サーバ障害で現場急行(;´Д`)
これ受けたときに、長崎市葉山のトイザラス前に居たんですが、18時10分には一応復旧(´ー`)
夕方の大渋滞してる時間に何とか早期復旧できたましたがしかし…原因がメモリの不良化だったらしく、その後また落ちたりしたので、不良メモリ抜いて決着。原因わかるまでかなり時間かかってしまったので、朝までサーバとお付き合いしました…(;´Д`)。
sendmail(´ー`)アプデート必要
http://www.sendmail.com/company/advisory/index.shtml
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0058
詳細は ** RESERVED ** ですね(;´Д`)patch眺めてると 何となくこの辺りかなーってのが見えますが。
何はともあれ兎に角入替えろということで。
花粉とコメントspamが活発化する季節が近づいておりますがいかがお過ごしでしょうかヽ(´ー`)ノspam
数秒毎のアクセスでUSER_AGENTが全部違っていたり、 /robots.txt を何度も取得してるのに今時USER_AGENTの記述が無いマイナーbotとかは弾く方向で行きますよ(´ー`)弾く!バリバリバリ
問合せフォームに英文ポルノ小説連投するやつも出入り禁止。何の脈絡もなくPOST投げる奴、mt-comments.cgi ばっかりシツコクつつく奴、2秒または3秒間隔で GET,POST,GET するワンパターンbot … 全部ブラックリスト行きだ(´ー`)
ということで、
]$ wc /home/httpd/ipblock_hashmap
1133 2266 18381 /home/httpd/ipblock_hashmap
長くなりました(いずれ公開いたします)
CQW-NS108Gの新ファーム入れたら 802.1xも対応ヽ(´ー`)ノMIMO
購入時に添付されていたドライバでは 802.1x対応ではなかったのですが、2005/12ごろでているドライバを使用することで 802.1x対応できました。 WEP/802.1x/PEAPでもいけるみたいです。
ということで108Mbpsというか MIMOの威力を試してたんですが、電波の感度もやたら良くて 部屋の中に設置したAP(BRC-W108G)を 部屋の外(というか建物の外に出て 50mくらい行った所)でもまだ電波拾ってるようです。かなり良しですね(´ー`)。
ところが、電波拾いすぎるので近所の野良APをバンバン検出します(;´Д`)
拾いすぎちゃうんか?
「セキュリティで保護されていないワイヤレスネットワーク」というのが怖いですね。罠?(;´Д`)
ということで、近所で 7AP(そのうち4APは 認証無し)という凄まじい状態ではありました。
再び tb spam襲撃ヽ(´ー`)ノ今度は大勢で来ましたよ
'*/*' ではなくて、 */* を検出するような書いてしまっていたので10発くらい迎撃漏れ(;´Д`)
早速書き換えて待ち構えたり。
しかし、昨日から今日にかけて 5+216件(コレ書いてる今も来てる、今現在)のうち10件だし、設定漏れが原因なので無問題。次回から全部迎撃するはず。
# っつか全部迎撃した(´ー`)
新年早々 tb spam襲来(;´Д`) 新種
とりあえず手で50件ほど消しつつ、ログってた環境変数一覧から特徴を検出。
今回の奴は:
HTTP_ACCEPT='*/*'
で、
HTTP_ACCEPT_ENCODING
が無い(googlebotとかだと これが gzipや gzip ,zip になってるようだが)。
ということで、上記条件に該当する奴で mt-tb.cgi 突いたIPは全部(´ー`)弾く という処理が追加されましたとさ。
Dec 8 00:00:02 ns snmpd[15608]: Connection from UDP: [127.0.0.1]:37023 REFUSED Dec 8 00:00:10 ns last message repeated 4 timesとか弾かれてて、色々と snmpd.conf 弄ってたんだけど改善せず・・・ ちょっと調べて /etc/hosts.allowに記述追加
snmpd: 127.0.0.1, 192.168.0.0/255.255.0.0としたら
Dec 8 00:05:03 ns snmpd[15608]: Connection from UDP: [127.0.0.1]:37023 Dec 8 00:05:03 ns snmpd[15608]: Received SNMP packet(s) from UDP: [127.0.0.1]:37023 Dec 8 00:05:03 ns snmpd[15608]: Connection from UDP: [127.0.0.1]:37023とか目出度く接続OKOKヽ(´ー`)ノ客先箱じゃなくて良かった良かった
