1998年10月14日(水)次の日記 >>
この日の詳細

■1公開開始、RSTパケットによるDoS このエントリーをはてなブックマークに追加

会社のページを外部に公開し始める。アクセスログを見てみると、ボチボチお客さんにも来て頂いてるようなのだけれども、一体どこから探してくるのか不思議なアクセスもあったりする。
メールをチェックすると、FreeBSD Security Advisory: FreeBSD-SA-98:07.rstが出ている。RSTパケットを使った DoS[http://www.nanet.co.jp/~kei/diary/glossary.html#dos] だけども、攻撃側にもそれなりのリソースが必要になる類のものなので、しばらく様子見。一応、cvsupしてあるマシンで最新のSTABLEリリースを作成。遊んでるマシンにインストールして、問題がなければ順次、サーバ群のバージョンアップをすることにする。

■ 関連記事

詳細はこの日の詳細から

1998年10月16日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1Apacheのバージョンアップ このエントリーをはてなブックマークに追加

第三者中継のページへのアクセスが多いので驚く。そんなに需要があったのか知らん。MXをいっぱい持っているところの動作が遅いので、マルチプロセスに書き直す。
Apacheのバージョンを上げたので、結果が出たところから表示され始めるようになるはず。

■ 関連記事

詳細はこの日の詳細から

1998年10月19日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1某プロバイダからのアタック(1) このエントリーをはてなブックマークに追加

某プロバイダからのアタックを検知。お手製のデテクタが送ってきたメールと、 syslog[http://www.nanet.co.jp/~kei/diary/glossary.html#syslog] を分析した様子では、スキャナを動かしている模様。
攻撃元がDNSサーバなので、ダイヤルアップユーザーということは考えにくいので、 whois[http://www.nanet.co.jp/~kei/diary/glossary.html#whois] で検索して直接電話することにする。
しばしやり取りあって、担当者不在だということが分かる。連絡待ち。ウェブのページを上げてるかどうか試しに見てみたら、ちゃんと上がっていたが、えらく遅い。上流ドメインとの接続からするともう少し速度が出そうなので、スキャン活動現在進行中である可能性は大。
午後になって電話が入るが、業者に任せてあるので何ともしようがないとの弁。恐らくrootのパスワードも知らないだろう。対策したら連絡をくれるとの事。
スキャン現在進行中のまま放置っていうのが残念だけれども、他社の問題だから仕方がない。

■ 関連記事

詳細はこの日の詳細から

1998年10月20日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1某プロバイダからのアタック(2) このエントリーをはてなブックマークに追加

侵入されていた某プロバイダの管理業者(らしい人)から電話が掛かって来る。いきなり詰問調。
「どうして分かった」「こっちはきちんとFirewallも導入しているんだから、そういう調査をするな」「こっちは商売でやってるんだから、お宅には関係ない」と来る(本当はもう少し物言いは穏やかだったけど、かなり精神的にショックを受けた)。
そりゃFirewall入れてるかも知れないけど、やられる時はやられる訳で、実際、運用が悪かったらどんなFirewall入れてもザル。何もウチが積極的にスキャンをして発見した訳でもないし、そこまで言われることはないと思ったのだけど、「今もスキャン続けている筈だから、アクセスランプの付き方だけでも見て欲しい」旨頼む。
午後になって、今度は妙に低姿勢で電話が掛かって来る。他からも問い合わせや指摘があって、他の技術者を呼んだら判明したとのこと。「そうですか」で済むなら良かったのだけど、「他言無用」と「できればJPCERT等への届出もしないで欲しい」とのお願い。
「他言無用」は約束するけれども、JPCERTやセキュリティに関する届出制度に対する認識を改めて欲しいと思った。
こうして数え切れない程の侵入が、氷山の下に隠れてしまっているんじゃなかろうか。

