ガキのハクメール - アカウントハッキング記録

中年厨房ガキと御堂岡がアカウントハクしたパスを教えあってるメールを公開ヽ(´-`)ノ
理由の如何を問わずアカウントハクは犯罪だよぉーん(´ヘ｀;)

こっちまでとばっちりをくうのでメール文中のハクしたアカウント名、ユーザー名は一部伏せ字(^^;ﾜﾗ

-------------------------------------------------------------
From:"mido-oka" 
To:
Subject:RE: ガキです。
Date:Sun, 24 Sep 2000 19:38:38 +0900

あ～早速すみません
実はですねちょっとある人物追っかけてるんですけどアカがなくてどうしようも無い
んですよ
別件でハイパのserver38のログgrepしてたらそいつがHITして串のIPとか全部怪しい
んですよね
国内のプロバ串使ってるし生IPも確認済みですけど
しかもフェイクメイルとCD設置して試し撃ちしてるし
で38のログにはCDにアクセスした記録有るんですがすでに消したみたいです
37から撃ったログは38のログに記録されてます
どうしても37のアカ特定したいんですよ
でですね、37でパーミ甘めのところ紹介して欲しいんですよ　わら
dir777で書きこみファイル666だったらおそらくhtaccessアプって無理やり実行権限
奪えるはずなんですけど
これはまだ試してないんですけどdatファイルとかをhtaccessで起動設定すれば動い
てくれると思うんですよね
..cgiとか.plで666だったら問題無いんですが
最悪は/etc/passwdでもいいです
なんとかjohアカ探して頂きます

一応ログ流れないうちにgrepしてみてもらえますか？
cannnalとかCannnalで行けるはずです
211.9.1.21が串なのでそれでもHITするかもです
奴のUAは　DoCoMo/1.0/P501i　です

それとガキさんも無いアカあれば自分ので協力できるのであれば提供できますから
持ってるアカリスト後で送りますね

-------------------------------------------------------------
From:
To:mukamuka@mailroom.com
Subject:ガキです。
Date:Mon, 25 Sep 2000 01:48:34 +0900

追跡ご苦労さまです。（笑
server37はハクもしてないし、持ってもないんです。
で、いくつかpassを手にいれたんだけど、
辞書でHITせず、-iでやってるけど時間かかりそうです。
今回の追跡には間に合わないだろうけど
じっくり、いくつかハクしてみます。
追跡には出来るだけ協力しますよ。なんでも言って下さい。

-------------------------------------------------------------
From:"mido-oka" 
To:
Subject:RE: ガキです。
Date:Mon, 25 Sep 2000 04:19:25 +0900

すみませんね
他で当たったらcmd.cgi置いてある場所教えてくれてそれで何とかしてます
-iってそれpasswd手に入れたって事ですか？
いつもどうやって抜いてるんですか？

一応芋づる式で見っけたところ
http://server37.hypermart.net/＊＊＊＊＊/cgi-bin/telnet.cgi

-------------------------------------------------------------
From:
To:mukamuka@mailroom.com
Subject:これ使う？
Date:Mon, 25 Sep 2000 11:05:38 +0900

ガキです。
server37いくつかハク出来ました。
ちょっとワレてるサイトがあったので
pass書き換えました。まだ気付いてないと思うけどね。
内容もそのままなんで削除して下さい。
＊＊＊＊＊.hypermart.net
pass:kdr3RN8cv

passの抜き方は色々あるだろうけど、snifferに近いやり方です。
でも、この方法はもうじき出来なくなるだろうね。

-------------------------------------------------------------
From:"mido-oka" 
To:
Subject:ども
Date:Mon, 2 Oct 2000 04:24:47 +0900

この前はどうも済みませんでした
メールしたんですが届いてなかったようで
で、現在例のあかじゅとかいうソフトの製作者追い込み中です
http://www.lunasoft.net/
http://aqua.datablocks.net/cgi-bin/board/petit.cgi
でこのCGIの鯖はディレクトリーとかブロックされていますが
ユーザーファイルへのアクセスは以前のハイパーと同じで可能です
何故かwebからは見る事は出来ませんでしたが
本体の鯖で動き回っていたら翌日消されてしまいました
途中経過としてはプロバは判明しているんですが会社からのアクセスがどうも確信が
もてないんですよ
会社のIPも判明しているんですがログを見るとちょっと時間的におかしいという事な
んです
それとアクセスがその時の2回限り
一応会社がソフト開発会社という点でかなり黒に近いはずなんですよね
串の線も調べてみたんですが80ポート以外は閉じているようで
webしか開いていないようでした
一応明日にでもプロバに問い合わせてPPPの地域を特定してみます
それとこの会社の地域（札幌）が重なればまず間違い無いと思うんですが
今のところ確かな情報がつかめるまでは泳がしているんですがなんか良い方法ありま
せんかね？
自分としては追い込みとかはあまり得意ではないんでガキさんの助言を頂きたいんで
す
一応ログもプチ形式とタブ形式でソートしたものを添付しておきます
このiws.co.jpが本命であればタレ板復活イベントで吊るし上げたいと思います
host.iws.co.jp
********.ppp.asahi-net.or.jp

----------------------------------------------------------------
From:
To:mukamuka@mailroom.com
Subject:ガキです
Date:Thu, 26 Oct 2000 18:25:49 +0900

きのうはどうも。
まずserver2039の垢です。
①＊＊＊＊.virtualave.net
ID=＊＊＊＊
②＊＊＊＊.virtualave.net
ID=＊＊＊＊
共にpassは[00058223]
warezだけどfile消したら逃げたようです。
管理者がリコーの社員だったんで、ちと脅かしもしたけど（汗
ただし、pass書換えしてないのでしたほうがいいかも。
-----------------------------------------------------
全serverの件。９月中旬頃からvirtualは鯖の設定を替えたよね。
このため10月に管理者が垢取りをして確認作業をしたんです。
ただ、その垢がそのまま残ってる状態なんでわしも時々使ってる。
＊＊＊＊[2002-2039].virtualave.netでID、passは同じです。
例えばs3なら、＊＊＊＊2003.virtualave.net。ID=＊＊＊＊2003。pass=＊＊＊＊2003
何故か、＊＊＊＊2007だけはserver2039だけど。
これは、管理者が作った垢だけに、使用後は使ったfileは消したほうがいいです。
特にgrepは鯖に負担がかかるから、管理者が仕事中は避けたほうがいいね。
で、s7はこれぐらいしか見つけてない。
＊＊＊＊.virtualave.net/cgi-bin/tanken.cgi
一応これで全鯖は覗けるね（笑
ではまた。