2001年02月06日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1 CERT Advisory CA-2001-02 Multiple Vulnerabilities in BIND[http://www.cert.org/advisories/CA-2001-02.html]次の記事 >> このエントリーをはてなブックマークに追加

Bind9に移行する。
既にPortsやPackageの恩恵を浴することができないサーバがあるので, ISC BIND 9.1.0[http://www.isc.org/products/BIND/bind9.html] のソースを持ってきて,configure; make; make install。
makeした時点で,一応動作確認をしたが,特に問題なく使えるようだ。
configureそのままでは,/usr/local/sbin/namedとしてインストールされるので, /etc/rc.confで,named_program="/usr/local/sbin/named"として対応。
オプションが変わっているので,named_flags="-c /etc/namedb/named.conf"も変更。 -bのままでは怒られます。
bind8からの設定ファイルの移行については, BIND 8 から BIND 9 への移行についてのノート[http://www.aso.ecei.tohoku.ac.jp/~dais/misc/migration.txt] が参考になります。
「ゾーンファイルにおける TTL についての RFC1035 の厳密な解釈」のために, bind8を使っていたとき,デフォルト値のTTLを使用していた(TTLを明示的に指定していない)ゾーンファイルで不具合が出るので注意。

■ 関連記事

■2 Uninterruptible Power Supply with FreeBSD[http://www.is.titech.ac.jp/~yanagis0/freebsd/upsd.html][freebsd]<< 前の記事 このエントリーをはてなブックマークに追加

FreeBSDでAPCのSmartUPSを使うための設定のメモ。 *1
*1: 手前味噌的な感があるが、手許には資料がなかったり。

■ 関連記事

詳細はこの日の詳細から

2001年02月11日()<< 前の日記 | 次の日記 >>
この日の詳細

■1 GINGER JAPANA[http://ginger.ore.to/][CLIP] このエントリーをはてなブックマークに追加

■ 関連記事

詳細はこの日の詳細から

2001年02月13日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1 IDE互換フラッシュモジュール[http://www.hdnet.co.jp/denken/DOM.HTM] このエントリーをはてなブックマークに追加

1FDというアプローチ[http://www.halsys.co.jp/~sakurada/diary/d200102b.html#12-1-1] が限界に来たら使ってみるのも良いかも知れません。FDも摩滅しますし。
中身はFROMなので, 書き換え回数に制限[http://www.hdnet.co.jp/denken/DOM_WRT.HTM] はありますが,Boot専用と割り切れば十分でしょう。
最近,4MB(5,600円)とか小さいサイズがあるので,組み込み用途にも便利そうです。

■ 関連記事

詳細はこの日の詳細から

2001年02月15日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1ログから[goo] このエントリーをはてなブックマークに追加

■ 関連記事

詳細はこの日の詳細から

2001年02月17日()<< 前の日記 | 次の日記 >>
この日の詳細

■1 goo[http://www.nantoka.com/~kei/diary/?200101c&to=200101301#T200101301] このエントリーをはてなブックマークに追加

なんか妙にタイミングが合って、 “goo.co.jp”ドメイン訴訟裁定下る[http://www.zdnet.co.jp/news/0102/07/goo.html] という話題で持ちきりですね。実際、 濫用[http://diary.imou.to/~AoiMoe/2001.02/early.html#2001.02.07_s06] だという感じがします。
某日記[http://diary.imou.to/~AoiMoe/2001.02/early.html#2001.02.07_s06_p04] でも書かれていますが、後からサービスインするのに、 既存のドメイン名について調査して対策していない方が失敗という気がします。
そもそも商標にしたって、登録商標取得前からよそが同じ商標を使用していた場合、 その商標を使いつづけることはできた筈です *1
これも、インターネットが世界を変える速度に法律が追いつかない問題の一つでしょう。
*1: 制限はありますが。 商標法第32条(先使用による商標の使用をする権利)参照。

■ 関連記事

詳細はこの日の詳細から

2001年02月18日()<< 前の日記 | 次の日記 >>
この日の詳細

■1UBEのリターンアドレスへの使用[TPR] このエントリーをはてなブックマークに追加

やられてます。
昨夜02:00あたりから、山のようなエラーメールがjanet55@nanet.co.jp宛てに送られて来てます。 まだ実在しないアカウントなのが幸いですが。 エラーだけで1423現在、既に55000件位。
ウチが不正中継している訳でもなんでもなくて、SPAM(UBE)のリターンアドレスに勝手に使われているだけ。 メッセージIDまで<5209584763.sxc52985@rly-t83029.nanet.co.jp>なんて付いています。
注入元は、現在は206.217.206.239で、ここから複数のオープンリレーを許すSMTPサーバを使って、 山のようにUBE(SPAM)を撒いているものと思われます。
これって、有効な対策がないんですよねぇ。せいぜい注入元の組織に連絡入れるくらいだけど、 これは最初から使い捨てにするつもりでかかっているだろうし。 ただ嵐の過ぎ去るのを待つのみ。