■ 関連記事

詳細はこの日の詳細から

1998年10月21日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1大学からのアタックの話 このエントリーをはてなブックマークに追加

syslog[http://www.nanet.co.jp/~kei/diary/glossary.html#syslog] を読んでみると、大学とプロバイダのダイヤルアップからノックされていた。プロバイダの方はダイヤルアップだし操作ミスかも知れないので放っておくとして、大学の方をどうしよう。
いくつかのログから判断すると、「簡単に入れそうな穴があったらのぞいてみたい」という程度であんまり悪意もなさそうなのでしばらく様子を見ることにした。
以前、ある大学からスキャンを受けて、「こういうスキャンを受けてるんだけど、ひょっとしてクラックされてない?」と、管理者にメールを送ったばっかりに、「本学の学生でした。本人は侵入の意図はなくあくまで警告するに留める積もりだったと主張していますが、今後こういうことがないように厳重に処分しました。」というメールが戻ってきて、どんな処分かと聞いたら、「アカウント剥奪、自動的に留年」という事で、ウチが指摘したばっかりにそんなことになるのはかわいそうだと思い、「なんとかしてもらえないだろうか」と頼んでみたのだけど駄目でした。恐らく余所から強い抗議があったのでしょう。
まぁそういうことがあってから、大学からのアタックの連絡には慎重にならざるを得ないところがあります。

■ 関連記事

詳細はこの日の詳細から

1998年10月22日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1MSIEのセキュリティバグ このエントリーをはてなブックマークに追加

「セキュリティゾーンを突破してしまうIEのバグ」[http://cnet.sphere.ne.jp/News/1998/Item/981021-2.html?mn] というのがあるらしい。要は、 世界中のどんなマシンでも 攻撃者がその気になれば、イントラネットゾーンと認識させる方法があるということ。わざわざIE入れて試してみましたが、確かに通常の保護モードでなくイントラネットとして認識されます。
「WordやExcelそのまま使えてイントラに便利」って活用しているところがあるかどうか知りませんが、気を付けないとマクロウイルスに攻撃されます。
マイクロソフト社のセキュリティやバグに対する広報は油断ならないところがあって、「偶然によって発生するものではなく、攻撃者が意図的に準備しないとありえない」とか「実際に攻撃されたという報告は受けてない」とか、安心できそうなことを言うのだけれども、思わず「そりゃ攻撃者は準備して攻撃するでしょ」とか「報告を受け付けてないだけでしょ、実際被害者近くにいるよ」とか突っ込みたくなるパターンが多いんですよねぇ。
セキュリティホール発見されたら、実害が出る前に少しでも早くユーザーにその問題を認識してもらって対応してもらうっていうのが、普通のソフトウェアメーカーが選ぶ対応だと思いませんか?

■ 関連記事

詳細はこの日の詳細から

1998年10月23日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1第三者中継と管理者不在の組織 このエントリーをはてなブックマークに追加

第三者中継関連で問い合わせを頂きました。関心を持って頂くのは非常に嬉しいのですが、残念ながら個々の対策のお手伝いまでは手が回らないのです。ある程度の質問にはメールでお答えすることもできますが、出向いて設定ということになりますとどうしても費用が発生してしまいますし、遠方だと出張経費の方が嵩んでしまいます。
そういった訳で、それなりの金額で対策を請け負っても良いという方がいらっしゃいましたら、お知らせ頂ければページ上で告知いたします。
ただ、ちょっと思うことがあるのです。サーバを上げるからには、それくらいの管理者はいなきゃまずいよなぁと。インターネット社会に対してサーバを上げて接続することは(ダイアルアップで接続するよりも)大きな社会的責任を負うことです。メールを受けている場合、自社のサーバがダウンしただけでも送信先の組織には負担を掛けます。クラッキングの踏み台にされるようなことが無い様に十分に配慮するだけの責任が生じる訳です。
インターネットに「プロバイダにお金払って繋ぐ」というのが当たり前になった頃から、責任ある管理者の割合が下がってきた様な気もします。
当社の宣伝になりますが、当初はシステム開発専業で行く予定だったのが、「システム構築からホスティングまでお任せ下さい」と、ホスティングを始めたきっかけはこの辺にあります。専用線の料金負担を考えると、開発のみの方がリスクは低いのです。
ですが、作り上げたシステムをきちんと面倒見てあげたい。裏方は私たちがやりますから、肝心な中身の運営の方に専念して下さい。と、まぁそういうことです。そのためにも、もっともっと優秀な管理者になる様に、がんばらないといけないなと思っています。
UNIX MAGAZINE 11月号
SPAM対策、sendmailインストールがタイムリーで驚いた。syslogの活用法は有用じゃないかなぁ。ファイルロック[http://www.nanet.co.jp/~kei/diary/glossary.html#filelock] のPetersonのアルゴリズムは勉強になった。
Software Design 11月号
MSの広告載ってる割に歯切れが良いです。海外寄稿の記事は特に。

