セキュリティー対策協議会

1 ： ◆DI7DnasM ：2002/09/16 19:26 ID:Ye9U/Uuw

荒らし対策等について話し合いましょう。

2 ：管理人 ★：2002/09/16 23:27 ID:???

（；ﾟДﾟ）ﾄﾞｷ。

3 ： ◆Z6G0yP9Q ：2002/09/17 00:26 ID:e2BH4yyA

>>1さんの趣旨と外れますが、admin.cgiを破られると怖いと思ってます
私家版改悪ではsub LoginのPrintAdminLogin()の前に「時間稼ぎ」入れてます。
buru-to force attackに効果あるのではと思いまして。

4 ：名無しさん＠０ちゃんねる：2002/09/17 23:13 ID:???

なるほど・・・。

5 ：名無しさん＠０ちゃんねる：2002/09/18 17:28 ID:m8S7m0ds

admin.cgiは任意の別ディレクトリにいれるようにした方がいいかと。

6 ：管理人 ★：2002/09/18 23:30 ID:???

管理用CGIは今ごちゃごちゃなんで、またいつかちゃんと書き直そうと思ってます。
ディレクトリはその時に簡単に設定できるようにしようと思ってます。

7 ：名無しさん＠０ちゃんねる：2002/09/22 13:57 ID:???

現在の本家のプロクシ規制について
どんな板も書き込み時にtestディレクトリにあるproxy.cgiを読み込んで
書き込もうとする人のホストがproxy.cgiにあるかどうか調べるそうです。
一致したらエラー出力です。
SETTING.TXTにBBS_PROXY_CHECK=checkedがあるとさらに厳しいプロクシ規制が行われるらしいです。

8 ：管理人 ★：2002/09/23 00:12 ID:???

>>7
情報ありがとうございます。
PROXY_CHECKがなくても毎回proxy.cgiの方は見に行っているということですかね？

9 ：名無しさん＠０ちゃんねる：2002/09/23 14:57 ID:???

>>8
BBS_PROXY_CHECKが無くても見に行っているらしいです。
proxy.cgiはアク禁も含むらしいですがアク禁リストのファイル
はどこにあるのかは分かりません。

10 ：9：2002/09/23 14:58 ID:???

×　アク禁リストのファイル
○　proxy.cgi以外のアク禁ホストが書いてあるファイル

説明不足で鬱だ・・回線（略

11 ：管理人 ★：2002/09/23 23:36 ID:???

>>9
なるほど・・・。アク禁リストは別のほうがいいですかね？
一緒にしちゃおうと（以下略
>>10
イ�`。

12 ： ◆DI7DnasM ：2002/10/05 00:32 ID:QZ0eoxKc

そういえば、にちゃんではクッキーをオフにすると
「内容の責任はすべて投稿者に帰属しますが、よろしいですか」
見たいなメッセージが表示されるのですが、
あれはクッキーかなにかで書き込み者を管理しているのですか？

13 ：管理人 ★：2002/10/05 01:00 ID:???

>>12
２ちゃんでどうやってるのかはあまり知らないんですけど、
管理まではしていないと思われ。たぶん。

14 ：名無しさん＠０ちゃんねる：2002/10/05 02:22 ID:oNZgUXaE

>>12
SPIDってのをおくっているんじゃなかったっけ？

15 ：管理人 ★：2002/10/06 01:19 ID:???

結局アク禁は串リストと一緒にしてしまいますた。

16 ： ◆DI7DnasM ：2002/10/08 22:56 ID:JFTb7I1Q

941 名前:名無し募集中。。。 投稿日:02/08/31 18:06 ID:/FHWBba4
クッキー怖いって言ってるやつは、中身見たことあるのか？
まず、SPIDがないか、期限切れの場合は、サーバーから下のような
クッキーが返ってくる。んでクッキーがないというメッセージが表示されるわけだ。
Set-Cookie: SPID=eRI2DrZM; expires=Friday‚ 01-Jan-2010 00:00:00 GMT; path=/

