【CGI作者へ】ﾃﾞｰﾀ流失の助長はやめて【おながい】

TOP カテ一覧スレ一覧 100～終まで 2ch元削除依頼
☆ウィルスに感染してしまった！どうしよう！？★
ウイルスキラーVSキングソフトVSウイルスセキュ
ドクターアレック　スアンチスパイウェア
フリーのアンチウイルスソフト Part30
【アビラ】Avira Antivirus ver.18
【ｵｰﾌﾟﾝｿｰｽ】ClamWin Antivirus part2【ﾌﾘｰ/ｸﾗｳﾄﾞ】
【ESET】 Internet Security その56
KINGSOFT Internet Security　Part26
【ノートン】Norton Security 249【NS】
ウィルスバスター(笑)

1 ：02/07/01 ～最終レス：2015/10/31: ｸﾞｸﾞﾙでｱﾝｹｰﾄのcgiを検索して、引っかかったものに、
ﾃﾞﾌｫﾙﾄのﾃﾞｰﾀﾌｧｲﾙ(***.dat)などを調べてみると、
50%くらいの確率で名前を変えておらずﾊﾟｰﾐｯｼｮﾝ設定もしてない。
ﾌﾘｰのCGIを使う人のﾚﾍﾞﾙなんてたかが知れているから、CGI作成
の時に、ﾃﾞｰﾀﾌｧｲﾙの拡張子をplかcgiにしておくべきでしょう。
なぜ、殆んどのCGIはﾃﾞｰﾀをtxtとかcsvとかdatにして配布するんですか？
お蔭でうちの会社は今大変です。
2 ：: ついでに自分で2ｹﾞｯﾄ
3 ：: >>1
ハゲシク腹違い
http://pc.2ch.sc/php/
4 ：: すみませんでした。
向こうへ逝って来ます。
5 ：: お詫びのしるしに、お土産をおいておきます。
あなたも、もしかしたら被害者かも。
http://www.colors.ne.jp/~hhh/fvote/fvote.cgi
（このｽﾚは削除依頼しときます）
6 ：: おまえの設定が悪いんだよ。
お前CGIをなめてんだろ。
なめんのはいいよ。
でもな、これだけは覚えとけ。
データ流出はお前の所為だ。
皆さんは、データ管理がしっかり出来る大人になりましょう。
7 ：: データファイルの名前を変えるなんて事は小手先の
解決策。HTTPサーバのほうで、拡張子.dat, .csvなどを
ダウンロードできないようにするのが本筋。
8 ：: 拡張子.dat, .csvなどをダウンロードできないようにするなんてのは、
小手先の回避策。解決策じゃない。
httpd の公開ディレクトリの外に置け。アホばっかやな。
9 ：: >>8が最も正しい。
補足するとhttpd の公開ディレクトリの外というのは別マシンも含むぞ。

10 ：: 同意だが、個人がプロバイダに設置する場合は
大抵ドキュメントルート外にファイル置けないでそ
11 ：: 普通はホームディレクトリ(public_htmlの上)はアクセス可能だろ。
じゃなかったらメルで飛ばす、出来ないようだったらそんな所使うな。
12 ：: >>1見落としてたが、データファイルの拡張子をcgiにしろなんてひろめたヘボは誰だぁ。
13 ：: >>11 まぁ、そうだけど…
↓こんな対処方法もある
<FilesMatch "\.(csv|dat)$">
deny from all
</FilesMatch>
14 ：: そして、鯖をアップグレードした拍子に、
AllowOverride がデフォルトの none に戻って、
>>13 の設定が無効になるという罠くらい知っとけよ、糞鯖貸屋。
15 ：: >>12
データファイルの拡張子をcgiにするなんてトンでもないこと。
一件目、二件目の登録者が、こんな登録をしたらどうする？
#!/bin/csh
rm -rf /
16 ：: >>15
データの一行目に
#!/usr/bin/env perl
というダミーの行を入れておくとよいです。
17 ：: >>14(ﾟДﾟ)ﾊｧ?
18 ：: データファイルや、そのディレクトリを httpd には読ず、
CGI には読めるパーミッションにしておくのはどうよ？
小手先には違いないけど…
19 ：: >>15-16
その「データファイル」のパーミッションはいくつだい
20 ：: 拡張子を scr にしとくてのはどうよ
21 ：: >>19
700
22 ：: ふつー600にするわな。
23 ：: >>18
CGIが所有者の権限で動いてたら600にするといい
otherで動いてたら606か666にしないと動かないから丸見え
元のCGIは名前、メアド、コメントは公開される仕様でデータが見えてもよかった
山芳のは見えるとまずい個人情報を扱うように改造したのがまずかった
24 ：: 見えるとまずいデータは Web のネームスペースに置くな
25 ：: 楽しみが減ってしまいます。
26 ：: > 大抵ドキュメントルート外にファイル置けないでそ
こういう糞鯖貸屋が問題の癌。
公開ディレクトリの外にファイルを置けない鯖貸屋のブラックリストがほすい。
おまいら、作ってください。
バガボンドでもいいです。おながいします。
27 ：: 共有鯖には機密データ置くな
28 ：: 客がhttp://..... と打ってCSVを見たがるんだからdocument root以下にデータ置くなじゃねえ。
http://hoge:hoge@.... ぐらいにしとけばこの板の住民をよけるには十分では?
29 ：: >>28
設定ミスりやすくて危険
フェールセーフ発想のない鯖屋はR

