・東日本って人がhttp://be.2ch.net/test/sss/hoop.datのファイルを見つける
・このファイル単体では何ら意味はなさない。
・ただ、/test/sss以下の全ファイルのリストがApache（サーバーの内部ソフト）の設定ミスで見れるようになっていた。
・sss/以下にはcgi（Windowsでいうexeファイルみたいなやつ）が拡張子なしで置かれてた。つまり、そこにアクセスすれば中身が見れる。
【平成23年1月6日】
・それを見つけたモペキチが、現在動いてるcgiを探しだし、それに対してコマンドを実行。
・そのcgiも糞で、パスワードなしで2chの全キャップ入手、板移転、ファイル一覧取得も自由に出来るものだった。
・いろんな人がそのcgiを実行してサーバーから結果を得た。　それによって、誰でも板移転などやり放題、無法地帯に。
・そのcgiにもバグ（不具合）があり、そこからOSのコマンドを実行することも出来た。これにより、全部のcgiソースを見れるようになった。
・cgiは、ファイルの読み書きをするプログラム。これを使えば、ウイルスの設置からファイル削除まで可能。最悪鯖を真っ白にすることも出来た。
・このcgiのバグは全部の鯖で共通なので、過去の鯖でも実行できた。どこまでやられたかは不明。
・2chの事実上の管理人FOX★は「わしゃ何も困っていないけど?」ってことで訴える気ゼロで帰った。つまり逮捕はおそらくなし。
・復旧にはbbs.cgiから全部書き換えることが決定。翌日以降作り直すことを決めて運営陣解散。

結果的にやられたこと【平成23年1月7日時点】
・勝手に板移転。板移転のメッセージも変え放題だったので、そこにグルーポンへ飛ばすコードやウイルスやらを入れられた。
→よってブラウザを開くのは危険といわれているが、現在はそのサーバーは落ちているため無関係
・cgiが見れた上にキャップパスも流出したので書き込みし放題。２ちゃんねるのキャップは全て停止し、流出したどのキャップを入れても書き込みできない。
・キャップパスが漏れたことにより、削除やログ開示もし放題。読み書き以外のcgiはすべて停止している。
・全鯖に削除か何かするプログラムを置かれた可能性？　それらのプログラムを導入する時間は十分あった。
・今回の犯人はいつものモペキチと東日本、他ROMの人多数。訴える可能性も、ある。

モペキチを中心とした流れ

ID:wHXnABCT0 , ID:wSQOV9f90 , ID:VGeqQgks0 , ID:madqJPXR0 が東日本
ID:jRF8vWUZ0 , ID:QM32uG+C0 （fusianasanで beebee2see.com というホストを晒している）がモペキチ

beebee2see.com (182.48.59.23)というのはモペキチが契約している

サクラVPS(仮想専用サーバー)に設定されたホスト名。

余談だがこのホスト名はBB2CというiPhone専用2chブラウザの作者を騙るためのもので
作者のブログを偽装するなど過去数年にわたり幾度も粘着を行っている。
→BB2Cへの嫌がらせ
→

BB2C作者だけど質問ある？

1 名前：beebee2see.com ほっけ(catv?)[] 投稿日：2011/01/06(木) 01:15:29.56 ID:EHZd0GVU0 ?PLT(18001) ポイント特典
sssp://img.2ch.net/ico/bokkiage_2.gif
特定されない範囲で

1月6日 9時発端は東日本(◆.0GExFFEWg)

以前からクラックを行っていたと思われる東日本が削除人の作業時ログを発見する。

839. 動け動けウゴウゴ２ちゃんねる 2011/01/06(木) 09:46:12 ID:wHXnABCT0 BE:2503507695-PLT(18000)

http://ex5.2ch.net/test/****/*********.dat
http://be.2ch.net/test/******/********.dat
に，削除人のパスワードみたいなの載ってるけどいいのか？

852. 動け動けウゴウゴ２ちゃんねる 2011/01/06(木) 12:35:43 ID:FP5OIrolP

>>839
559 :◆NIJIx.LI/M :sage :2011/01/06(木) 12:31:30

>>554
まさしくそれは削除ＩＤですね。
あと、そこに削除パスワードを入れると
どろんぽのような削除スクリプトが動かせます。
ちなみに削除パスワードはメールアドレスです。

