娘は秋休み中。
今日は休暇を取りました。
ちょうどゴミ当番なので、清掃車がきたあとを掃いて、バケツを一軒一軒返して....
落ち葉拾いをして...
.(いま落ち葉がすごくって、何をやるにも落ち葉拾いを先にしないとまずいのですわ。)
「さぁ!洗車しまショ*^^*ふっふっふ」
ってな具合で、愛車クワトロちゃんにお水をかけはじめた頃。
どこかで見たような制服姿のお方が
「警察ですが、meguさんのお宅ですか?」
げろげろ
実は昨日ホームセキュリティーシステムを誤動作させて、〇ECOMさんに出動していただいたばかりなので、私は最初、そのセキュリティー会社のお方かと思ってしまったのでした。
「すみません、間違えて....」
と謝ってしまった、早とちりな私(^^;;;
よく見れば制服違うじゃん!
『〇奈川』なぁんてワッペンついてるし。
無線がうるさいし。
ピストルも持ってるみたいだし。
疑いの眼で見つめる私に....
『警察手帳』を提示する彼。
#うーん、これ、もしかしたらおもちゃかもしんないぞ。
彼はかばんの中からごそごそと黄色い紙を出すと、
「ここに、ご家族全員のお名前と生年月日、勤務先(学校)」を記入してください。
というのです。
「つい先日国勢調査に記入したばかりなんですが。。。」
と反抗するもむなしく....
警察と国勢調査は情報が繋がっていないそうで。
最近は物騒なので、何かあったときに連絡がすぐに取れるようにこうやって一軒一軒調査してるのだというのです。
私は、変なセールス電話や勧誘にひっかかると夫からひどく叱られるので
勤務先を記入しながらドキドキしました。
『この人、ニセモノだったらどうしよう...』
なので、わずかな抵抗で勤務先の電話番号は「覚えていませーん!」とすっとぼけて空欄にしたのです。
子供たちの学校名や学年まで記入しました。
彼は「最近はこの辺にも変な男がふらふら歩いていたなど目撃されていますから気をつけてくださいね」と言い残して立ち去りました。
さて、、、、
急に不安になって、家の中に駆け込み町内会の住所録を頼りに近所の駐在さんに電話しました。
#この駐在さんは、学校の行事にもよくきてくださるし、本当にやさしいんです*^^*
これこれこうで....と事の顛末を説明すると、
駐在さんは
「あぁ!!その人、カトちゃんを太らせたような顔してませんでした?」
って言うのです。
『たしかに....*^^*』
彼は間違いなく「おまわりさん」だったのです。
町内を見回りながら、うちみたいな未記入の家には記入をお願いしているとか。
でもねぇ、いらっしゃる前にちょっと電話でもしてくれたらねぇ~
#あっそうか、電話番号わかんないんだっけ!!
個人情報がどーのこーのと言われるようになって、警察もやりにくくなってきたようです。
ごめんね、カトちゃん
警察と聞いて恐れるよりも、疑ってかかってしまった自分に笑えちゃったのでした。
ゆうべのことです。
センサー式のホームカメラが反応しました。
「パパが帰ってきたのかな?」
娘といっしょに、モニターを覗き込みました。
なにも、だれもいません....。
タイミング的にはそろそろ玄関のドアが開くはずなのに、ドアを開ける音もしません。
モニターを再度覗き込むと、先ほど撮影された映像が写真になっていて....
その中に人影が....
「今日はピザ屋さんが間違えて来たしね(笑)。」
↑
夕方、おとなりのおとなりに配達に来たピザ屋さんが、間違えて我が家に届けに来たんです!
っと、誰かがいるものと軽い気持ちで、ドアをあけて外を見てみたら....
....だーれもいませんでした;;;;
そのときの映像です←怖いのでリンクにしておきました....
息子に見せても、「なにも写ってないじゃん!ただの影だよ」なんてサラりと言うし....