■ 関連記事

詳細はこの日の詳細から

1998年10月24日()<< 前の日記 | 次の日記 >>
この日の詳細

■1セキュリティメモについて このエントリーをはてなブックマークに追加

セキュリティメモ[../security/] を載せるべきか載せざるべきかずっと迷っていたのです。
セキュリティ関係の情報は、どうしても悪用の危険から逃れられません。内容によっては、攻撃者に悪用されてしまう危惧があります。特に手口を伝えないことには危険性を説明できないものに関しては、そのまま悪用されてしまう心配があります。
ところが攻撃者側はすでに相当の知識を貯えています。対して管理者側が持っている情報はまだまだです。高いお金を払ってもロクな情報が手に入らなかったりもします。
そういった状況の中、すでに攻撃者に既に広く知られていることに関しては、積極的に公開していっても攻撃者側に追いつく意味で有効ではないかと考えました。
とりあえずは、手口に触れずに「管理者が注意すべきこと」というレベルで書き進めようと考えています。物足りないかも知れませんが、勘弁して下さい。
今日もスキャンされていました。何とアイスランドから。しばらく様子を見てみます。恐らく一過性のものでしょう。
明日は休みたいなぁ・・・

■ 関連記事

詳細はこの日の詳細から

1998年10月26日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1NTとんでも本の世界 このエントリーをはてなブックマークに追加

土日は久しぶりに休みを取りました。図書館に行って、以前から読みたかった本を何冊か借りてきて読みました。やっぱりコンピュータ関連の本ばかり読んでちゃ、感性の充電ができないよね。
コンピュータ関連書籍のところを見ていたら(って、結局そっちに行ってしまうところがなんですが・・・)、やはりNT関連書籍がたくさんあります。やはり全体での注目度が高いことは否定できないです。
ただ毎度ながら無茶な記述が目に付くのは何とかして欲しいですね。いわく「NTはC2クラスセキュリティだからインターネットサーバにも最適」とか「UNIXは古いOSなので、インターネットに不利」とか恐ろしいことが書いてあります。
本というものは出してしまったら取り返しがつかない訳で、もう少しきちんと調べてから書かないと、筆者の信用にも影響すると思うのですが。もちろん読者にもこれほど失礼な話はありません。
念のために書きます。「NTはC2クラスのネットワークOSでは ありません 」もし、そういう記述があればそれは 間違いか嘘 です。さらにこんな事書かなくてもみんな知ってると思うのだけど、「インターネットはもともとUNIX間のネットワークとして成長したものです。」決して、 マイクロソフトが開発したものではありません
興味をお持ちの方は、特にビジネス書として出版されてるNT入門書でもお読みになることをお勧めします。「とんでも本」としてはなかなか楽しめます。
付記: NT4.0に関するC2レベルの最終評価は年内に発表される模様です。[http://www.microsoft.com/security/issues/c2summary.asp]

■ 関連記事

詳細はこの日の詳細から

1998年10月27日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1電気通信事業者としてのプロバイダ このエントリーをはてなブックマークに追加