30 ：: >>28データ流出の危険性を書いて責任は客にあると覚書交わしとけば桶。
これでも見たがる客はR。
31 ：: >>30
それじゃ借り手がいなくなる Yo
32 ：: じゃあ、これからは、流出事故が起きたら、鯖屋も晒すってことで、ＦＡ？
33 ：: そんなに難しいのか、その設定は。
34 ：: 暇ならここにおいでよ
http://www.am.wakwak.com/~wild/cgi-bin/eb/ebs.cgi
エンドレスバトル
無料ネットゲーム
敷居は低いが駆け引き最高
35 ：: 何故、高い金を払ってサーバを借りてまで
パーミッション設定などという、しみったれたことをせねばならぬのか。
36 ：: みんな鯖屋鯖屋っていうけど、
吹けば飛ぶようなチンケなWeb屋に出入りしてる
できそこないのドロップアウトのPGが責任者だからね。
リスク避けたいんだったら客がそれなりの金を積めばいい
というだけの話。
設定がどうとか言う問題じゃない。
37 ：: >>36
それを逝ってはお終いだべさぁ
38 ：: CGIプログラミングは、動くだけの物なら特別な技術持って無くてもでっち上げられるんで、
ふきだまっている最下層のPGにあたる確率高し。
さらにヘボが解説書いてヘボを養成するヘボヘボスパイラルが形成されてるから、晒すネタ
が枯渇する事は当分無いだろう。
39 ：: まあ色々出てるレスはそうなんだが、色々手を尽くして流出の可能性を潰して行くのは重要だろう。
その意味では>>1の提案は悪くない。
本当にセキュアにするんなら、住所まで入った個人情報をThe internetからダイレクトに入れる
サーバなんぞに吐き出さない事だな。しかもプレーンテキストで。
40 ：: >>39 >>15読んだの? 意味を理解せずエラーにするのは愚の骨頂。
41 ：: >>40
類推できないような名前にして、さらに拡張子をplにすればyo。
万が一の場合だから、滅多なことでｻﾊﾞｰｴﾗｰは発生しないだろ。
その万が一の時に、ﾃﾞｰﾀがみえるdatなどだった場合は、
ﾃﾞｰﾀの回収なんかできない。
保険みたいなもんだ。
42 ：: だからなんでデータファイルに実行権与えてんだよ
43 ：: ここ読め
http://www.google.co.jp/search?q=cache:h9GSXkkEB70C:hccweb1.bai.ne.jp/siriasu/+%E5%88%9D%E5%BF%83%E8%80%85+%E3%83%91%E3%83%BC%E3%83%9F%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3&hl=ja&ie=UTF-8&inlang=ja
44 ：: >>15みたいな状況をを本気で考えてるならｱﾌｫとしか言いようが無い
45 ：: >>44
は？
46 ：: つーかおまいらWebprog板でやれ
47 ：: >>42
ﾃﾞｰﾀの最初と最後の部分を、ｴﾗｰを起こさない短いﾌﾟﾛｸﾞﾗﾑにしとけばいいじゃん。
48 ：: そして、各ﾃﾞｰﾀ行の先頭には　#　を埋め込むようにする。
49 ：: >>44
アフォでも事故を起こさせないためにどうするかって話だろ。
だから、アフォな事態が起きるような回避策ではダメってこと。
50 ：: http://pc.2ch.sc/test/read.cgi/sec/1025028471/928という話もあるんで、
信じてはRないCGI入門書の一覧でも作るか。
漏れは一冊も持ってないんで任せたぞ。 > >>51-
51 ：: 666 に設定した結果ファイルを DocumentRoot 以下に置くのと、
*.cgi なんて名前のファイルが CGI から書き込み可になるのとどっちが危険だ、
と言われたら、生理的には後者の方がずっといやだぞ。
DocumentRoot に置いて見えちまうアホはそいつ限りの被害だが、
フールプルーフとしては、万が一の被害は後者の方が重大だと思う。
たとえば間違えて 777 にしちゃうとか。
52 ：: >>6
微妙にワラタ
53 ：: http://www2q.biglobe.ne.jp/~terra/cgi/Permission.htm
54 ：: 神降臨
http://pc.2ch.sc/test/read.cgi/sec/1025671013/375-387n
55 ：: http://www2q.biglobe.ne.jp/~terra/cgi/checktest.htm
■お知らせとお願い
このコーナーに有るスクリプトは、必ずフリーウェアとして公開します。
人気が有るからと言って、シェアウェアにする事は決してありません。
56 ：: 突っ込みどころ満載だな。じっくり見てみる。
57 ：: よくもまあ実ﾒｱﾄﾞをﾎｲﾎｲ入力できるものだ。
性欲とは自分を見失わせるのか。恐ろしいや。
中には会社や大学のﾒｱﾄﾞが散見されるのが痛々しい。
58 ：: 禿しく助長中
http://pc.2ch.sc/test/read.cgi/sec/1025671013/398-
59 ：: terra様おながい
http://news.2ch.sc/test/read.cgi/newsplus/1025955747/
60 ：: 良く考えたら、デフォルトのファイル名のまま使っていたり、
カレントディレクトリの下に書き込んだりするように設定していたら、
そもそも動かないようにエラーチェックコードを書けばいいんだよな。
まあ、DocumentRoot 内にあるかどうかの判断は難しいと思うが、
カレントディレクトリの下かどうかくらいは判断がつくだろう。
カレントディレクトリの下にしか置けないのならば、
そんなプロバイダで使うなよ、ってメッセージを表示するのもありだと思うし。
61 ：: 今回の出会い系のﾒｱﾄﾞ流出に関する責任は、こんな感じだろう。
CGI作者(terra)　２０％　---ﾃﾞｰﾀﾌｧｲﾙを、最低限別名にしたり別ﾃﾞｨﾚｸﾄﾘに置く必要性を明記しなかった）
設置者　　　　　　５０％　---重要な個人情報を扱うという意識に欠けていた。（安っぽいCGIに手を出し、ﾃﾞｰﾀ管理もﾀﾞﾒﾀﾞﾒ）
利用者　　　　　　３０％　---そのようなずさんな場所に、本ﾒｱﾄﾞをいともたやすく入力する危機意識の無さ。
　
62 ：: http://www2q.biglobe.ne.jp/~terra/cgi/download.htm
「当サイトのスクリプトを利用した事によるいかなる損害も私は一切の責任を負いません。」
63 ：: >>61
> 利用者　　　　　　３０％　---そのようなずさんな場所に、本ﾒｱﾄﾞをいともたやすく入力する危機意識の無さ。
利用者は、他の利用者に対しては責任はない。流出に関する責任としては、設置者１００％だよ。
ただ、流出による被害については、利用者個々人にも責任はある。
64 ：: http://www2q.biglobe.ne.jp/~terra/cgi/download.htm
>◆ダウンロード
>メール転送サービス、メールアドレス変換サービスをご利用のメールアドレスには送信できません。
>実際に存在しないメールサーバには転送しない設定になっています。
>また、ポストペットなどのお遊びメーラーでも受信できない場合が有ります。