でも、私と娘はドキドキ。
ピザ屋さんがまた間違えて来て、引き返しただけだったら、いいのだけれど。
赤い上着を着てるみたいだし....。
いまさらスパムメールなのですが。
毎日山のように届くスパムをゴミ箱に放り込む前にひととおりチェックするのですが。
その中に「ん?」と思われるのがあったのでメモしておきます。
最近は友達を装ってきたりするのも多いですよね。
連休前には「GWの旅行の予定どうする....」みたいなのも来たし。
今日来たのは、
「【重要なお知らせ】アンケートにご協力ください。。」
というサブジェクトのもので、差出人のアドレスはyahooメールになっています。
『日本通信事業団体』なんていう、ありそうな名称が使われているのですが。
あやしい.....
と思わせたのは、メールヘッダでした。
だって....Message-ID、わざわざうちのホストにしてあるんです。
(こんな設定もあり?通常Senderのドメインが付与されますよね?)
なにか操作しなければこんな風にはならないはず。
まるでFromを装うウイルスメールみたい....。
ただのアンケートメールなのに「なんのために?」って疑いますよねぇ?
素直に送ってくりゃいいものの。おばかさん。
でも、まんまとひっかかって電話番号その他答えちゃう人いるのかな?
#最近はそんなこともないのかな?
#同様のメールを受信された際にはくれぐれも返事を出さないように気をつけてくださいね。。。
↓は、ヘッダも含めた全文です。SpamAssassinにはひっかかっていません。
(いまさらなんですが、いちおう、hoge変換してあります。)
*******************************************************************
これは、日本通信事業団体より配信されています。
重要なアンケートになりますので、ご協力ください。
*******************************************************************
※インターネットを、皆様に快適に使用して頂く為のアンケートです。
多くの方の意見を参考にさせて頂きたいと思っております。
お手数ですが、アンケートにご協力ください。
━━PR━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
アンケートにお答え頂いた、お客様の中から抽選で3000名に、
日本通信事業団体よりVAIOのNOTEPCのモニターになって頂きます。
※モニター終了後は、返却していただきます。
※モニター期間は、1年間になります。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━PR━━
《アンケートの流れ》
※メール返信を選択肢、空白欄を埋めてから送信してください。
※お名前、住所等の個人情報の記入はありません。
↓↓↓↓↓↓↓↓下記アンケートにお答えください。↓↓↓↓↓↓↓↓↓↓
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃【アンケート】
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.ご家庭の電話番号を記入して下さい。Faxをお持ちの方で、
電話番号と同じ場合でも必ず記入して下さい。
《TEL》
《FAX》
2. 現在ご利用のプロバイダーを教えてください。
《プロバイダー》
3. インターネットの使用頻度を教えてください。
《使用頻度》
4. 良く見るHPを教えてください。
《お気に入りのサイト》
5. 接続は無線ですか、有線ですか?
《接続方法》
※このメールは今後必要になる場合がありますので、必ず印刷または保存
しておいてください。
新種の攻撃とみられる不審なアクセスですが、その後もコンスタントに続くので結局IP制限しました。
HTTP_REFERERは完璧に偽りのものです。
こんな攻撃、実行するのは簡単。
適当なサイトをみつけ、スクリプトをあらかじめ用意しておいて、
HTTP_REFERERをはじめとする変数を書き換えて、定期的に実行させるんでしょうね。
これなら私にもできる。(←でも、しませんよっ!)
でも....、REMOTE_ADDR はどうなのかな?と不安です。
先頭に"HTTP_"とつく環境変数は、ブラウザ(=プログラムなど)で書き換えることができるけれど、REMOTE_ADDR は偽装できるのか?という疑問が残ったのです。
毎度お決まりのIPアドレス(217.106.90.80)を利用。
匿名プロクシを使っているようでもなく、このIPに対して、pingを打ってもたいてい活きていないんです。
5分おきなどコンスタントにリクエスト(GET)が投げられてきているのに。
うーん。うーん。(←悩んでいる音)
ここまで真似できない!
でも、IP制限かけたら、パタっと来なくなったところをみると、やっぱりあのIPアドレスは本物だったのでしょか?うーん。
っと、ここまで書いてふとひらめきました。
あのIPアドレスは本物だとして....
ご本人さん、知らない間にスパイウエアにでもやられちゃってる??
