こんにちは。500mL(@JP3LHW)です。
これはまんがタイムきらら Advent Calender 2017(https://adventar.org/calendars/2185)の10日目の記事です。
アドベントカレンダーの参加者を見る限り技術力のある諸兄ばっかりで怖いです。つまらない内容及び間違いがあるかもしれませんがゆるして

タイトルにある通りきららweb(http://dokidokivisual.com/)の解析をします。

きららwebのシステムについて

兎にも角にもまずはIPアドレスですよ。nslookupコマンドで見ました。

C:\Users\500ml>nslookup dokidokivisual.com
サーバー: 省略
Address: 省略

権限のない回答:
名前: dokidokivisual.com
Address: 133.242.83[dot]95

といった感じでIPが133.242.83[dot]95であることが分かったので、とりあえずCensys(https://censys.io/)とShodan(https://www.shodan.io/)で検索をかけました。
こんな感じです。
Censys

Shodan

そしてこれで分かった情報がこちら

• IPアドレスは133.242.83[dot]95

• さくらインターネットがホストしてる（多分さくらVPS）

• CentOS-Apache-MySQL-PHPのごく一般的なLAMP構成

• メールサーバーも同IPでホストしている（多分仕事用？）

• きららweb自体はHTTPなのにHTTPSのSSL用に443番ポートが開いてる

• sshのポートがデフォルトの22番（ボットの攻撃に遭いかねないので良くない）

とまあこんな感じです。
ここまでの調査ではちょっと良くないorよくわかんないみたいな感じですが、ここからどんどん悪くなっていきますよ～

きららwebの問題点

ここからは調査して分かった問題点を挙げていきます

システムのバージョンが古すぎる

• Apache httpd
  （簡単な前置き）Apache httpdはパソコンにインストールすればwebページを公開できるソフトだよ

先ほどの調査で、Apache httpdのバージョンは2.2.15だと分かりました。（2017年12月10日における最新安定版は2.4.19）
CVE details(https://www.cvedetails.com/)で報告されている脆弱性を検索したところ、案の定当てはまるのがわんさか出てきました。
多すぎるので割愛しますが、DoS攻撃の脆弱性はもちろん、外部コード実行や認証バイパスもあります。
危険度のスコア（10点満点）が10.0の脆弱性も見つかっているようです。よくないね。

• OpenSSH
  （簡単な前置き）OpenSSHは遠くのパソコンをインターネットを介して操作できるソフトだよ　手元にサーバーを設置するのは大変だからね　アウトソーシングだよ

Apache httpdと同様に先ほどの調査でOpenSSHのバージョンは5.2であることが判明しています。（最新は7.6）
また同様にCVE detailsで検索しましたところ、Apache httpdよりは少ないものの、やはり認証バイパスがあります。
ソフトウェアがソフトウェアだけに遠隔操作の危険を孕んでいるのは怖いですね。アップデートしてほしい。（ちなみに5.2は2009年リリース）

• vsftpd （簡単な前置き）vsftpdはファイルサーバー用のソフトだよ

正直これは目くじら立てて言うほどでもないかもしれませんが、vsftpd2.2.2が対象となる脆弱性を同じように検索したところDoSと認証バイパスの2つしかありませんでした。さすがはVery Secureと名前に冠しているだけありますね。よかったね。（よくないよ）

実装した人が403 forbiddenを知らない（であろうと思われる）

forbidは禁止するの意です。（知ってるだろうけども）

基本的にインターネットには公開したくないページはアクセス禁止とすることができる（サーバからはアクセスしたいが、閲覧する人には見られたくない時など）のですが、そういうのはありません。太っ腹ですね。（よくない）
なので、サーバーがアクセスする権限のあるファイル、フォルダにはすべてアクセスできます。（後述を除く）
きららweb上でただ自由にアクセスができず、ログイン認証しないといけないのはdokidokivisual.com/admin/です。

すごいですね。コントロール部と重要データが入ってそうなところしか守ってないんですよ。人間でいえば全裸でヘルメットだけかぶってるみたいなもんですよ。
あとログインフォームのURLがあまりにも明示的なのは確実に良くないです。僕も推測でアクセスしたら見つけましたので。
そんな全裸ヘルメットのきららwebから、ここまでこの記事を読んでいただいた皆様にお土産があります。

Souvenir

• 配信終了済みの壁紙 きららwebでは時折期間限定で壁紙を配信しておりますが、ダウンロードし逃したり、ダウンロードしたデータを無くしたりしてつらい気持ちになった経験はございませんか？
  壁紙はdokidokivisual.com/wall_paper/img/なんちゃら.jpgという感じのURLにおいてあり、前述したフォルダに自由にアクセスできるということを考慮すると…
  
  なんだこれは…（たまげません）
  といった感じで配信終了済みの壁紙が手に入ります。

まとめ

• システムが古すぎて、クラッカーなどに攻撃される危険性があるので更新してほしい。（もしくはいっそのこと丸々リニューアルしてほしい）

• SSHのポートは22番以外にしてほしい。使ってないんなら無駄なポート（443番のこと）は閉じた方がいい。

• GoogleがHTTPS（SSL）化を推奨してるので、是非検討してほしい（このブログもだけども）

• 不正アクセス禁止法で捕まるからパスワードの解析はやめてね

おまけの小ネタ

• dokidokivisual.com/excuse/に特殊なお知らせ一覧が入ってる

• dokidokivisual.com/magic_of_stella/にはSNS部公式ウェブサイトがあり、こちらはforbidden等の設定がされていてちゃんとしてる（くろば先生がPHPをお書きになっているのでしょうか？）

• dokidokivisual.com/comics/book/actibook/なんちゃら/books/images/以下にはきららweb上の試し読みデータが入ってる