今北用まとめ(2chスレッドより引用)
・東日本って人がhttp://be.2ch.net/test/sss/hoop.datのファイルを見つける
・このファイル単体では何ら意味はなさない。
・ただ、/test/sss以下の全ファイルのリストがApache(サーバーの内部ソフト)の設定ミスで見れるようになっていた。
・sss/以下にはcgi(Windowsでいうexeファイルみたいなやつ)が拡張子なしで置かれてた。つまり、そこにアクセスすれば中身が見れる。
【平成23年1月6日】
・それを見つけたモペキチが、現在動いてるcgiを探しだし、それに対してコマンドを実行。
・そのcgiも糞で、パスワードなしで2chの全キャップ入手、板移転、ファイル一覧取得も自由に出来るものだった。
・いろんな人がそのcgiを実行してサーバーから結果を得た。 それによって、誰でも板移転などやり放題、無法地帯に。
・そのcgiにもバグ(不具合)があり、そこからOSのコマンドを実行することも出来た。これにより、全部のcgiソースを見れるようになった。
・cgiは、ファイルの読み書きをするプログラム。これを使えば、ウイルスの設置からファイル削除まで可能。最悪鯖を真っ白にすることも出来た。
・このcgiのバグは全部の鯖で共通なので、過去の鯖でも実行できた。どこまでやられたかは不明。
・2chの事実上の管理人FOX★は「わしゃ何も困っていないけど?」ってことで訴える気ゼロで帰った。つまり逮捕はおそらくなし。
・復旧にはbbs.cgiから全部書き換えることが決定。翌日以降作り直すことを決めて運営陣解散。
結果的にやられたこと【平成23年1月7日時点】
・勝手に板移転。板移転のメッセージも変え放題だったので、そこにグルーポンへ飛ばすコードやウイルスやらを入れられた。
→よってブラウザを開くのは危険といわれているが、現在はそのサーバーは落ちているため無関係
・cgiが見れた上にキャップパスも流出したので書き込みし放題。2ちゃんねるのキャップは全て停止し、流出したどのキャップを入れても書き込みできない。
・キャップパスが漏れたことにより、削除やログ開示もし放題。読み書き以外のcgiはすべて停止している。
・全鯖に削除か何かするプログラムを置かれた可能性? それらのプログラムを導入する時間は十分あった。
・今回の犯人はいつものモペキチと東日本、他ROMの人多数。訴える可能性も、ある。
モペキチを中心とした流れ
ID:wHXnABCT0
,
ID:wSQOV9f90
,
ID:VGeqQgks0
,
ID:madqJPXR0
が東日本
ID:jRF8vWUZ0
,
ID:QM32uG+C0
(fusianasanで
beebee2see.com
というホストを晒している)がモペキチ
1 名前:beebee2see.com ほっけ(catv?)[] 投稿日:2011/01/06(木) 01:15:29.56 ID:EHZd0GVU0 ?PLT(18001) ポイント特典
sssp://img.2ch.net/ico/bokkiage_2.gif
特定されない範囲で
1月6日 9時 発端は東日本(◆.0GExFFEWg)
以前からクラックを行っていたと思われる
東日本
が削除人の作業時ログを発見する。
- 839. 動け動けウゴウゴ2ちゃんねる 2011/01/06(木) 09:46:12
ID:wHXnABCT0
BE:2503507695-PLT(18000)
http://ex5.2ch.net/test/****/*********.dat
http://be.2ch.net/test/******/********.dat
に,削除人のパスワードみたいなの載ってるけどいいのか?
- 852. 動け動けウゴウゴ2ちゃんねる 2011/01/06(木) 12:35:43 ID:FP5OIrolP
>>839
559 :◆NIJIx.LI/M :sage :2011/01/06(木) 12:31:30
>>554
まさしくそれは削除IDですね。
あと、そこに削除パスワードを入れると
どろんぽのような削除スクリプトが動かせます。
ちなみに削除パスワードはメールアドレスです。
どうやってこれらの重要なファイルを探しだしたかについては後に当人が"アルファベットの組み合わせ全部試したから"と語っている。
- 164. 動け動けウゴウゴ2ちゃんねる 2011/01/07(金) 16:19:19 ID:Rimp2FVuP
総当たりだよ
- 168. 動け動けウゴウゴ2ちゃんねる 2011/01/07(金) 16:22:53 ID:nw8XmhrM0
>>164
今までも総当たりしたヤツはいただろうに、
そいつには見つけることが出来ずに、
『東日本』にはなぜ見つけることが出来た???