アクセスログに変なのがあって気になったので調べてみました。
13日からだけで64件のアクセス(実は過去のアクセスログにもっとあります)
一行だけ持ってくると....
217.106.90.80 - - [13/Jan/2005:07:24:32 +0900] "HEAD /archives/2004/07/ HTTP/1.0" 200 - "http://www.lyopsrulezforever.com/college-fuck-fest.html" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)"
アクセスされているこのブログのサイトは
/archives/2004/07/
アクセス元......みちゃったんです....(やめたほうがいいです、変なサイトですー。)
気持ち悪いですよね。
もしかして娘の写真....と思ってドッキーンとしたんですが、/archives/2004/07/ここには、そんな話題はありません。(よかった。たまたま7月はなんだかお固い話題しかアップしていなかったのだな...)
あと、このIPアドレス(217.106.90.80)で、ほかのエントリーにアクセスしていないかチェックしたら、それはありませんでした。
それから、参照元のアドレス(http://www.lyopsrulezforever.com/college-fuck-fest.html....見ないでね)をwgetでソースgetして中身をチェックしてみましたが、kiyoというキーワードは現れませんでした。
おそらく.....
敵のねらいは、HTTP_REFERERを偽装して、(私に)このサイトを見るようにしかけることなのではないでしょうか?
スパムメールよりも手の込んだワザと思うけれど。
でも、REFERERに仕込んで何人の人が参照するのか。
アクセスログ解析ツールって、そんなに多くの人が使っていると思わないのだけれど。
いきなりこのIPをアクセス禁止にして「逆切れ」されても怖いので、しばらく様子をみて、あまりに頻繁にくるようでしたら、やっぱりIP制限しちゃおうと思います。
#最近、sshでの不正アクセス試行痕跡もすごく多いんです。犯人はだれよっ!
今朝、十数通のコメントスパムをありがたくいただきました。現在施しているコメントスパム対策は、
『ページを表示した時のIPアドレスと、コメントをPOSTしたときのIPアドレスが異なっている場合にスパムと判定』
することにより処理しています。
ところがどっこい今朝のスパムは最初(ページを表示する時点)から素直に踏み台に乗ってきているらしく、このワナにひっかかってくれませんでした。
#困ったなぁー。(イタチゴッコですわよね。)
今回、ちょっと気付いたことがあります。
同じIPアドレスでほぼ同じ時刻に、namazu.cgiと、mt-search.cgiにアクセスがあったのです。
一例をあげてみます。
コメントスパムのログほか(UTFコードで書かれたテキストが開きます)
※検索(mt-search.cgi,namazu.cgi)は、POST後におこなわれているようである。どーして??
※でも、namazuに検索ワードのログが残っていない。→入力なしで検索ボタンが押下されたと考えられます。
※もしかしたら、HTML上にあるformタグを拾って、すべてにPOSTするようなスクリプトを用意しているのかな?っとも考えられます。
メインページから見えるForm(ボタン)は、コメントの確認、投稿。あとはNamazu検索とmt-searchによる検索フォーム。
相手は日本語がわからないだろうから、最初の2件は確認にSubmitしてしまったのも理解できます。
どうなんでしょうねっ。
とりあえずは、今回のコメントスパムの踏み台にされたアドレスは拒否するように.htaccessを指定
(全部公開しちゃいます!)
<Limit GET>
Order deny,allow
deny from 200.31.17.45
deny from 200.35.81.51
deny from 202.47.247.131
deny from 210.69.180.250
deny from 211.147.225.100
deny from 211.250.81.252
deny from 212.100.249.230
deny from 212.165.158.100
deny from 212.217.2.36
deny from 213.199.192.37
deny from 218.10.248.158
deny from 80.58.3.172
deny from 139.30.163.40
deny from 148.208.233.253
deny from 151.8.7.15
deny from 195.85.209.50
deny from 200.57.4.149
deny from 200.167.242.194
deny from 202.47.247.131
deny from 205.208.226.59
deny from 211.167.4.105
deny from 213.86.52.193
deny from 216.148.246.90
</Limit>
あぁどうやって防御すればいいのかなぁー
ダミーのボタンを設けて、そちらにも同時にPOSTされたらコメントスパムとみなすとか?