1700現在:

エラー件数、68502件。 1時間あたり約5400通ですから、毎秒約1.5通の計算です。 今のところサーバの負荷も大したことなさそうですが、 いつまで続くかですね。
ざっと統計してみたところ、4000近いサーバを第三者中継の踏み台に使っている様子。

一応・・・:

注入元と思しき組織のabuse宛てに報告を送っておいた。 abuseの宛先がある位なので、ちゃんと対応してくれることを期待。

MXセカンダリサーバ:

にも一部のエラーメールが配送されて、プライマリに転送するときに失敗して、 postmaster宛てに転送されてくるというのが少なからずあって、ものすごくうるさい。
postmaster宛てのメールを捨てるのも問題ありなので、 procmailのレシピをちょっといじって対応。

■ 関連記事

詳細はこの日の詳細から

2001年02月19日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1 続・UBEのリターンアドレスへの使用[http://www.nantoka.com/~kei/diary/?200102b&to=200102181#T200102181][TPR]次の記事 >> このエントリーをはてなブックマークに追加

続いてます。だいぶ沈静化しましたが、今度はabuse宛てのメールの処理が大変になってきました。 これは人手で対応せざるを得ないですから面倒です。 まぁ、知らせてくる気持ちは分かるのですが、怒ってくる時はヘッダを読んでからにしてもらいたいところです。
  Thanks for your report.

  However, this mail *deceives* about our domain,
was *not* presented, and was *not* transmitted from our domain.

  Moreover, our server was *not* related to distribution of
this mail with Third-Party-Relay.

  We have spent considerable time on processing of the error of
this mail, and have suffered damage. We investigate that these
problems should be collected and have requested pursuit also to
the organization to which the real sender belongs. 

  If possible, a mail header will be analyzed, and it is kind,
if the actual sender's organization and the administrator of
the server which participated in Third-Party-Relay are contacted
with and it can obtain. 

  Regards,

  nanet abuse staff
とか怪しげな英文で返事を書いてみる。

沈静化:

してきた模様。 グラフ化[http://www.nantoka.com/~kei/dist/mailerror.png] してみた。

被害報告:

をIPAとJPCERTに出す。報告だけですが、これは義務だと思うので。

■ 関連記事

■2 長崎ちゃんめん[http://www.halsys.co.jp/~sakurada/diary/d200102b.html#18-1-1][ごはん]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

「ちゃんぽん」に非ず。
「長崎ちゃんめんお願いします。」「お待ちどう様です」「済みません、ちゃんめん頼んだんですが・・・」「???」 というやり取りを思い出してしまった。

■ 関連記事

■3 PGNamazu[http://www.nantoka.com/~kei/dist/pgnmz.tgz]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

namazuのインデックスをPostgreSQLのクエリから引けるというユーザ定義関数を公開。 プロジェクトPの副産物。
テキストファイルのキーの部分だけをDBに登録しておいて、 namazuを利用した全文検索を行うクエリを発行したりなんかできる。
逆にDBのテーブルを一時的にダンプしておいて、namazuのインデックスを生成して、 全文検索を実現するというのも可能。

■ 関連記事

■4現実逃避ぐる[ぐる]<< 前の記事 このエントリーをはてなブックマークに追加

ぐるぐるしてみます。今日のネタ元はログ解析。

詰めvi:

色々な例題を編集して、viの最小ストローク数を見出すパズルのページを見たのだけど、 探しだせないので、明日あたり キャッシュから検索[http://mylab.ike.tottori-u.ac.jp/~mijosxi/1999/12_sqnmz.html] してみよう。

日記バード[http://wisteria.dyndns.org/diary/?200102b&to=200102146#200102146]:

ご利用ありがとうございます。 「とにかくぐるぐるしたい」って時はいいと思うです。そのために作りました。
更新時間近いページをまわる[http://wisteria.dyndns.org/diary/?200102b&to=200102146S3#200102146S3] のは、深夜に疲れてさびしい時にはなぐさめられたりします。 「一人ぼっちじゃないんだよ」って。

■ 関連記事

詳細はこの日の詳細から

2001年02月20日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1朝ぐる[ぐる] このエントリーをはてなブックマークに追加

とりあえずログから一巡。

詰めviのページ[http://vivi.dyndns.org/vivi/viMaster.phtml]:

ビンゴ[http://saba.three-a.co.jp/~toku/diary/?2001021#200102195S2] です。キャッシュから検索より早かったです。