- 212. ◆.0GExFFEWg 2011/01/07(金) 17:30:41
ID:VGeqQgks0
>>168
アルファベットの組み合わせ全部試したから
1月6日 12時 東日本がスクリプトのソースコードを晒す
- 847. 動け動けウゴウゴ2ちゃんねる 2011/01/06(木) 12:00:34
ID:wHXnABCT0
これとかヤバイな
削除スクリプトのソースコードかな
http://be.2ch.net/test/*****/************
1月6日 13時 食いつくモペキチ(beebee2see.com)
既知である削除人のメールアドレスを公開しつつソースの解析をすすめるモペキチ
- 862. beebee2see.com 2011/01/06(木) 13:11:33
ID:jRF8vWUZ0
>>847
それどこのソースコード?
誰かわかる人教えて
野鳥スレに貼られたから数時間以内に修正される可能性もあるから迅速に
- 868. beebee2see.com 2011/01/06(木) 13:34:44
ID:jRF8vWUZ0
http://qb5.2ch.net/test/read.cgi/sakud/1161172755/18
18 :Beware of Deleteness ★:2006/10/20(金) 23:20:32 ID:???0
ICQ:#***********
MSN:***********@******.com
アカウントを取得しました。よろしくお願いします。
- 870. beebee2see.com 2011/01/06(木) 13:39:16
ID:jRF8vWUZ0
時計坂の削除屋 ★ ********@******.com
削除マシーン ★ ********@*******jp
- 872. 動け動けウゴウゴ2ちゃんねる 2011/01/06(木) 13:43:19
ID:wHXnABCT0
BE:2336607476-PLT(18000)
>>870
削除マシーンの試したけど駄目だった
- 889. beebee2see.com 2011/01/06(木) 15:31:28
ID:jRF8vWUZ0
>>847のcgi本体はどこだよ
- 890. beebee2see.com 2011/01/06(木) 15:33:16
ID:jRF8vWUZ0
自己解決しました
- 893. beebee2see.com 2011/01/06(木) 15:39:13
ID:jRF8vWUZ0
sikasi.cgi
ソース見たら普通にわかることだった。
>>862とか恥ずかしい
1月6日 16時 ニュー速のスレッドが全削除される
- 898. 動け動けウゴウゴ2ちゃんねる 2011/01/06(木) 16:02:14 ID:y8l2YwpM0
既に連絡のメールを送られたので時間の問題で使えなくなる予感
http://twitter.com/tsurunokomochi/status/22907194932461568
- 900. 動け動けウゴウゴ2ちゃんねる 2011/01/06(木) 16:02:31 ID:+M4zvMwjP
阿久根市消防署の壁画が色々とヤバイ件
http://hato.2ch.net/test/read.cgi/news/1294293665/
あれここ消えた?
- 902. 動け動けウゴウゴ2ちゃんねる 2011/01/06(木) 16:03:00
ID:wSQOV9f90
BE:890135982-PLT(18000)
>>898
チクリ魔すあま死ねマジ死ね殺すわ
- 903. 動け動けウゴウゴ2ちゃんねる 2011/01/06(木) 16:04:10 ID:zyo+loJgP
高波にさらわれYouTubeにあげられた不明の高3、遺体で発見 茨城の海岸
http://hato.2ch.net/test/read.cgi/news/1294294126/
ネット初心者マジギレ「変換ミスくらい直して下さい。母国語すら満足に使えないんですか?」
http://hato.2ch.net/test/read.cgi/news/1294294998/
阿久根市消防署の壁画が色々とヤバイ件
http://hato.2ch.net/test/read.cgi/news/1294293665/
この3つ消えた?