(それじゃ、なんだか変だわ。)
nlog(n)さんのサイトで東芝製のハードディスク付DVDレコーダーがコメントスパムの踏み台になっているという話は読んでいたけれど、まさかこれほど話題になっているとは知りませんでした。
あらためて考えてみると
「どうして、そんな状態で出荷したのかしら?」
という疑問がわいてきます。
デフォルトの状態で、踏み台にされてしまうって....
たとえば、sendmailをデフォルトの状態でインストールしたら、スパムメールの踏み台になってしまうのと同じじゃないですか??
東芝もセキュリティの設定のお願いなんてページを作ったみたいだけれど、場所がわかりにくいんです。
メインサイトからのリンクの当社製品をご利用のお客様へ重要なお知らせには表示しないのかしら?
どうも消極的に見えて仕方ないんです。
#私はクレーマーでもなんでもなくてただの通りすがりなんですが。
ただ、コメントスパムは今まで100通くらい受けているのでその中にはこのDVDレコーダーを踏み台にしたものもあったかもしれません。
私のところにこれまできているコメントスパムですが、コメントをPOSTするときだけ、踏み台を利用しています。
コメントFORMを表示した際のIPアドレスは、spammer.txtから推測すると
mail.gamblingshift.com
male.webrats.com
host***.easymanaged.com
のいずれかです。
これらに対して、踏み台にされたIPアドレスは毎回異なっています。
きっと、足跡を残さない匿名プロキシ(踏み台になるプロキシ)のリストを持っているのでしょうね。
その中に、東芝製DVDレコーダーのアドレスが多数含まれているかもしれないということです。
私が持っているコメントスパムPOST時のIPアドレスに対して、東芝製のDVDレコーダーがないかチェックしてみましたが、該当するものはありませんでした。
活きていないIPアドレスもあったので、もしかしたらDVDレコーダー踏み台経由もあったかもしれません。
DHCPを利用して動的に振られている場合もあるし、かなり時間もたってしまっているし、特定のしようがないです。残念。
手におえないのは、プロキシがDVDレコーダーなので所有者が(踏み台に利用された人が)調べようにも、PCのようにアクセスログも残っていないことでしょうか?
果たして東芝のアナウンスだけで大丈夫なのでしょうか?
少しでも広めたくて、エントリーしました。
もし....
該当のDVDレコーダーを使っていらっしゃる方で、ブラウザ経由で番組予約などできるように設定されていらっしゃる方、パスワード保護されるか、ポートを80、8080以外に設定されますよう、お願いいたしますね!
今日も娘は
「ひとりでピアノの先生のおうちまで行く」
といいました。
前回ひとりで行かせたとき、ココセコムを持たせて検索したけれど、ぜんぜんまとはずれな位置情報が返ってきて、「解約してやる!」と思っていたのですが....
今日はバッチリでした。
地図では先生のお宅の前の道路を指していたので、誤差5メートル以内!!
(レッスンルームは道路沿いのお部屋です)
すごいぞ、すごい。
ちゃ~んと行けた娘もえらい(親ばか)。
環境がよくてクリアに検索できたのでしょうか。
っというワケで、やっぱり解約するのはやめにしておくことに:-)
町内会の役員会で「Phishing詐欺に注意しましょう。」
という呼びかけがありました。
「オレオレ詐欺ならわかるけれど、どーしてこの高齢化した町内会でフィッシング??