んで、SPIDを付けてクッキーを送り返すと、以下のようなクッキーが
おまえらのPCに保存される。
Set-Cookie: NAME=test; expires=Monday‚ 30-Sep-2002 00:00:00 GMT; path=/
Set-Cookie: MAIL=sage; expires=Monday‚ 30-Sep-2002 00:00:00 GMT; path=/
個人情報なんぞ保存されないから安心しろ。
――――――――――――――――――――――――――

よく分かりませんでしたが、クッキーを設定すると、
掲示板運営上便利なことがあるのでしょうか。
ユーザーには嫌う人も多いようですが。。。
http://qb.2ch.net/test/read.cgi/accuse/1030686382/

17 ： ◆DI7DnasM ：2002/10/08 23:01 ID:JFTb7I1Q

そういえば、投稿の際に
> 書き込みに関して様々なログ情報が記録されています。
との表示がありますが、具体的にどんなログ情報を記録（取得）できますか。

18 ：管理人 ★：2002/10/08 23:10 ID:???

>>16
＞掲示板運営上便利なことがあるのでしょうか
運営上。。。あるんでしょうかね？
訪問者の管理したい時とかは使えるかもです。

>>17
ここではリモホの一部を取得・保存して連続投稿等の規制に使用しています。

19 ：名無しさん＠０ちゃんねる：2002/10/09 23:32 ID:VZ5yh.nk

>>16
連続投稿系スクリプトが使えなくなるようにクッキーにSPIDをつけますた
　　↓
連続投稿系スクリプトがバージョンうp
　　↓
意味ねー

かとおもわれ＞２ｃｈ

20 ：管理人 ★：2002/10/11 03:44 ID:???

>>19
ﾅﾙﾎﾄﾞ。そうだったんだ・・・。

21 ：◆NwKUDJew ：2003/03/28 15:41 ID:2XHm0bj2

管理用パスを破られるのが怖い人は管理用のスクリプトにBASIC認証を
使えばとりあえず良いかと。

BBS一個乗っ取るのにBASIC認証の分のパスと、管理用CGIのログイン用のパス
の二つをわざわざ破ろうとする人は少ないかと。

多分それ位しておけば、もっとセキュリティーの薄いとこを
狙いにいくんじゃないですかね？
クラッカーなんて特定の個人に標的を定めてやることは少ないと思いますし。

22 ：7M.＠携帯：2003/03/28 19:52 ID:9aLrEKgA

cgiファイルに記述するパスをくりぷとしちゃう、てのはどーかな(教科書読み上げ風に

23 ：名無しさん＠０ちゃんねる：2003/03/28 20:49 ID:biiyHc5g

.htaccessでいいんじゃん

24 ：名無しさん＠０ちゃんねる：2003/04/02 10:47 ID:qNymgKXw

　 　 　 　 　 　 　　,.-､
　 　 　　　　　　　/.ｎ ｌ 　/⌒ヽ
　 　 　 　 　 　 　| ｌ ｌ |　,' /7 ,'
　　　　　　　　,　''　｀ ｰ ' '-' /
　　　　　　　/ 　､_, 　 　 　　｀ヽ
　 　 　 　 　ｌ 　　, .-. ､｀´ 　　　l
　 　 　 　 　ヽ 　ヽ￣ﾌ 　　　　/ やっぱもろ〜〜〜！
　　　　　　　　丶､￣＿_＿_,／
　 　　　　　　　／ 　,. - 、 　） http://www.media-0.com/www/dvd01/index1.htm
　 　　　　（(　（　ｎ （[Ｎ],ハ_う
　 　　　　　　　ゝ)ﾉ　￣ 　 ヽ
　 　 　 　 　 　　/ 　 ＿ 　　l　)）
　 　 　 　 　 　 〈__ﾉ´ 　 ｀(_ﾉ

25 ：◆u2Fdque. ：2003/04/18 16:16 ID:???

こんなﾄﾘﾌﾟでお邪魔しておりますが、

26 ：◆z/F4.O5s ：2003/04/18 16:19 ID:FleZc5iE

実際はこのﾄﾘﾌﾟで某板生息中の>>25です。
某板避難所を運営しとるんですが、連投スクリプトにやられております…。
proxy.cgiだけじゃ埒があかないので、2ch風味に.htaccessを
testディレクトリに置いてます。
.jp以外を弾くという荒技しか思い付かなかった (´Д⊂ヽ
（.netの国内ISPはわかる限り調べて許可）

スクリプトはしょーがないのかなぁ、もう。(´･ω･`)ｼｮﾎﾞｰﾝ

27 ：7M. ◆7M./4Uw. ：2003/04/18 20:31 ID:???