どうやってこれらの重要なファイルを探しだしたかについては後に当人が"アルファベットの組み合わせ全部試したから"と語っている。

164. 動け動けウゴウゴ２ちゃんねる 2011/01/07(金) 16:19:19 ID:Rimp2FVuP

総当たりだよ

168. 動け動けウゴウゴ２ちゃんねる 2011/01/07(金) 16:22:53 ID:nw8XmhrM0

>>164
今までも総当たりしたヤツはいただろうに、

そいつには見つけることが出来ずに、

『東日本』にはなぜ見つけることが出来た？？？

212. ◆.0GExFFEWg 2011/01/07(金) 17:30:41 ID:VGeqQgks0

>>168
アルファベットの組み合わせ全部試したから

1月6日 12時東日本がスクリプトのソースコードを晒す

847. 動け動けウゴウゴ２ちゃんねる 2011/01/06(木) 12:00:34 ID:wHXnABCT0

これとかヤバイな
削除スクリプトのソースコードかな

http://be.2ch.net/test/*****/************

1月6日 13時食いつくモペキチ(beebee2see.com)

既知である削除人のメールアドレスを公開しつつソースの解析をすすめるモペキチ

862. beebee2see.com 2011/01/06(木) 13:11:33 ID:jRF8vWUZ0

>>847
それどこのソースコード？
誰かわかる人教えて
野鳥スレに貼られたから数時間以内に修正される可能性もあるから迅速に

868. beebee2see.com 2011/01/06(木) 13:34:44 ID:jRF8vWUZ0

http://qb5.2ch.net/test/read.cgi/sakud/1161172755/18
18 ：Beware of Deleteness ★：2006/10/20(金) 23:20:32 ID:???0
ICQ:#***********
MSN:***********@******.com
アカウントを取得しました。よろしくお願いします。

870. beebee2see.com 2011/01/06(木) 13:39:16 ID:jRF8vWUZ0

時計坂の削除屋 ★ ********@******.com
削除マシーン ★ ********@*******jp

872. 動け動けウゴウゴ２ちゃんねる 2011/01/06(木) 13:43:19 ID:wHXnABCT0 BE:2336607476-PLT(18000)

>>870
削除マシーンの試したけど駄目だった

889. beebee2see.com 2011/01/06(木) 15:31:28 ID:jRF8vWUZ0

>>847のcgi本体はどこだよ

890. beebee2see.com 2011/01/06(木) 15:33:16 ID:jRF8vWUZ0

自己解決しました

893. beebee2see.com 2011/01/06(木) 15:39:13 ID:jRF8vWUZ0

sikasi.cgi
ソース見たら普通にわかることだった。
>>862とか恥ずかしい

1月6日 16時ニュー速のスレッドが全削除される

898. 動け動けウゴウゴ２ちゃんねる 2011/01/06(木) 16:02:14 ID:y8l2YwpM0

既に連絡のメールを送られたので時間の問題で使えなくなる予感
http://twitter.com/tsurunokomochi/status/22907194932461568

900. 動け動けウゴウゴ２ちゃんねる 2011/01/06(木) 16:02:31 ID:+M4zvMwjP

阿久根市消防署の壁画が色々とヤバイ件
http://hato.2ch.net/test/read.cgi/news/1294293665/

あれここ消えた？

902. 動け動けウゴウゴ２ちゃんねる 2011/01/06(木) 16:03:00 ID:wSQOV9f90 BE:890135982-PLT(18000)

>>898
チクリ魔すあま死ねマジ死ね殺すわ

903. 動け動けウゴウゴ２ちゃんねる 2011/01/06(木) 16:04:10 ID:zyo+loJgP

高波にさらわれYouTubeにあげられた不明の高３、遺体で発見茨城の海岸
http://hato.2ch.net/test/read.cgi/news/1294294126/
ネット初心者マジギレ「変換ミスくらい直して下さい。母国語すら満足に使えないんですか？」
http://hato.2ch.net/test/read.cgi/news/1294294998/
阿久根市消防署の壁画が色々とヤバイ件
http://hato.2ch.net/test/read.cgi/news/1294293665/

この3つ消えた？

918. 動け動けウゴウゴ２ちゃんねる 2011/01/06(木) 16:11:11 ID:zHWhOMCy0

>>903
このへんでなんかあったんじゃないの
>>839
>>847

9. beebee2see.com 2011/01/06(木) 16:19:26 ID:jRF8vWUZ0

消してる人ちょっとストップしてよ
過去のdatに戻そうぜ

15. 動け動けウゴウゴ２ちゃんねる 2011/01/06(木) 16:20:14 ID:wSQOV9f90 BE:333801432-PLT(18000)

>>9
あれ
モペさんじゃないの？

38. beebee2see.com 2011/01/06(木) 16:23:36 ID:QM32uG+C0

>>15
最初にすっきり消したのは俺だけど今は削除してない。古いdatを戻してる

46. beebee2see.com 2011/01/06(木) 16:24:26 ID:QM32uG+C0

削除パスなんて割れてねーよ
スクリプト見りゃ仕組みわかるだろ

48. 動け動けウゴウゴ２ちゃんねる 2011/01/06(木) 16:24:44 ID:wSQOV9f90 BE:3004209296-PLT(18000)