ここにいるおじいサマ方、メールなんてしてるわけ???」
まわりの奥様方は『なにかしら、フィッシングって...気をつけなくちゃ』っておっしゃっていました。
フィッシング詐欺って少し前にシティーバンクから私のアドレスに送られてきたときに調べたことがあります。
銀行やカード会社を名乗った偽のメールを送ってくるんです。(HTMLメール)
そこにリンクが貼り付けてあって、クリックすると口座番号やパスワードを入れる画面とかになっているそうです。
そのメール、すぐに消しちゃったので後悔しているのですが(笑)、
確か、Fromアドレス、メイラで一覧表示したときにはcitibankと表示されるようになっていました。
海外からの迷惑メールは山と来るのですが、さすがにcitibankなんて見るとちょっと気になりますもんね。
本文は、Citibank内のURLが書いてあって、そこで口座情報を入れろとかそんな文章だったと思います。
#でも私、シティーバンクに口座もってないんですけど....笑。
ただ、私、HTMLメールは開かないように設定してあって、
そのリンクのURLをコピペしてブラウザで開くと、そのサイトは存在しないんです。
HTMLメールを読める設定にしてあると、実際にクリックしていく先のURLは違うアドレスになっているようです。
(う~、これもメール本体を削除してしまったので確かめられない...実に残念です。
なんでもポイポイ捨てるのはやめるようにしたほうがいいのかも??)
しかも悪質なことに、その偽者画面が表示されたときはアドレスバーを非表示にしてあるんですって。
これなら、善良な市民ならだまされちゃうわねぇ~
↓私が受信したのと(たぶん)同じメールについて解説してあるサイトをみつけました。
http://arena.nikkeibp.co.jp/col/20040709/109028/
メイラーですが、あやしい場合は必ずヘッダを見るように注意しています。
見るポイントは、Fromアドレスそのものではなくて、
・Message-ID(IPアドレスがわかる場合もある)
・最初の中継ポイントのFrom
これらがFromアドレスと結びつかない場合は疑います。
それと、やっぱり、HTMLメールは表示しないように設定しておくのが得策ですよね:-)
またまた不正アクセスネタであります。今日も、なにげにログを見ていて(性格悪い?(笑))、みつけてしまいました。
/var/log/secureを"FAIL"でgrepすると、"swat"が山とヒットするんです。
sgi_famでひと段落、落ち着いたと思っていたのに甘かった。
swatとは、sambaをWeb経由でコンフィギュレーションするモノです。
なんで、ローカル以外の人がアクセスするわけ?
samba自体、LAN内で使うモノなんだし...う~~
sambaのセキュリティホールでも狙っているのかしら?
っと思って、調べてみたらみつかりました。
linux.or.jpのセキュリティ情報からの引用なのですが、下記のようなセキュリティホールがあるそうです。
Samba
2.2 系の 2.2.9 までのバージョンおよび 3.0 系の 3.0.4 までのバージョンの hash アルゴリズムに,
リモートからのシステムの不正なクラッシュや, 任意のコードを実行を可能とする不具合が発見されました.
また, 3.0 系においては, ウェブベースの管理ツール SWAT に,
リモートからの任意のコードの実行を可能とする不具合も発見されています.
該当するバージョンをご利用の方は, 早急に最新の 2.2.10 または 3.0.5 か,
各ディストリビュータから公開されている対応済のパッケージにアップグレードしておきましょう.
Samba
(1,2),CAN-2004-0600,CAN-2004-0686
[RedHat,Miracle]
実は私、smb.confをエディタで更新するのが好きなもので、swatはほとんど使わないんです。
#「あれ?じゃ、なんでMT使っているの?」って聞くのはナシね(笑)。
swatも止めちゃおうかなぁ~~
しっかし、敵もさるもの、あの手この手でアクセスしてきますわね。
どんな悪さしようと企んでいるんでしょうか?