MP3に絡んで、色々なプロバイダに警告文書が送られてきているようです。原文を入手したわけではないので、詳しいことは ネットワーク音楽著作権普及・啓発プロジェクトのページ[http://www.music-copyright.gr.jp/] を見て頂くとしましょう。
何か、「(違法|公序良俗に反する)コンテンツ」がWebに上がっていたらプロバイダを責任追及する流れになっていて嫌だなぁと感じます。どうもプロバイダは通信事業者と認めてもらっていないのじゃないかという気がしてきます。
もちろん「市販(CD|アプリ)のデジタルコピーをWebで勝手に配布する行為」を肯定している訳ではありません。ただ、プロバイダ側が、ユーザーの行動やデータを監視できるかというと、仮に技術的に可能だとしても、予め許可を得ておかない限り、倫理的にやってはいけない行為だと思います。「予め許可」はプロバイダとユーザー間の信頼関係に基づいてきちんと説明すべき事だと思いますが、約款にこっそり書いてあるプロバイダもあるかも知れません。「当社はお客様が公序良俗に反するデータを送信していないことを確認するために通告なくウェブ・メール・その他のデータを閲覧することがあります」とかね。
で、そういう約束がない状態でWebのディレクトリを管理者権限で直接のぞいて、怪しいファイルがないかどうか積極的に探す行為は、もはや「検閲」ではないでしょうか。これは通信事業者に許されない行為の様に思えます。
仮に作業中に「確実に問題」というファイルを「偶然」発見したにせよ、通信事業者の守秘義務とどちらを重視するかは大問題です。民間人であれば「刑事告発の義務」はないから多少問題は軽くなりますが、一部の公営のプロバイダで公務員が不正に気づいてしまった場合、告発の義務が絡んで難しい問題になるのじゃないでしょうか(詳しい方のフォロー求む)。
例えば、NTTのF-Net(これも蓄積・配布系のメディアになり得ます)使って違法な情報が流通していたとして、こんなに簡単に「検閲せよ」あるいは「削除せよ」という要求が出てくるでしょうか。違法な内容の会話が行われているらしい、という理由で「電話を盗聴しよう」という発想につながるでしょうか。
インターネットプロバイダも通信事業者であることを忘れてはいけないと思うのですが、プロバイダ側でも通信事業者としての自覚が薄いところがあって困った物です。
前述の「警告文書」を受け取って削除処置をしたプロバイダの中に、通信事業者としての義務を忘れたところが無ければいいですが。

■ 関連記事

詳細はこの日の詳細から

1998年10月28日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1サーバのお手入れ このエントリーをはてなブックマークに追加

サーバのOSをバージョンアップした。今まで、FreeBSD2.2.6-Releaseが入っていたのを、2.2.7Stableにアップしたのだ。
リリース(OSから何からインストールするためのセット)を用意したのは1週間位前なのだけど、今まで放っておいたのは、別のマシンで様子を見ていたから。まぁ、Windowsと違って、バージョンアップしてすぐ致命的なバグ続出ということはあんまり無いはずだけど、サーバだから安全策を取ったのだ。
フロッピーから立ち上げ直して、Upgradeを選択。長時間かけてLevel0のdumpを取ったにも関らず、当たり前の様にバージョンアップ終了。95から98へのアップグレードより絶対に簡単。
折角の機会だからマシンの掃除もした。24時間運用だから、さすがにファンにホコリが溜まっていた。パソコンをサーバに使うとファンから駄目になることが多い。ファンが止まって内部の温度が上昇して、HDDや電源が壊れるというパターンだ。
サーバ機を組む時は、ファンには気を付けた方が良くて、普通の安いファンはまっとうなベアリングを使っていなかったりして、すぐ異音が出るようになる。ある程度高級なファンを使うこと。ACファンを使うのが一番なんだけど。
それでも、ファンのベアリングにタバコのヤニとホコリがたまって動かなくなるケースもある。やはりマシンルームは禁煙が良い様だ。ストッキングも有効。

■ 関連記事

詳細はこの日の詳細から

1998年10月29日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1MXレコードを設定しましょう このエントリーをはてなブックマークに追加

第三者中継テストの結果を見ていて気になったことがあります。MXを登録していないメールアドレスが割合あるということです。これに気づいたので、警告を出すように修正しました。
例えば、「daresore@mail.nantoka.co.jp」というメールアドレスを使用する場合、mail.nantoka.co.jp に対して、MX mail.nantoka.co.jp. という「MXレコード」を登録するのが正しい設定です。
MXレコードが設定されていない場合も一般的なMTA(メール配送プログラム)は、そのホストに直接配送する様に設定されているので、問題に気づきにくいかも知れません。しかしながら、一部では配送されない場合があるかも知れませんし、第一余計なトラフィックを発生します。
さらに、組織の性格によっては 「* MX mail.nantoka.co.jp.」というMXレコードも設定して、 (しない方が良いという意見を付記)[http://www.nanet.co.jp/~kei/diary/199909.html#19990928] 特に指定されていないホストに対するMXレコードを設定することもお勧めしたいと思います。内部から悪用される可能性があります。
Windowsなんかの一部のツールでは色々な設定がグラフィカルで簡単に見えるのですが、結局はネットワークに関する知識が必要になるのは同じです。むしろ「何をどう設定したか」が分かりにくくなってしまっている気がします。
「簡単そうに見えるから」という理由で適当に設定してしまうと、色々なトラブルが発生するばかりか、余所にまで迷惑を掛ける場合もあります。インターネットに接続したサーバの管理には、インターネット社会全体に対する責任が伴うことを忘れてはいけないと思います。