■ 関連記事

詳細はこの日の詳細から

2001年02月21日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1 中国人クラッカー クラッキング警報[http://ar4.easyml.com/MLarchive/user/26603/html/msg000001390.php3][セキュリティ] このエントリーをはてなブックマークに追加

メールでも情報をもらったりしましたが、 セキュリティホールmemo[http://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/02.html#20010220_fromchina] で確認。
実際に 被害を受けているサイト[http://people.site.ne.jp/] もでてきている様です。

Web 改ざん多発、Webサーバソフトウェアにセキュリティパッチを[http://www.ipa.go.jp/security/ciadr/webjack_a.html]:

という情報もあります。
shell on IIS server with Unicode using *only* HTTP[http://www.nantoka.com/~kei/diary/?200101c&to=200101261#T200101261] のセキュリティホールですが今回もこれでやられたところが多いのではないでしょうか。
ちなみに、 [http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-086 MS00-86] のパッチを適用すると、上述の手順で、
kei@xxxxx[1228] ./unicodeloader.pl www.XXXXX.co.jp:80 'c:\InetPub\wwwroot'


Creating uploading webpage on www.XXXXX.co.jp on port 80.
The webroot is c:\InetPub\wwwroot.

testing directory /scripts/..%c0%af../winnt/system32/cmd.exe?/c
testing directory /msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c
testing directory /cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c
testing directory /samples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c
testing directory /iisadmpwd/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c
testing directory /_vti_cnf/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c
testing directory /_vti_bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c
testing directory /adsamples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c
nope...sorry..not vulnerable
という様になり、上記手順では攻撃できなくなるようです。

■ 関連記事

詳細はこの日の詳細から

2001年02月22日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1日帰り出張 このエントリーをはてなブックマークに追加

朝イチの便でIPA。2時間ほど打ち合わせ。1530の便で帰る。戻ってから仕事。疲れた。

■ 関連記事

詳細はこの日の詳細から

2001年02月23日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1 メールのリターンアドレス[http://catv-8-109.medias.ne.jp:10080/~takayuki/diary/?200102b&to=200102204#200102204]次の記事 >> このエントリーをはてなブックマークに追加

「MAIL FROM: で申告してきたドメインが接続してきたホストのドメインと異なって」ても黒とは言いにくいですね。 バーチャルホストの場合がそうですし。プロバイダ等で、ユーザのメールアドレスのドメイン名は、 ne.jpだけど、サーバのドメイン名はad.jpだったりするところもあります。 別にこれは悪いことではない筈なので、これを理由にメールが受け取れないというのは困った設定でしょう。
逆に、MAPSとかORBS等のブラックリストを導入している際に、 救済処置として使うというのは良いアイデアかも知れません。
「ORBSそのままでは厳しすぎて使いにくいので、MAIL FROMで申告してきたドメイン名が、 サーバの逆引きから得られるドメイン名に含まれている場合は通す」 といった設定例をどこかで読んだ気がします。

■ 関連記事

■2 尻切れイカ[http://catv-8-109.medias.ne.jp:10080/~takayuki/diary/?200102b&to=200102206#200102206]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

ログに、ERR_READ_TIMEOUTって出ていませんか? 出ていたら、squid.confをread_timeoutで検索。

■ 関連記事

■3インターネットで一番クラックされやすいWebサーバ<< 前の記事 このエントリーをはてなブックマークに追加

クラックされてしまった日本のサイト[http://people.site.ne.jp/2001/2001.html] の2月分を抽出してhttp headerを取得。使用しているOSを調べてみた。
タイムアウトを短めに設定したので、取得できたヘッダは54件。
  • Apache/1.2.4 3件
  • Apache/1.3b6 1件
  • Apache/1.3.4 1件
  • Apache/1.3.6 3件
  • Apache/1.3.9 1件
  • Apache/1.3.12 5件
  • Apache/1.3.17 2件
  • Microsoft-IIS/4.0 31件
  • Microsoft-IIS/5.0 5件
という結果で、Apache:IISの比率は約3:7です。 今回、特にIISのセキュリティホールが狙われている状況があるとはいえ、 かなり厳しい数字だと思われます。
ちなみに、 シェアの比較[http://www.netcraft.com/survey/] によると、Apache:IISの比率は約6:2ですね。

■ 関連記事

詳細はこの日の詳細から

2001年02月24日()<< 前の日記 | 次の日記 >>
この日の詳細

■1 続・尻切れイカ[http://catv-8-109.medias.ne.jp:10080/~takayuki/diary/?200102c&to=200102236#200102236]次の記事 >> このエントリーをはてなブックマークに追加