そこで、本日の晒しモノ...swatさん一覧であります。
Aug 5 050:17 megu xinetd[31557]: FAIL: swat address from=218.152.27.6 Aug 5 07:18:54 megu xinetd[32311]: FAIL: swat address from=65.60.147.26 Jul 25 09:07:45 megu xinetd[13157]: FAIL: swat address from=4.15.237.105 Jul 13 031:24 megu xinetd[5216]: FAIL: swat address from=211.198.231.148 Jul 13 0311 megu xinetd[5217]: FAIL: swat address from=220.72.244.186 Jul 13 048:09 megu xinetd[5224]: FAIL: swat address from=80.5.78.164 Jul 13 049:42 megu xinetd[5225]: FAIL: swat address from=218.152.231.171 Jul 13 049:57 megu xinetd[5226]: FAIL: swat address from=203.40.163.154 Jul 13 050:27 megu xinetd[5227]: FAIL: swat address from=220.72.244.186 Jul 13 055:49 megu xinetd[5235]: FAIL: swat address from=218.152.231.171 Jul 13 059:23 megu xinetd[5240]: FAIL: swat address from=220.88.7.170 Jul 13 05:00:42 megu xinetd[5241]: FAIL: swat address from=218.51.151.154 Jul 13 05:010 megu xinetd[5248]: FAIL: swat address from=61.42.129.9 Jul 13 05:016 megu xinetd[5249]: FAIL: swat address from=220.87.116.123 Jul 13 05:050 megu xinetd[5256]: FAIL: swat address from=211.107.231.36 Jul 13 05:06:06 megu xinetd[5257]: FAIL: swat address from=220.88.7.170 Jul 13 05:12:42 megu xinetd[5287]: FAIL: swat address from=80.5.78.164 Jul 13 05:18:21 megu xinetd[5290]: FAIL: swat address from=211.178.35.229 Jul 13 05:19:15 megu xinetd[5294]: FAIL: swat address from=213.214.55.190 Jul 13 05:222 megu xinetd[5299]: FAIL: swat address from=61.42.129.9
sshやtelnetでトライしてくる人も相変わらずいるし....もう~~っ!!
ワームに感染して変なスクリプト実行しようとしてくるのも困るけれど、
swatなんか絶対に、意図的にアクセスしてきてるんですよねっ。
なんか、お仕置きする、いい手ないかなぁ~
swatは起動しないようにして、901番ポートにつないできたら 「お仕置き画面」を表示するとか?(笑)
#もしかしてこれって名案かも...。
いえいえ、やめておlきます..。
だって、悪意をもってアクセスしてくる人たちは、そんなことされたら、逆切れされる可能性がありますよね?
小心モノなのでやめておこう....。でも↑にさらしちゃったけど....
たぶん彼らは日本語がわからないから大丈夫....ということにしておこう(笑)。
メールアドレスや、自分のサイトのURLを他人に勝手に使われちゃったことありませんか?
たまに身に覚えのない確認メールが来ます。
「またかっ!」
って思うのですが、んと、頭きちゃいます。
今日来たメール(↓参照)みたく、登録削除できる場合は削除します。
まったく手がかかるんだから....
平素は「メールイン」をご利用いただき、誠にありがとうございます。
会員の方より、パスワードに関してのお問い合わせを頂戴しまして、
お調べさせて頂きましたところ、一部の会員の方でパスワードの設定がされて
いない、あるいは「NULL」と表示されているとの事が判明いたしました。
恐れ入りますが対象のユーザー様にはパスワードを再設定させて
頂きましたので、ご確認頂けます様よろしくお願い致します。
――――――――――――――――――――――――――――――――――――
・ご登録メールアドレス:kiyo@kiyo.com
・パスワード :honyanyara
――――――――――――――――――――――――――――――――――――
なお、ご登録情報の閲覧・変更・削除は、下記URLより行う事ができます。
http://www.mailin.ne.jp/user/chng.html
メールイン 運営事務局
http://www.mailin.ne.jp/
URLを勝手に使われちゃった例はこれ
ダイアモンズさんのプロフィール@ハンゲーム
この人、勝手に私のURLをプロフィールに登録しちゃってるんです。
ったくったく....
皆様はこんなとき、どんな対応されていらっしゃいますか?
もしかして...こんな風にさらしちゃうのはルール違反?
MT3.01を新規にインストールしたあと、.htaccessファイルの設置を忘れていました。
#どこからでも誰からでもアクセスできちゃっていましたね(^^;;;
mt.cfgも....mt.cgiも...
駄目よ、見ちゃ!!>そこの貴方!!
余計なcgiも入ったままでした(^^;;; いけない、いけない...
これらはtoolsというディレクトリに移動しちゃいました。(別に削除してもかまいませんが)
$ mv mt-db2sql.cgi ../tools
$ mv mt-load.cgi ../tools
※ダウンロードしてきた、MTのtar.gzファイルをローカルなPC環境であらかじめ解凍してから、FTPでアップロードされる方は、アップロード自体をしないのでしょうね。
でもサーバーサイドで解凍していらっしゃる方は要注意です。
新規インストールは、こういうコトを忘れやすいので気をつけなくてはなりません。
(って私だけですか?)
