときは一律拒否ではなくて、ユーザの判断で拒否するかどうか選択できればいいのですが……。
何はともあれ、お手数をおかけして申し訳ありませんでした。

登録日: 2003年10月 05日 記事: 1744

tenpuru wrote:

そうですよねぇ。逆引きが不可のときは一律拒否ではなくて、ユーザの判断で拒否するかどうか選択できればいいのですが……。

実際問題としては単にサーバの迷惑メール負荷を減らしたいだけというオチがあったりして…

tenpuru wrote:

何はともあれ、お手数をおかけして申し訳ありませんでした。

いえいえ、逆引きのできるサーバ一つ用意できずに申し訳ありません。

実を言うとエラーメッセージに書かれた URL から tenpuru さんのご利用サービスに対するホワイトリスト登録の申請をしようかとも思いましたが、当該サービスによるアナウンスの文言がどうも肌に合わなかったので止めちゃいました。

更に身勝手な私見を述べれば、単一 IP で複数のドメインを扱うの一般的なことでありその場合逆引きに対応は原理的に不可能ですし、逆引き可能なサーバからのスパムメールはごく一般的なものですから、私にはそもそも迷惑メール対策の手法としてナンセンスだとしか思えません。

Quote:

インターネット、とりわけメールによるコミュニケーションの発展、維持を望むのであるなら、通信には相応のコストを掛け責任も持つべきであると考えます。

とのことですが、そういうことは拒否したメールをユーザが確認する手段を用意するとか gol.com のように設定で変更できるようにするといった程度のことをして、ユーザの必要なメールが万一にも失われてしまわないように責任を持ってコストをかけてからにして欲しいなぁ…とか思って。

大手プロバイダの類では一度そのようにしてもすぐに撤回することが多いというのが私の印象です。一番最近の例としては hi-ho でしょうか。
http://home.hi-ho.ne.jp/support/service/spam/

Quote:

なお、10月18日から実施してまいりました「ホスト名が確認できない　IPアドレスからのメールの送受信拒否」対策につきましては、サーバ上にホスト名を確認する仕組みを導入されていない事業者様がいらっしゃることが判明しましたので、11月17日より一旦、対策を解除させていただきます。

実際問題としてはスパムを撲滅できるわけでもないのに、ユーザから問い合わせや苦情が多数来てギブアップしたのではないかと勝手に想像しています。(^^;

それはさておき、個別対応を始めるときりがなくなることはやらないというのを原則としているので、メールアドレスも変更頂いたとのことですので個別対応はパスします。