>>38
クエリください

50. beebee2see.com 2011/01/06(木) 16:25:08 ID:QM32uG+C0

消しまくるとバーボンハウス行くのか
串切り替えんのめんどくせえ

65. beebee2see.com 2011/01/06(木) 16:26:59 ID:QM32uG+C0

>>48
POSTで
id=test
pass=test
FLAG=test
JIBUN=test
↑とにかく何か送っとけば問題ない

↓ここをやりたい操作に合わせて書き直す
type=TRANSFER,
FLAG=5
work=DAT,
bbs=****
key=**********

1月6日 16時30分モペキチが誰でもスレッドを削除することが出来るツールを公開

889. beebee2see.com 2011/01/06(木) 16:33:34 ID:QM32uG+C0

3分で作った削除ツール
http://www.geocities.jp/news_unyo_tool/news.html

もっと機能追加するけど今はこれだけ
ニュー速とhato.2ch.netの板のみ対応

1月6日 16時40分 2chキャップのパスワードを公開

キャップパスの所在を突き止めたモペキチは2chキャップのパスワードを公開。
様々な板で成りすましが発生し一気に祭りが加速する。

55. beebee2see.com 2011/01/06(木) 16:42:57 ID:QM32uG+C0

****** ここをこうするφ(061114)φ
****** 愛の結晶部屋φ(061114)φ
****** 夢の中でなら言えるφ(061114)φ
****** まつもと泉ピン子(061114)φ
****** デスティニーおまコンφ(061114)φ
****** root★
****** root★
****** 空気清浄機φ
****** 潰れかかった本屋さんφ
****** 窓際店長見習φ
****** パクス・ロマーナφ
****** 軌道電子カンタムφ
****** ぼのφ
****** ヒラリφ
****** ちぃφ
****** （｡・-・）｡φ
****** 佐倉蜜柑φ
****** ひ止めぼれ
****** まー＠お止め組。
****** 素粒止
****** 葉桜＠お止め組。
****** アリスとめ
****** 帰国止女
****** シロップ＠お止め組。
****** 抜子たん＠お止め組。
****** あやせ
****** 火消屋小町＠お止め組。
****** 満月＠お止め組。
****** ライ麦＠お止め組。
****** 櫓＠お止め組。
****** 一刻館＠お止め組。
****** やどかり＠お止め組。
****** ねね＠お止め組。
****** 一乗止観院
****** らいむ＠お止め組。
****** はちみつ味＠お止め組。
****** おとめの世界
****** 月の水面＠お止め組。
****** かすみ＠お止め組。
****** 天照＠お止め組。
****** 黒猫＠お止め組。
****** くるる＠お止め組。
****** さつきとめい
****** 南アルプス＠お止め組。
****** 音止稲荷
****** マリ＠お止め組。
****** うふふ＠お止め組。
****** 海恵子＠お止め組。
****** わたげ＠お止め組。
****** 三ツ星＠お止め組。
****** いづみ
****** ほくろ＠お止め組。
****** 雑用＠お止め組。

82. beebee2see.com 2011/01/06(木) 16:44:17 ID:QM32uG+C0

****** 伊賀誌φ
****** 代行記者☆
****** 焙煎特派員▲▲φ
****** PIXY
****** 番組の途中ですが名無しですか？φ
****** もぉにんぐ。☆
****** 会員No.0721
****** なおφ
****** (ο・ェ・)みっぴぃφ
****** （流れ者）
****** ブルーベリーうどんφ
****** 摂津守φ
****** さなぎいぬφ
****** カックラキン大放送φ
****** ガッキンぼんべえカギφ
****** （ ´∀｀）ブン屋☆
****** マンゲのP太郎φ
****** 外道φ
****** テストマンφψ
****** UUUφ
****** 厨芥龍φ
****** 弐號★
****** ☆ばぐ太☆φ
****** 今日もイソイソ（；・∀・）φ
****** 削ジェンヌ▲★

1月6日 19時モペキチがこの騒動についてニコ生で解説を始める

890. beebee2see.com 2011/01/06(木) 19:14:30 ID:jRF8vWUZ0

今回の騒動について解説
http://live.nicovideo.jp/watch/lv36756208

1月7日 11時 beポイントが弄られる

東日本がbeポイントを操作できるツールを公開。

元２ちゃんねる管理人ひろゆき氏のbeも操作される。

295. 動け動けウゴウゴ２ちゃんねる 2011/01/07(金) 10:46:15 ID:madqJPXR0 BE:1335204364-2BP(1)

2chのBeをsakuれるツール作ったから使っとけ
とりあえず全sakuは動いた，後のは動作確認してない

http://*******/*******.cgi

1月7日 13時 beサーバー停止

ついに半年前から連続で侵入され続けていた、流出の大元であるbeのサーバー(ニコ生で不正アクセスの実況,beポイント無限増殖参照)が停止。
→

http://be.2ch.net/ (yabaiとだけ表示)