うーん。proxy通すように設定しておいて,
wget -d -O /dev/null http://どこそこ/
って感じでデバッグするというのはどうでしょう。
動的生成ページの場合,Content-Lengthが来ないので,この辺りに依存しているんでしょうかね。

■ 関連記事

■2 砂場でbind[http://www.pcc-software.org/security/sandbox-bind.html]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

最近のbindには,-uとか-tというオプションがあって, chroot環境,非root権限で動かすことを最初から考えてあるんですね。
その昔,同じようなことをやろうと色々やってみたのだけど, root権限の放棄は,エフェメラルポートの絡みでソースに手を入れないとできないなぁということで断念した記憶があります。
で,上記ページを教えてもらったときに,初めて新しいオプションを知ったという訳です。 これなら,ディストリビューションのデフォルトをこっちにした方が良いんじゃないかという位,簡単。 お勧めの対策です。

■ 関連記事

■3 i-system復活[http://yar-3.net/isystem/][hns]<< 前の記事 このエントリーをはてなブックマークに追加

この間[http://www.nantoka.com/~kei/diary/?200101c&to=200101281#T200101281] からi-system経由で日記が読めなくなっていた件なのですが, 転送方法をmailから直接書き換えにした時に,hnfの行末がCR+LFに変わったのが原因の様です。
ここまで分かれば,
--- index_cgi.txt.orig  Sat Feb 24 18:16:50 2001
+++ index_cgi.txt       Sat Feb 24 18:17:02 2001
@@ -412,7 +412,7 @@
        $t = $_[0];
        my $o = "";
        chomp($t); #これは実はいらない?
-       s/\r$//;   #CR+LF to LF
+       $t =~ s/\r$//;   #CR+LF to LF

        if ( $t =~ /^OK$/ ) { #header識別
                $ok = 1;
というパッチを当てて解決。

■ 関連記事

詳細はこの日の詳細から

2001年02月25日()<< 前の日記 | 次の日記 >>
この日の詳細

■1 Word2TeX[http://catv-8-109.medias.ne.jp:10080/~takayuki/diary/?200102c&to=200102251#200102251] このエントリーをはてなブックマークに追加

この間のプロジェクトで,その逆が欲しいと思ったのです。
それなりに変換してくれるものや手段は見つけたのですが, バッチリってのがなかったですね。

■ 関連記事

詳細はこの日の詳細から

2001年02月26日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1昼ぐる[ぐる]次の記事 >> このエントリーをはてなブックマークに追加

■ 関連記事

■2 「Web サーバーによるファイル要求の解析」確認テスト[http://www.nanet.co.jp/unicodebug/][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

なんていうページを作ったりしました。例のunicode関係のセキュリティホールを確認するテストです。 とりあえずのチェック(未対策のサーバを探す)のには便利かもしれないですが、 ワンパターンなテスト(unicodeloaderにあるパターン)しかしないので、これで大丈夫だったからといって安心はできないです。
なお,セキュリティ上の理由からサーバからページを閲覧している場合しかチェックできない仕様になってます。

さっそくバグFix:

ロギングにバグがあったので修正。 こういうのは使ってもらわないとバグ取りしにくいですね。

■ 関連記事

詳細はこの日の詳細から

2001年02月27日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1 IISサーバの脆弱性テスト[http://www.nantoka.com/~kei/diary/?200102c&to=200102262#T200102262][セキュリティ] このエントリーをはてなブックマークに追加

昨日作った、 IISサーバの脆弱性テスト[http://www.nanet.co.jp/unicodebug/] の試験結果が95件くらいになりました。 試験した95件中、25件が未対策でした。台数ベースではありません。
これを今から対策しようとする人がテストしている率が高いとみるか、 対策済みの人が確認の意味でテストしている率が高いと見るかによって見方は変わってきますが、 実数にしたら相当数のサーバが未対策なままで稼動しているということは確かな様です。

■ 関連記事

詳細はこの日の詳細から

2001年02月28日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1 RFC2646[ftp://ftp.isi.edu/in-notes/rfc2646.txt]次の記事 >> このエントリーをはてなブックマークに追加

■ 関連記事

■2 Snort[http://www.snort.org/][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

でも入れてみようかなと思ったり。 きちんと運用するためには専用サーバが要りますね。 スイッチの上に入れなきゃいけないから、結構性能も要求されそう。
こういったパケット収集ツールって上手に構築しないとかえって危険なので、 あんまり興味持ったことが無かったのですが、 最近、おもしろいログを残すお客さんが増えてきたんで、 詳しく手口を分析してみたくなりました。

■ 関連記事

詳細はこの日の詳細から

以上、16 日分です。

指定日の日記を表示

前月 2001年02月 翌月
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project