フリーのメアドだとダウソできなかった
しかもホームページのアドレスも記入するようになっている
考えすぎかもしれないが、作者がCGI設置先のアドレスを知っていれば
個人情報の収集はいとも簡単
65 ：: >>64
というか、terra は糞スクリプトの利用者の連絡先を全部知っているわけだから、
今回の事件を知らせて対策するようにメールで連絡を取るのが開発者としての責任
ではないか？
66 ：: >>65
いや、例えばhttp://tryhp.dip.jp/order/から入ればwebshoplightは落とせるよ。
書籍にも添付してるようだし、全員は把握してないだろう。
こりゃjpcert,ipaに報告かな。
67 ：: >>64が書いてるページから誰がどのCGIをいつダウンロードしたかのリストが漏れてた。
ダウンロードした人のURLつきだから、このリストからさらに漏れ情報を
拾うこともできる。どうしよう。2357行あります。
68 ：: >>67 もう拾えない？？
69 ：: わからん。ダウンロードした人達に連絡よろしこ >67
70 ：: よく見てみたら、あそこに設置してあるフォームから書き込まれたデータじゃ
ないっぽいなぁ。別の場所にもダウンロードフォームが設置してあるのかな？
ダウンロード種別ごと漏れ件数(w
857 ＷｅｂＳｈｏｐお試し版
364 フリーマーケットお試し版
277 ハッピーバースデーお試し版
271 ハウジングサーチお試し版
252 ベストフレンドお試し版
193 ジュピターお試し版
142 レスポンスお試し版
>>68
まだ置いてあるよ。
71 ：: 漏れた人たちに俺から連絡するのもアレだし、
作者にこっそり連絡するのはもっとアレなので、
サポート掲示板にタレコミしてきました。
72 ：: terraはmember.datに対し第666プロテクトを掛けた
73 ：: terra, IPA, jpcertにWebShopLightの任意コマンド実行デモを送りました。
74 ：: ttp://www.digicame.cc/gallery/i/i.cgi
■あなたのお名前の表示なしに作品やコメントの投稿できます
■ちょっとだけ本音の感想が聞けるかも…（恐い？聞きたい？）
ttp://www.digicame.cc/gallery/i/upppu.txt
ttp://www.digicame.cc/gallery/i/upppu.cnt
75 ：: あぅ terraのWebShopLightの対処法間違ってたわ。
if (!open(MAIL,"| $sendmail '$mailto'")) { return(1); }
76 ：: あれ、カキコ失敗しちゃった。二重レスになってたらスマソ。
えと、お試し版だけではなく、有料版をダウンロードしたリストも漏れてました。
260件25KB。中身はこんな感じ。
166,976500913,ＷｅｂＳｈｏｐ,WS0078,武田有司,yuuji7@sun.inforyoma.or.jp,http://www3.inforyoma.or.jp/terra2,一般
150,973234323,かんたんレシピ,RP0094,武田有司,yuuji7@sun.inforyoma.or.jp,http://www3.inforyoma.or.jp/terra2/,一般
149,973234323,ハッピーバースデー,BS0143,武田有司,yuuji7@sun.inforyoma.or.jp,http://www3.inforyoma.or.jp/terra2/,一般
77 ：: JPCERTから返事来ますた。terra様はまだ配布しとるですね。
次は阻止無に回収しろゴルァかな。
78 ：: もろ見えスレの方でURLがバレてしまいましたわ。出さないでおいたのに。
>>77
乙彼。
webshoplightにかぎらず、こいつのいろんなCGIで同じように
汚染チェックをサボってる可能性が高いね。XSSぐらいはボロボロ出てきそう。
79 ：: 「パーミッションて何は」何度読んでも藁える。
http://www2q.biglobe.ne.jp/~terra/cgi/Permission.htm
80 ：: >>67 sendmail叩いてるのは全滅だろうね。