- 918. 動け動けウゴウゴ2ちゃんねる 2011/01/06(木) 16:11:11 ID:zHWhOMCy0
>>903
このへんでなんかあったんじゃないの
>>839
>>847
- 9. beebee2see.com 2011/01/06(木) 16:19:26
ID:jRF8vWUZ0
消してる人ちょっとストップしてよ
過去のdatに戻そうぜ
- 15. 動け動けウゴウゴ2ちゃんねる 2011/01/06(木) 16:20:14
ID:wSQOV9f90
BE:333801432-PLT(18000)
>>9
あれ
モペさんじゃないの?
- 38. beebee2see.com 2011/01/06(木) 16:23:36
ID:QM32uG+C0
>>15
最初にすっきり消したのは俺だけど今は削除してない。古いdatを戻してる
- 46. beebee2see.com 2011/01/06(木) 16:24:26
ID:QM32uG+C0
削除パスなんて割れてねーよ
スクリプト見りゃ仕組みわかるだろ
- 48. 動け動けウゴウゴ2ちゃんねる 2011/01/06(木) 16:24:44
ID:wSQOV9f90
BE:3004209296-PLT(18000)
>>38
クエリください
- 50. beebee2see.com 2011/01/06(木) 16:25:08
ID:QM32uG+C0
消しまくるとバーボンハウス行くのか
串切り替えんのめんどくせえ
- 65. beebee2see.com 2011/01/06(木) 16:26:59
ID:QM32uG+C0
>>48
POSTで
id=test
pass=test
FLAG=test
JIBUN=test
↑とにかく何か送っとけば問題ない
↓ここをやりたい操作に合わせて書き直す
type=TRANSFER,
FLAG=5
work=DAT,
bbs=****
key=**********
1月6日 16時30分 モペキチが誰でもスレッドを削除することが出来るツールを公開
- 889. beebee2see.com 2011/01/06(木) 16:33:34
ID:QM32uG+C0
3分で作った削除ツール
http://www.geocities.jp/news_unyo_tool/news.html
もっと機能追加するけど今はこれだけ
ニュー速とhato.2ch.netの板のみ対応
1月6日 16時40分 2chキャップのパスワードを公開
キャップパスの所在を突き止めたモペキチは2chキャップのパスワードを公開。
様々な板で成りすましが発生し一気に祭りが加速する。
- 55. beebee2see.com 2011/01/06(木) 16:42:57
ID:QM32uG+C0
****** ここをこうするφ(061114)φ
****** 愛の結晶部屋φ(061114)φ
****** 夢の中でなら言えるφ(061114)φ
****** まつもと泉ピン子(061114)φ
****** デスティニーおまコンφ(061114)φ
****** root★
****** root★
****** 空気清浄機φ
****** 潰れかかった本屋さんφ
****** 窓際店長見習φ
****** パクス・ロマーナφ
****** 軌道電子カンタムφ
****** ぼのφ
****** ヒラリφ
****** ちぃφ
****** (。・-・)。φ
****** 佐倉蜜柑φ
****** ひ止めぼれ
****** まー@お止め組。
****** 素粒止
****** 葉桜@お止め組。
****** アリスとめ
****** 帰国止女
****** シロップ@お止め組。
****** 抜子たん@お止め組。
****** あやせ
****** 火消屋小町@お止め組。
****** 満月@お止め組。
****** ライ麦@お止め組。
****** 櫓@お止め組。
****** 一刻館@お止め組。
****** やどかり@お止め組。
****** ねね@お止め組。
****** 一乗止観院
****** らいむ@お止め組。
****** はちみつ味@お止め組。
****** おとめの世界
****** 月の水面@お止め組。
****** かすみ@お止め組。
****** 天照@お止め組。
****** 黒猫@お止め組。
****** くるる@お止め組。
****** さつきとめい
****** 南アルプス@お止め組。
****** 音止稲荷
****** マリ@お止め組。
****** うふふ@お止め組。
****** 海恵子@お止め組。
****** わたげ@お止め組。
****** 三ツ星@お止め組。
****** いづみ
****** ほくろ@お止め組。
****** 雑用@お止め組。
- 82. beebee2see.com 2011/01/06(木) 16:44:17
ID:QM32uG+C0