ぷろくし規制ってひけないんだっけ？
多少違うと思うんだけど…＞スクリプト荒らし

28 ：名無しさん＠０ちゃんねる：2003/05/03 13:04 ID:wRgbb/Dg

突然失礼します。2ちゃんでは
>現在、荒らし対策でクッキーを設定していないと書きこみできないようにしています。
>(cookieを設定するとこの画面はでなくなります。)
ということになっているようですが、こっちではどうなりますか？

29 ：名無しさん＠０ちゃんねる：2003/05/05 18:42 ID:???

>>26
>（.netの国内ISPはわかる限り調べて許可）
よろしかったら教えてください

30 ：◆z/F4.O5s ：2003/05/08 02:48 ID:???

>>29
order deny,allow
deny from all
allow from .jp
allow from .bbtec.net # Yahoo BB
allow from .il24.net # Interlink
allow from .shes.net # Shes.net
allow from .nara-i.net # nara-i.net
allow from .isao.net # isao.net
allow from .jca.apc.org # JCA-NETサービス
allow from .suwanet.net # すわインターネット
allow from .manbou-net.com # マンボウネット
allow from .kagoya.net # Kagoya Internet Routing
allow from .attglobal.net # AT&Tビジネスインターネットサービス

こんなんですが。他にもあったら寧ろこちらが教えて戴きたい次第w

31 ：名無しさん＠０ちゃんねる：2003/05/09 16:07 ID:???

>>30
参考になります。
どうもありが�dございました。

32 ：名無しさん＠０ちゃんねる：2003/05/12 23:39 ID:???

>>30
allow from .ne.jp
にしたほうがいいと思われ

33 ：名無しさん＠０ちゃんねる：2003/05/12 23:41 ID:???

>>32
なんで？

34 ：◆z/F4.O5s ：2003/05/21 00:28 ID:???

>>32
すると.ac.jpとかも蹴っちゃうんですよね？
大学生可哀相かなー、とか。w
でもそうした方が良いのかな……。

35 ：名無しさん＠０ちゃんねる：2003/05/23 02:48 ID:???

>>34
.ac.jpも許可したら良いんじゃないでしょうか。

36 ：◆z/F4.O5s ：2003/05/24 15:10 ID:???

>>35
いやまぁ、そうなんですが。w

一時ahooで書き込めないと言われていぢり倒したらXrea側の問題だった罠。_|￣|○

37 ：名無しさん＠ぜろちゃんねる：03/10/15 22:37 ID:4bJwXi+M

>>5-6
admin.cgiのアクセスログ機能がほすぃいです。

38 ：名無しさん＠ぜろちゃんねる：03/10/16 16:47 ID:???

[c=red]∀[/c]

39 ：名無しさん＠ぜろちゃんねる：03/11/21 18:16 ID:???

0chスクリプトの使用を考えているのですが、
megabbsやアッhan初期にあったような
「任意のコマンドを実行、サーバファイルの削除・読取」などの
汚染コードに対する対策等は取られておりますでしょうか。

例
http://www.kokobbs.com/ahhan/cgi/security_hole/
http://www.ansi.co.jp/tech/cgi/security/advisories/

40 ：名無しさん＠ぜろちゃんねる：03/11/21 18:32 ID:???

>>39
ソース読みなよ
わからないレベルなら聞きかじりで話題にする必要はない

41 ：名無しさん＠ぜろちゃんねる：03/11/21 19:39 ID:???

>>40
読みましたが…一応職業プログラマーです。

42 ：名無しさん＠ぜろちゃんねる：03/11/21 23:41 ID:???

>>41
読んだけど分からなかったって素直に言えよ。

43 ：あぼーん：あぼーん

あぼーん

44 ：あぼーん：あぼーん

あぼーん

45 ：あぼーん：あぼーん

あぼーん

46 ：あぼーん：あぼーん

あぼーん

47 ：あぼーん：あぼーん

あぼーん

48 ：あぼーん：あぼーん

あぼーん