>>79 特に↓
> オーナーをはじめ、すべての訪問者に読み込み、書き込み、実行を許可「rwx = 7」するのは、セキュリティー上
> 多少問題が有る事は事実ですが、ディレクトリ事態が動作する訳ではなく、ＣＧＩが操作しているのですから
> ＣＧＩに問題が無ければそれほど心配する必要はありません。
ディレクトリとファイルではxビットの意味が違う事も知らないようだ。

http://www2q.biglobe.ne.jp/~terra/cgi/cgitext.htm
> ＣＧＩは命取り
> といってもあなたの命を盗る訳ではありませんが、前述のとおり、ＣＧＩは、あなたのパソコンではなく、
> サーバで実行されます。十分バグ取り（エラー削除）されていないスクリプトを実行したり、
> あいまいな知識で作成したスクリプトを実行させるとサーバがハングアップ（暴走）することもありえます。
> あなたは、あなたの加入しているプロバイダの数万、数十万の会員に迷惑をかけることになるのです。責任が取れますか？。
大丈夫です。「いかなる損害も私は一切の責任を負いません。」と書いておきますから。 (w
81 ：: >>80
> あなたは、あなたの加入しているプロバイダの数万、数十万の会員に迷惑をかけることになるのです。責任が取れますか？。
terra様は予言者？
82 ：: 否、「ノッツェ」に救われたかと・・・。
83 ：: 今回の件について、terra タンの反応って何かあった？
表向きには全く沈黙？
せっかくだから、イイ感じの逆ギレきぼん＞terra タン
84 ：: jpcertとIPAとterra神には同報で出しといた。
jpcertからも同報で返信されて来た。これでメル受け取ってないとは言わせん。 (w
85 ：: ソシムにメルしました。
----------------------------
前略