125 名前： ◆A/T2/75/82 [] 投稿日：2011/01/07(金) 13:10:45 発信元:125.55.17.119 0
ぉぉぅ　saku.cgiか、
つうかbeはサーバとめるべきだー、hatoより重症

今日サーバの準備できたら新hato(ニュー速) 作ってみる
新たな旅立ちだ!

datファイルを持って来るのも実は恐いなとちょっと思ったが、どうするか、

132 名前： ◆A/T2/75/82 [] 投稿日：2011/01/07(金) 13:13:23 発信元:125.55.17.119 0
saku.cgiと同様のことが起こるから２証も全部止めよう、

stock.2ch.net
2ch.seの２台だったかな、

150 名前： ◆A/T2/75/82 [] 投稿日：2011/01/07(金) 13:25:46 発信元:125.55.17.119 0
>>132 電源断した

stock.2ch.net
2pix.2ch.se

169 名前： ◆A/T2/75/82 [] 投稿日：2011/01/07(金) 13:57:59 発信元:125.55.17.119 0
元凶はBEでしたからなぁ
何ヶ月も前から侵入されてるのにとめないから・・・

>>167
ですな

1月7日 15時バーボンハウスが好き放題にされる

東日本が

バーボンハウス（.htaccess 規制によるアクセス規制IPを表示するページ）に任意の文字列を埋め込んでいる模様。

948. ◆.0GExFFEWg 2011/01/07(金) 14:34:53 ID:VGeqQgks0

好きなIPを自由にバーボン飛ばせる穴（？）とかあったけど．

103. ◆.0GExFFEWg 2011/01/07(金) 14:51:57 ID:VGeqQgks0

http://qb6.2ch.net/_403/c403.cgi
XSSはあったのに．script実行出来ないのが痛いが

133. ◆.0GExFFEWg 2011/01/07(金) 14:58:33 ID:VGeqQgks0

http://qb6.2ch.net/test/asokin/kiri.cgi?ox=19.19.0.73&key=<h1>運用家族</h1>&cow=274

今はこのcgiへはアクセスできなくなっている。

実際の表示

1月7日 23時東日本が2chサーバーに新たに板を設立する

東日本はセキュリティホールが放置されていたipv6サーバーに新たに板を設立。

914. ◆.0GExFFEWg 2011/01/07(金) 23:03:58 ID:VGeqQgks0

新板作ったからよろしく

運用家族
http://ipv6.2ch.net/unyok/

当然のことながら20分後運営により削除される。

1月8日 15時 2chキャップ持ちのメールアドレス流出

web proxyからの投稿で某スレッドへ突然投下される。

流出させたのが誰かは不明。

少し前にモペキチ使っていたweb proxyと同じであったという情報もあるが、それは広く利用されているものであったため
モペキチがやったと断定することは出来ない。

1月8日 16時 Fox氏がニュース速報板を消去

Fox氏( ◆A/T2/75/82 )がうっかりニュース速報板を消してしまう。

637. ◆A/T2/75/82 2011/01/08(土) 16:15:15 発信元:114.160.23.32 0

げっしくった・・・

ニュー速消しちまった!!

一時的に繋がらなくなり、ログも一部失われるがすぐに復帰。
ちなみにニュース速報+板等でスレッドを立てることができる偽FOX ★ , アクチョン仮面 ★ は全てFOX氏本人です。

1月9日 1時 yuzuruサーバーが改変され書き込み不能に

1月9日1時頃2chのyuzuruサーバーに書き込めないという報告が相次ぐ。
原因を調べたサーバーの管理者によりサーバー内部の情報が改変されていることが判明。

Cooks と名乗る犯人(モペキチではない)はすぐ名乗り出て問題のあったプログラムを指摘。
2時半頃この不具合は修正される。

問題のあったプログラムは本来ならサーバー内からしか使わない非公開の物であったため脆弱性のチェックが甘く
ディレクトリトラバーサルの問題を抱えていた。

1月9日 3時混乱はPINKちゃんねるへも波及

前述の犯人は同様の脆弱性が

PINKちゃんねるにもあると指摘。
この脆弱性を利用したPINKちゃんねるへの攻撃用URLコードが作られいろいろな場所へ貼られる。

その結果PINKちゃんねるのqiufenサーバーへの書き込みが不能となっている(9日16時頃復旧)。

1月10日 17時 bbs.cgiのソースファイルが東日本により公開される

1. ● ◆.0GExFFEWg 2011/01/10(月) 17:16:12.19 ID:bgB22l5l0

ソース

2ch bbs.cgi完全パック
http://************/script/tapoloda.cgi?mode=cfi&id=***********************