****** 伊賀誌φ
****** 代行記者☆
****** 焙煎特派員▲▲φ
****** PIXY
****** 番組の途中ですが名無しですか?φ
****** もぉにんぐ。☆
****** 会員No.0721
****** なおφ
****** (ο・ェ・)みっぴぃφ
****** (流れ者)
****** ブルーベリーうどんφ
****** 摂津守φ
****** さなぎいぬφ
****** カックラキン大放送φ
****** ガッキンぼんべえカギφ
****** ( ´∀`)ブン屋☆
****** マンゲのP太郎φ
****** 外道φ
****** テストマンφψ
****** UUUφ
****** 厨芥龍φ
****** 弐號★
****** ☆ばぐ太☆φ
****** 今日もイソイソ( ; ・∀・)φ
****** 削ジェンヌ▲★
1月6日 19時 モペキチがこの騒動についてニコ生で解説を始める
- 890. beebee2see.com 2011/01/06(木) 19:14:30
ID:jRF8vWUZ0
今回の騒動について解説
http://live.nicovideo.jp/watch/lv36756208
1月7日 11時 beポイントが弄られる
- 295. 動け動けウゴウゴ2ちゃんねる 2011/01/07(金) 10:46:15
ID:madqJPXR0
BE:1335204364-2BP(1)
2chのBeをsakuれるツール作ったから使っとけ
とりあえず全sakuは動いた,後のは動作確認してない
http://*******/*******.cgi
1月7日 13時 beサーバー停止
125 名前: ◆A/T2/75/82 [] 投稿日:2011/01/07(金) 13:10:45 発信元:125.55.17.119 0
ぉぉぅ saku.cgiか、
つうかbeはサーバとめるべきだー、hatoより重症
今日サーバの準備できたら新hato(ニュー速) 作ってみる
新たな旅立ちだ!
datファイルを持って来るのも実は恐いなとちょっと思ったが、どうするか、
132 名前: ◆A/T2/75/82 [] 投稿日:2011/01/07(金) 13:13:23 発信元:125.55.17.119 0
saku.cgiと同様のことが起こるから2証も全部止めよう、
stock.2ch.net
2ch.seの2台だったかな、
150 名前: ◆A/T2/75/82 [] 投稿日:2011/01/07(金) 13:25:46 発信元:125.55.17.119 0
>>132 電源断した
stock.2ch.net
2pix.2ch.se
169 名前: ◆A/T2/75/82 [] 投稿日:2011/01/07(金) 13:57:59 発信元:125.55.17.119 0
元凶はBEでしたからなぁ
何ヶ月も前から侵入されてるのにとめないから・・・
>>167
ですな
1月7日 15時 バーボンハウスが好き放題にされる
東日本が
バーボンハウス(.htaccess 規制によるアクセス規制IPを表示するページ)に任意の文字列を埋め込んでいる模様。
- 948. ◆.0GExFFEWg 2011/01/07(金) 14:34:53
ID:VGeqQgks0
好きなIPを自由にバーボン飛ばせる穴(?)とかあったけど.
- 103. ◆.0GExFFEWg 2011/01/07(金) 14:51:57
ID:VGeqQgks0
http://qb6.2ch.net/_403/c403.cgi
XSSはあったのに.script実行出来ないのが痛いが
- 133. ◆.0GExFFEWg 2011/01/07(金) 14:58:33
ID:VGeqQgks0
http://qb6.2ch.net/test/asokin/kiri.cgi?ox=19.19.0.73&key=<h1>運用家族</h1>&cow=274
今はこのcgiへはアクセスできなくなっている。
1月7日 23時 東日本が2chサーバーに新たに板を設立する
東日本はセキュリティホールが放置されていたipv6サーバーに新たに板を設立。
- 914. ◆.0GExFFEWg 2011/01/07(金) 23:03:58
ID:VGeqQgks0
新板作ったからよろしく
運用家族
http://ipv6.2ch.net/unyok/
1月8日 15時 2chキャップ持ちのメールアドレス流出
web proxyからの投稿で某スレッドへ突然投下される。
流出させたのが誰かは不明。
少し前にモペキチ使っていたweb proxyと同じであったという情報もあるが、それは広く利用されているものであったため
モペキチがやったと断定することは出来ない。
1月8日 16時 Fox氏がニュース速報板を消去
Fox氏(
◆A/T2/75/82
)がうっかりニュース速報板を消してしまう。
- 637. ◆A/T2/75/82 2011/01/08(土) 16:15:15 発信元:114.160.23.32 0
げっ しくった・・・
ニュー速消しちまった!!