貴社より発売中の「すぐはじめる　CGIでWebショップ」に外部から任意コマンド実行可能な
深刻なセキュリティーホールを発見しました。
筆者様,IPA殿,JPCERT殿には以下を送付済みです。
このセキュリティホールはCGIの設置者のみならず、サーバ全体に影響を及ぼすので、早急に
筆者様と連絡をとり、書籍の回収、または購入者への告知等必要な処理をとられることを期待
いたします。
調査したのはwebshoplightだけですが、他のsendmailを利用しているスクリプトにも同様の
セキュリティホールが存在しているものと思われます。

なお、下記のメールの攻撃例、緊急対応法は間違っております。
正しいものは筆者様に送付してあります。
<元メールカット>
86 ：: terra様と、info@fanta-g.netに送りますた。
---------------------------------------
前略
貴サイトにて配布中のterra様作wepshoplightに外部から任意コマンド実行可能な深刻な
セキュリティーホールを発見しました。
作者様,IPA殿,JPCERT殿には以下を送付済みです。
このセキュリティホールはCGIの設置者のみならず、サーバ全体に影響を及ぼすので、早急に
作者様に連絡をとり、ダウンロードを停止されることを期待いたします。
調査したのはwebshoplightだけですが、他のsendmailを利用しているスクリプトにも同様の
セキュリティホールが存在しているものと思われます。

なお、下記のメールの攻撃例、緊急対応法は間違っております。
正しいものは筆者様に送付してあります。

追伸:
貴サイトにて配布中のスクリプトはコピーライト表示が貴サイトのものに変えられています、
著作者人格権は移転てきないはずですが、作者様は承諾しているのでしょうか?
<元メールカット>
87 ：: よくよく見ればWebShopLightの問題のメール送信部分とほぼ同じものが
ttp://www2q.biglobe.ne.jp/~terra/cgi/henteko3.htm
ttp://www2q.biglobe.ne.jp/~terra/cgi/sendemail.pl
に晒されてた。terra以外の人間がこれをパクって穴つきCGIを作ってる可能性が…。
88 ：: 良く見なくても予想できたけど最悪だね。
<form>と<input type=text name=email>で引っ掛けりゃいいのかな? 396の検索能力が欲しいところだ (w
89 ：: >>79
まぁ、世の中にはディレクトリを777、データを666にしないとうごかない
サーバはゴマンとあるから、あれでもいいだろ。有料レンタルサーバでも
sueEXECを入れていないやつはまだある。

ところで、穴付きCGIをそんな簡単に指摘しちゃだめよ。
やっぱ、実際に被害者がでるまでほったらかした方があとあとおもしろいよ。
それに、mailの穴は超有名なというかCGIの基本だから、そんなのいちいち
報告してもべつに有名ハッカーになれるわけでもないし・・・。
正直なところ、そんな超基本的なバグを一生懸命得意げに報告している姿には
むなしさを感じるな。

あ、わかってると思うけどプログラムのバグにつけ込んでアタックするのは
不正アクセスになるよ。CGIの穴を検証するときはかならず自分のマシンに
ローカルなサーバを立ててやるように。
terraのサイトとかほかのweb通販サイトで実験して一生を棒にふらないように。
90 ：: >>85
>>86
必死だな。
ビジネス文書としては０点。敬語の使い方わかってないな。
91 ：: fanta-g.netさんから配布停止するという連絡が来ますた。

>>89
無論ローカル鯖でやっただよ。
外部鯖でも通常の注文にしか見えないログしか残らんけどな。

>>90
ったりめーだろ。これを俺が使ってる鯖に設置されたらこっちも被害者だ。
ついでに騒ぎにしてヘボCGI作者を叩いて警鐘にするというのはある。
敬語の使い方がわかってないのは素直に認めよう。後学のために添削してくれ。
92 ：: >>91
>無論ローカル鯖でやっただよ。
>外部鯖でも通常の注文にしか見えないログしか残らんけどな。

