« deboraは収まったのか!? | トップページ | 当ブログは、deboraメールの情報サイトではありません(笑) »

2006年11月26日 (日)

interQへの質問状:ユーザディレクトリが丸見えなんですけど?

ハッカーさんたちには周知の事実だったのかもしれませんが、

ある検索結果から辿り着いた先に、

自分に割り当てられたwebスペースのディレクトリが丸見え状態で晒されているのを発見した時は、

些か、うろたえました。

Editinterqcgidirexpose01

え?

んなバカな!

interQメンバ用に貸し出されているwebスペースは、

デフォルトで、インデックス表示しないはず。

   ・・・だよね・・・

と、過去の記憶を整理しつつ、

いろいろ確かめて行くと、

自分以外のユーザーディレクトリも、全部見えてしまっていました。

interQユーザのメールアカウントとwebスペースURLは、

<アカウント>@<サブドメイン>.interq.or.jp
      ↑
      ↓
http://www.interq.or.jp/<サブドメイン>/<アカウント>

という関係で紐付けられています。
(ユーザがwebサイトを開設するしないに関わらず、ディレクトリは作成されているのだと思います)

ということは、

多くを考えるまでもなく、スパムメールのリスト作りに積極的に寄与しているということじゃないですか!

さらには、

なんか、サーバのディレクトリが見えちゃっているみたいなんですけど、

ちょっと覗かせてもらいますね。

あれぇ?

ディレクトリ・ファイル名が見えるだけじゃなくて、

中身が見えちゃうファイルもあるんですけど、

こういうファイルって、見えちゃっていいんですか?

 

ということで、interQへの質問状 (一部マスク処理)

お問合わせ

 内容をご確認ください 

お名前 ほにゃ ぺけぞう
メールアドレス(interQ) honyarara@pekepeke.interq.or.jp
メールアドレス(その他)  
インターネット接続用ID pm(hs/im/am/bf) ******
お問合わせの種類 その他
詳細 他ユーザのディレクトリが縦覧されてしまう現象について、
サーバ仕様なのか、回避出来ない問題なのか、お教えください。

【経緯】
当方アカウントに、迷惑メールの到来が異常に多くなっていることから、
どこかでアドレスそのものが晒されていないかと、
複数の検索エンジンを用い検索した。
  ↓
メールアドレスそのものがヒットすることはなかったが、
その代わり、以前アップロードしたままにしておいたCGIフォルダの中身が
丸見えになっていることを発見。

アップロードした時点では、フォルダ内はインデックス表示されないことを
確認しており、
ファイル名が分らなければ直接アクセス出来ないという認識でいた。
また、現在でもそうなっています。

例えば、
http://www.interq.or.jp/pekepeke/honyarara/test/
では、フォルダ内のディレクトリ表示はせず、
http://www.interq.or.jp/pekepeke/honyarara/test/ptest.txt
として、ファイルを表示できる。(適切なパーミッションであれば)

これは、
http://cgi.members.interq.or.jp/pekepeke/honyarara/test/
でも同様に、インデックス表示はされない。

ところが、検索エンジンでヒットしたサイトでは、
私用の割り当て領域のフォルダ内がインデックス化されて表示されていた。
最初、何らかの手法を使って、ディレクトリを丸ごとキャッシュされたのかと
思ったが、
調べてみると、そうではなかった。

【結果】
検索エンジンで引っ掛ったのは、
http://cgi.members.interq.or.jp/**subdom**/**user**
のサイトでした。
ここに設置されたCGIを踏むことによって、ユーザディレクトリ内が、
丸っと見えていたのです。

具体的には、
http://cgi.members.interq.or.jp/**subdom**/**user**/**dir1**/**script**.cgi?**para**/pekepeke/honyarara
のURLで、私用のディレクトリが、インデックス表示で丸見えとなっていました。
その時点で、ディレクトリのパーミッションが755、
ファイルのパーミッションが644となっていましたので、
個々のファイルの中身が見えてしまうのは当然としても、
インデックスで縦覧されてしまうとは、想定していませんでした。

【質問】
これは、御社の仕様として受け止めるべき問題でしょうか?

ただ、気になる点として、以下が挙げられます。

1./******/www/ 配下の、ユーザ一覧が列挙されてしまう。
  これは、/サブドメイン/メールアカウント ⇒ メールアカウント@サブドメイン.interq.or.jpとなることが分れば、
  容易にメールアカウントを取得できるということであり、
  「interqユーザのメールアドレス詰め合わせセット」を、
スパマー様にプレゼントすることになりませんか?
  以前、御社管理下の別サーバにて、
telnetでlsされて意図しないメールを送られたことがありますが、
  それと変わらないことでは・・・

2.当該サーバの、ルート配下が丸見えです。
  例えば、/var/log下のsyslogなどは、中身まで見られてしまいます。
http://cgi.members.interq.or.jp/**subdom**/**user**/**dir1**/**script**.cgi?**para**syslog
  syslogを見られるからといってどうと言うことではないかもしれませんが、
  あまり気持ちのいいものではありません。
  また、/******/home 配下も、本来見えてしまって
いいものなのでしょうか?
  全てではありませんが、開いてしまうログファイルやリスト等もあり、
  疑問に感じます。
  全部試したわけではないので分りませんが、
  中には、問題となるファイルが含まれている可能性はないのでしょうか?

以上、確認の上回答下さいますよう、お願い致します。

この質問の後、

調査の上回答する旨のお返事が来ましたが、

回答はまだありません。

ですが、現在では、

Editinterqcgidirexpose03

のように、ラッパーのエラーが返ってくるようになりました。

未回答ながらも、こういう措置をしたということは、

interQとしても、問題ありと捉えているということに他ならず、
  (interQ内のセキュリティポリシーに適合してないという認識か)

設定が甘かったということですよね。

 

現在は、interQのwebスペースは使っていなかったんですが、

メール送信用に設置したCGIだけが、

撤去せずに残っていたのでした。(また使う機会あるかなぁ、って)

そこに含まれていた送信記録が丸見え状態だったというのは、

ちょっと、いただけなかったですね。

まぁ、スゴイ機密な情報は含まれてなかったんで、

困ることには成り得なかったんですが・・・

そんなファイルが残っていたことは忘れていたので、

中身を全部確認し終えるまでは、ドキドキでした。


■検索サイトから、探し物で来られた方へ
Q. この記事中に、探し物は見つかりましたか?

◎ まさにこの情報が欲しかった! 検索サイトに感謝!
○ お目当ての内容じゃなかったけど、少しは参考になった
△ 期待外れだったけど、面白かったから許してやる
× 検索エンジンのバカぁ! 時間を無駄にしたよ
`з´ こんな役立たずな記事アップするな!


|

« deboraは収まったのか!? | トップページ | 当ブログは、deboraメールの情報サイトではありません(笑) »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



« deboraは収まったのか!? | トップページ | 当ブログは、deboraメールの情報サイトではありません(笑) »