アカウント名:
パスワード:
リンク先とか、一通り見たけど、情弱には、サブジェクトの感想しか持ち得なかった。
vaservのトップページ [vaserv.com]が悲惨なのだけ分かった。// アクセス自体には、セキュリティリスクは無いようだけど、// リンク踏むのは自己責任で
// なんていうか「カオス」としか言えないような
私はHypervmがどういうものなのか,よく分からなかったのだけどこの事件は便利なwebベースで管理する仮想化ソフトのコンソール(?)が外(Internet)に繋がってて攻撃を受けたという理解で宜しいのでしょうか?素人目にも危なっかしいシステム構成のような気がしますが,ユーザーがInternet経由で自分のホスト/仮想マシンの管理が出来る,だからサーバー屋さんは管理コストを削ってレンタルサーバーのお値段がお安くなる,なのでいろんなところで使われていたということなのかな?
>webベースで管理する仮想化ソフトのコンソール(?)が外(Internet)に繋がってこれは、恐らくそんな感じだったんじゃないですかね?Takahacircus氏のコメントにあるように、類似のサイトも、世間には割と存在するのかも知れません。
セキュリティ的にどうよ? といえば、確かにヤバゲかもしんないけど、それはそれでアリじゃないっすか?サーバ設置した現場と、サイトと専用回線張った端末だけでしか触れないていうのは、セキュアっちゃあセキュアだけど、やっぱ不便だしょ。
それに、運用がしっかりしていれば、ある程度のセキュリティは担保できるんじゃないでしょうかね?「しっかりした運用」なんてモノが、ほいほい実現できるなら、この世にウェブ上のトラブルなんて、存在しないはずだけど。
アタックの実際は、私にはトンと分からないです。「ゆるいパスワード使ってたんだろ」みたいなツッコミもあったぽいけど、vaservは「違うよ、全然違うよ [theregister.co.uk]」って言ってるみたいです。いや、ま、本当に違うのかどうかは分かんないけど。
ちょっと興味深いのは、registerに「"rm -rf"が発行できる程の権限を奪われた」みたいな記述があるので、運用中のサイトで、本当に "rm -rf" をぶちかました稀有な実例だったのかもしれません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
ナニが何やらワケわかめ (スコア:1)
リンク先とか、一通り見たけど、
情弱には、サブジェクトの感想しか持ち得なかった。
vaservのトップページ [vaserv.com]が悲惨なのだけ分かった。
// アクセス自体には、セキュリティリスクは無いようだけど、
// リンク踏むのは自己責任で
// なんていうか「カオス」としか言えないような
Re: (スコア:0)
私はHypervmがどういうものなのか,よく分からなかったのだけど
この事件は便利なwebベースで管理する仮想化ソフトのコンソール(?)が外(Internet)に繋がってて攻撃を受けたという理解で宜しいのでしょうか?
素人目にも危なっかしいシステム構成のような気がしますが,ユーザーがInternet経由で自分のホスト/仮想マシンの管理が出来る,だからサーバー屋さんは管理コストを削ってレンタルサーバーのお値段がお安くなる,なのでいろんなところで使われていたということなのかな?
Re:ナニが何やらワケわかめ (スコア:2, 興味深い)
>webベースで管理する仮想化ソフトのコンソール(?)が外(Internet)に繋がって
これは、恐らくそんな感じだったんじゃないですかね?
Takahacircus氏のコメントにあるように、
類似のサイトも、世間には割と存在するのかも知れません。
セキュリティ的にどうよ? といえば、
確かにヤバゲかもしんないけど、それはそれでアリじゃないっすか?
サーバ設置した現場と、サイトと専用回線張った端末だけでしか触れない
ていうのは、セキュアっちゃあセキュアだけど、やっぱ不便だしょ。
それに、運用がしっかりしていれば、ある程度のセキュリティは
担保できるんじゃないでしょうかね?
「しっかりした運用」なんてモノが、ほいほい実現できるなら、
この世にウェブ上のトラブルなんて、存在しないはずだけど。
アタックの実際は、私にはトンと分からないです。
「ゆるいパスワード使ってたんだろ」みたいなツッコミもあったぽいけど、
vaservは「違うよ、全然違うよ [theregister.co.uk]」って言ってるみたいです。
いや、ま、本当に違うのかどうかは分かんないけど。
ちょっと興味深いのは、registerに「"rm -rf"が発行できる程の権限を奪われた」
みたいな記述があるので、運用中のサイトで、本当に "rm -rf" をぶちかました
稀有な実例だったのかもしれません。
Re:ナニが何やらワケわかめ (スコア:1)
>「ゆるいパスワード使ってたんだろ」みたいなツッコミもあったぽいけど、
>vaservは「違うよ、全然違うよ」って言ってるみたいです。
パスワードがゆるかろうとゆるくなかろうと、
全通りアタックされればいずれは解けちゃうわけで、
アタックへの監視がゆるかったという話ではないかな。
言い訳がなんかずれてますな。