- 一時的に繋がらなくなり、ログも一部失われるがすぐに復帰。
- ちなみにニュース速報+板等でスレッドを立てることができる
偽FOX ★
,
アクチョン仮面 ★
は全てFOX氏本人です。
1月9日 1時 yuzuruサーバーが改変され書き込み不能に
1月9日1時頃2chのyuzuruサーバーに書き込めないという報告が相次ぐ。
原因を調べたサーバーの管理者によりサーバー内部の情報が改変されていることが判明。
Cooks
と名乗る犯人(モペキチではない)はすぐ名乗り出て問題のあったプログラムを指摘。
2時半頃この不具合は修正される。
問題のあったプログラムは本来ならサーバー内からしか使わない非公開の物であったため脆弱性のチェックが甘く
ディレクトリトラバーサルの問題を抱えていた。
1月9日 3時 混乱はPINKちゃんねるへも波及
前述の犯人は同様の脆弱性が
PINKちゃんねるにもあると指摘。
この脆弱性を利用したPINKちゃんねるへの攻撃用URLコードが作られいろいろな場所へ貼られる。
その結果PINKちゃんねるのqiufenサーバーへの書き込みが不能となっている(9日16時頃復旧)。
1月10日 17時 bbs.cgiのソースファイルが東日本により公開される
- 1. ● ◆.0GExFFEWg 2011/01/10(月) 17:16:12.19 ID:bgB22l5l0
ソース
2ch bbs.cgi完全パック
http://************/script/tapoloda.cgi?mode=cfi&id=***********************
1月11日 2時 スクリプトの書き換えミスにより約4時間の間ほとんどの板で書き込みが不能となる
11日の2時頃から2chのほとんどのサーバーへの書き込みが不能となる。
6時頃復帰し、原因はbbs.cgiの書き換えミスであったことが判明する。
- 462. ◆cZfSunOs.U 2011/01/11(火) 06:15:21 発信元:206.223.151.75 0
こちらの bbs.cgi 書き換えミスだったようです,すみませんでした......
モペキチのニコ生
この放送主がモペキチ。
2chクラッキングについて解説を行っています。
この件に関するニュースリンク
- 運用家族でググルと東日本(鈴木タオル, ◆.0GExFFEWg) と出てくる -- (名無しさん)
2011-01-08 11:16:13
- まちBBSはそもそも2chと別物だから、大丈夫といえば大丈夫、ただシステムが似たようなものだから今回のロジックを悪用できる人間なら・・・・・ -- (名無しさん)
2011-01-08 14:14:59
- この人いまなにやってんの?まだ高校生? -- (名無しさん)
2011-01-08 16:25:07
- 今北が古かったので新しいものに変更 -- (wiki管理人)
2011-01-08 16:40:49
- 携帯から見てたんですけどまずいですか? -- (名無しさん)
2011-01-08 19:50:47
- よくやった メシウマです -- (名無しさん)
2011-01-08 20:11:10
- これを機にcgiのパーミッション設定とか、作りかけの奴とかやればいいのに。てかオンで管理とかどんだけだよw -- (名無しさん)
2011-01-08 22:08:45
- モペキチとか、絶対氏ねよ!!! -- (名無しさん)
2011-01-09 03:08:17
- この人無駄に頭は賢いと思うけど本格的なハックとかはやらないのな。 -- (名無しさん)
2011-01-09 04:42:21
- 夜中なにかあった? -- (名無しさん)
2011-01-11 12:27:02