Nov 21 18:29:39 ns postfix/smtp[15731]: connect to mbox-mx.iij.ad.jp[210.130.1.31]: Connection timed out (port 25) [root@ns root]# telnet 210.130.1.31 25 Trying 210.130.1.31... [root@ns root]# traceroute 210.130.1.31 traceroute to 210.130.1.31 (210.130.1.31), 30 hops max, 38 byte packets 1 61.206.126.1.myip.interlink.or.jp (61.206.126.1) 34.591 ms 35.558 ms 38.601 ms 2 master-gate.interlink.ad.jp (203.141.128.1) 41.566 ms 38.614 ms 38.597 ms 3 r1-0409.otemachi.net.bbx.ad.jp (218.40.50.121) 38.565 ms 38.614 ms 38.634 ms 4 d48i066.bbx.ad.jp (218.40.48.66) 38.587 ms 35.752 ms 38.536 ms 5 165.76.28.117 (165.76.28.117) 38.566 ms 38.415 ms 38.580 ms 6 gi0-3.otm01bc6.otm.spin.ad.jp (165.76.4.65) 38.587 ms 38.571 ms 38.609 ms 7 ge1-0-0.otm03bj8.core.spin.ad.jp (165.76.0.210) 38.745 ms 38.623 ms 44.580 ms 8 as2497.dix-ie.jp (202.249.2.169) 38.549 ms 38.640 ms 38.618 ms 9 tky001bb01.IIJ.Net (210.130.143.54) 41.582 ms 38.620 ms 38.582 ms 10 tky001agr02.IIJ.Net (210.130.130.21) 41.572 ms 38.541 ms 41.730 ms 11 mbox-x06.iij.ad.jp (210.130.1.31) 39.137 ms 38.558 ms 41.642 ms [root@ns root]#さようなら Y!BB。僕はBBIQに行くよ(´ー`)
ええまあどっかのコメント欄でアレでしておりますが、結局どういうことかというと。
http://www.foto.com/en/activex.htm
http://www.concept.de/nlviewActX.html
http://www.gp.hitachi.co.jp/about_z/onactivex_ie60.html
https://pkice.state.nj.us/pkifaq.htm
別に日本に限らず、彼方此方で「ActiveXを有効に」云々は言われていることであるから、日本固有ではなくてMS製品に固有の話じゃないの?という話なのです。ActiveXに限らずJavaの署名付きAppletまで含めれば、MS製品だけの話でもなくなりますが。いずれにしろ、日本固有の話ではないのです。
日本のPKIがもうダメという点では、ActiveXを使ってしまった部分はもう限りなくダメで、もう少しユーザ環境で処理権限を限定する方法が整備されるまでは野に放ってはいけなかったのではないか とは思います。
住民基本台帳ICカード(公的個人認証)用PKCS#11ライブラリドライバリリースヽ(´ー`)ノPKCS#11
# [CACAnet-Talk:01426] より
で、カードへのアクセスどうしてるんだろうなーって思ったら MuscleCardライブラリ使ってるのね。という事は、MuscleCardで対応していない奴については使えないわけですが…MuscleCardのライセンスってどうだっけか?(;´Д`)
まあ、好きなのでヽ(´ー`)ノICカードリーダ
ご注文商品 :
商 品 名:接触・非接触型 USBタイプ(Windows版)SCR331-DI
金 額:4,743円
数 量:1
合 計 金 額:4,743円
商 品 名:接触型USBタイプ(Windows版)SCR3310-NTTCom
金 額:2,839円
数 量:1
合 計 金 額:2,839円
商 品 名:ICカード用 接触型リーダ/ライタ RW4040
金 額:3,300円
数 量:1
合 計 金 額:3,300円
台湾に国際電話しても止まらないし見てるとどんどん増えていって非精神的なので(;´Д`)
追い出すことに…
ヽ(´ー`)ノ!atrix !part #sux …
(;´Д`) 間違えた
ヽ(´ー`)ノ!atrix !part #vvvvv
で、あちこちメールしたりIRCサーバ建てられてるサイトの企業サイトに直電(台湾)したりしましたが止まらず…
すんごい増えてますけど…(;´Д`)
左側でJOINしてきているのは「新しくShellBOTを埋め込まれたサイト」だったりするんですが、朝から40くらい増えてます。コワイヒー(>_<)ですね。
ちなみに awstatsのセキュリティホールを突いてるみたいです(聞き取り結果より)
1)サーバの /tmpディレクトリ下に
/tmp/sess_3539283e27d73cae29fe2b80f9293f59
というようなファイルが存在する。
2) netstat -na|grep 6667 の実行結果として
心当たりの無い先 との接続が認められる。
3) Webサーバ実行時以外でも
/usr/local/apache/bin/httpd -DSSL
というプロセスが存在している。
1)については phpのセッションファイルと同様のファイル名となっているが、内容は
#!/usr/bin/perl
#
# ShellBOT - FBI TEAM Corporation
#
# 0ldW0lf - effbeeye81@aol.com
# - www.security.cnc.net
#
な物だったりすると思うし。
さらに状況が悪い場合、 ls -la したときに .c とかディレクトリ掘られてるのを発見したり、spamや 釣り用scriptが稼動してるのを見つけたりすると思う。