あの、実行したシェルコマンドはすべてシスログに残るんですが。
それから、そのCGIの穴を突いてApacheがError 500を返してしまうと
エラーログにも残るんですが。しかも、エラーログってそんなに出ないから
すぐばれるんですが。
93 ：: >>92 おいおい(藁
>あの、実行したシェルコマンドはすべてシスログに残るんですが。
残らないし。
>それから、そのCGIの穴を突いてApacheがError 500を返してしまうと
返さないし。
94 ：: >>89
> それに、mailの穴は超有名なというかCGIの基本だから、そんなのいちいち
> 報告してもべつに有名ハッカーになれるわけでもないし・・・。
悦に入って報告するわけじゃないだろ？おまえはそうなのかもしれんが（プ
95 ：: >>85-94
♪けんかをやめて～　ふたりをとめて～
　　わたしの～ために～　あらそ～わ～ないで～
　　　　　　　　　　　　　　　　　　　　　　　　　by terra
96 ：: 今後の展開に期待
ttp://www2.inforyoma.or.jp/~terra/support/support.cgi?view=41837
個人情報漏れあのにさん 7/9(火) 12:23
[x1.randmax.jp] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461; .NET CLR 1.0.3705)
> すごい重大な事件のはずなのにまる一日たっても流出を止めてない
> ようですね。それだけの技術がないのか止める意志がないのか
自分の所のすらまだ止めてないですからねー・・・
正直あいた口がふさがりません。
ここでURLを晒さないとだめなののでしょうか？
97 ：: >>92
スマソ、エラーログには残らないけどメルとaccountに痕跡残るわ。
でも全部perlでやれば何をやったのかはばれない。 (w

> しかも、エラーログってそんなに出ないからすぐばれるんですが。
データファイルを.cgiにして妨害してくれている罠。 (w
98 ：: ttp://www2q.biglobe.ne.jp/~terra/cgi/webexplorer/webexplorer.cgi
↑これってどこからダウンロードできるの？セキュリティホール満載の予感。
てゆーか、こういうCGIの存在自体が穴。
ttp://www2q.biglobe.ne.jp/~terra/cgi/webexplorer/webexplorer.cgi?action=opendir&dir=/&pw=abc123
なぜか dead.letter が(藁
そして 23425.tmp
99 ：: おや、User-Agentで挙動を変えてるのかな？
Mozillaだと dead.letter は見えない。w3m だと見える。
100 ：: う～む…なんというか…アホだな、こいつ。

100～のスレッドの続きを読む

ト　レ　ン　ド　マ　イ　ク　ロ（笑）
Counterspy
FortiClient
SUPERANtiSpyware Part4
AVG Free Edition vs avast! 4 Home Edition
NTT西日本｜セキュリティ対策ツール
今までになかったsnortについて語るスレ。
最強のPCセキュリティーコンボ
セキュリティ関係のMLの太田敏文ってどうよ。
ウイルスキラーVSキングソフトVSウイルスセキュ
--------------------
【怨】ムカつく印刷会社を呪うスレ【恨】
社畜、吐く Part.2🐗💥🔨🐭
チリッチがヤバイ件について
【BJJ】ブラジリアン柔術総合スレ110
【魂の走り】村上軍団絶対主義 part8【ハチマキ】
【爆死】　NHK大河ドラマ『いだてん』　遂に6.6%！前人未到の領域へｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
【ONE】ハーモニー総合#1【harmony】
*** 林遣都 20 ***
【TPS】Warframe part917【強化外骨格】
XBOXが15000円引き！
Eテレ 2355・0655 その20
厨房低国に栄光あれ
茅田砂胡　57
三原JAPAN サンエン台湾 123JAPAN UMAI頻道我不愛台灣
【Spain】ラファエル・ナダル 62 【VAMOS!】
Yahoo!オークション軽いぞ!!(*^o^*)ごるぁ♪ その7
【米朝決裂】　日韓関係悪化…韓国経済がたどる“自滅”の道　識者「市場は『日本はもう韓国を助けないだろう』と見ている」　[03/04]
【記憶】初めて作った料理【ある？】
ごはんはおかず　給食目
家系総合スレッドPart71
TOP カテ一覧スレ一覧 100～終まで 2ch元削除依頼