■ 関連記事

詳細はこの日の詳細から

1998年10月30日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1インターネットサーバをNT+IISで このエントリーをはてなブックマークに追加

インターネットサーバをUNIXからNT+IISに代えたお話。
便利に使っていたロボット系検索サイトの goo[http://www.goo.ne.jp/] なんですが、最近反応が悪かったりなかったりで困っています。どうも 不具合[http://channel.goo.ne.jp/goo/goo_info.html] が発生している様です。
ポータル化に伴うサービス拡大の影響かなぁと思っていたのですが、エラーメッセージを見て気づきました。サービス拡大に合わせて(かどうかは分かりませんが) サーバをNT+IIS4.0に変更 した模様です。
kei@hogehoge[131] telnet www.goo.ne.jp http
Trying 210.150.25.66...
Connected to www.goo.ne.jp.
Escape character is '^]'.
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Fri, 30 Oct 1998 08:31:38 GMT
Connection: Keep-Alive
Content-Length: 13919
Content-Type: text/html
Set-Cookie: inkid=n92b0AzMgACIgASd5Yj3AAAA5I5Y; expires=Fri, 31-Dec-1999 15:00:00 GMT; path=/
Cache-control: private

Connection closed by foreign host.

うーん。以前はgooって SPARK Ultra2使ってた[http://www.watch.impress.co.jp/internet/www/page/goo.htm] んですよね。安定して動いていた頃はサーバ確認したことないけど。
まあこうした理由で、最近goo経由でアクセスしてくるお客さん激減しているみたいです。ポータルって一端獲得したユーザーを不具合で失ったりすると不具合直してもシェアへの影響は避けられない訳で、そういう点では今回のトラブルは痛いんじゃないかなぁと思います。
ちょっと思ったんですが、「日本トップのポータルサイトgooが選択したのは、NTサーバーです」なんて広告一瞬出して引っ込めたりしてない?

■ 関連記事

詳細はこの日の詳細から

1998年10月31日()<< 前の日記 | 次の日記 >>
この日の詳細

■1Receivedヘッダの隠蔽 このエントリーをはてなブックマークに追加

ハッカー系のサイトも勉強になることが多いです。今日、第三者中継のニュースに上げた、「Receivedヘッダの隠蔽」はハッキング系のサイトを見て知りました。
少なくともsendmail8.8.8あたりでは、直っていないようです。動作も確認してsendmailのソースも検証しましたので、どこにどうパッチを当てれば直るということも指摘できるのですが、それをやると「どうすればそういうことができるか」ということも分かってしまうので書いてありません。どうしても知りたい方はメールください。
プログラムやOSネットワークを知り尽くしたいという知識欲や好奇心は責められる性質のものではありません。結果、セキュリティホールもどんどん発見され、より安全なシステムが出来上がってきた訳です。UNIXの歴史はハッキングの歴史ともいえるように思います。
その辺の事情を書いた本も出ているようですのでいずれご紹介したいと思っています。そこには、通常の人たちが及びもつかない知識欲と好奇心と情熱でシステムに立ち向かい、ピザやコークのわずかな報酬だけで様々な問題を解決して、現在のネットワークやOSを作り上げてきた生き生きとしたハッカー達の姿が想像できます。
現在はネットワークとコンピューターが研究者だけのものではなくなって、また一部のグル的ハッカー(従って、高度な倫理観を持っていた)だけが持っていたテクニックが倫理抜きに拡散している状況が違っているみたいです。本物のハッカー達には暮らしにくい時代になってしまいました。あ、ピザやコークもスシバーに変わったりしたみたいですね。
そうしたハッカー達の一部がフロンティアを求めてFreeBSDやLinuxの世界を作り上げたって言ったら言い過ぎでしょうか。

■ 関連記事

詳細はこの日の詳細から

以上、14 日分です。

指定日の日記を表示

1998年10月 翌月
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project