アクセス制限は自前のサーバなのでhttpd.confでも出来るのですが、私は.htaccessで対応しています。
.htaccessの内容は下記のようにしています。
<Files mt.cfg>
<Limit GET>
deny from all
</Limit>
</Files>
<Files mt.cgi>
<Limit GET>
Order deny,allow
deny from all
allow from 192.168.1.0/255.255.255.0 ←ローカルアドレスからのアクセス
allow from ***.***.***.*** ←自分が使うであろうGlobalIPアドレスを設定
allow from ***.***.***.*** ←(複数設定できます)
</Limit>
</Files>
上記設定で、管理画面は許可されていないIPアドレスからはアクセスできなくなります。
コンフィギュレーションファイル(mt.cfg)は、すべてのIPからアクセスできなくなります。
ほっ。
※今日の晒しモノ(どこの誰ですか?うちにアクセスしようとした人!!)
Aug 3 08:20:41 megu sshd[24747]: refused connect from 211.138.142.26 (211.138.142.26)
セキュリティーの問題... 普段から/var/log/secureなどチェックするように心がけているのですが
ひとつ解決すると、またひとつ...?
今度は、apacheのerror_logにいっぱいいっぱいログが残っているのを発見しました。
(気付くのが遅いって...)
なぜかrefererが http://blog.kiyo.com (つまりここのサイト)になっているので関係ないとも思われず、こっちにアップすることにしました。
/home/blog/public_html/shop, referer: http://blog.kiyo.com/
[Sun Jul 04 21:08:57 2004] [error] [client 192.146.226.29] script not found or unable to stat
: /var/www/cgi-bin/formmail.pl, referer: http://blog.kiyo.com/
[Sun Jul 04 21:08:59 2004] [error] [client 206.204.190.4] script not found or unable to stat
: /var/www/cgi-bin/contact.cgi, referer: http://blog.kiyo.com/
[Sun Jul 04 21:09:04 2004] [error] [client 207.127.8.2] script not found or unable to stat
: /var/www/cgi-bin/mailform.pl, referer: http://blog.kiyo.com/
[Sun Jul 04 21:09:06 2004] [error] [client 209.184.108.162] script not found or unable to stat
: /var/www/cgi-bin/formmail.cgi, referer: http://blog.kiyo.com/
[Sun Jul 04 21:09:08 2004] [error] [client 12.104.198.106] script not found or unable to stat
: /var/www/cgi-bin/FormMail.pl, referer: http://blog.kiyo.com/
[Sun Jul 04 21:09:29 2004] [error] [client 66.193.160.126] script not found or unable to stat
: /home/blog/public_html/mail.cgi, referer: http://blog.kiyo.com/
[Sun Jul 04 21:09:30 2004] [error] [client 216.23.208.220] script not found or unable to stat
: /home/blog/public_html/mail.cgi, referer: http://blog.kiyo.com/
[Sun Jul 04 21:09:31 2004] [error] [client 213.69.149.153] script not found or unable to stat
: /var/www/cgi-bin/fmail.pl, referer: http://blog.kiyo.com/
[Sun Jul 04 21:09:32 2004] [error] [client 63.160.254.40] script not found or unable to stat
: /var/www/cgi-bin/form.cgi, referer: http://blog.kiyo.com/
単純な私は、
「MT3.0が生成したhtmlにそんなリンクがあるのかぁ??」
っと、思わずblog.kiyo.com以下のディレクトリを"formmail.cgi"とかでgrepしちゃいました。
でも、ヒットしなかったんです。(当然です!笑)
/var/www/cgi-bin/formmail.plとか
/var/www/cgi-bin/contact.cgiとか
ありそうだけれど、私は置いてないですもん〜笑。
ヒットしなくてもreferer....っということは『でっちあげ』ということですね。
(でなければ、ブラウザのいたずら??それにしては件数多すぎ。)
これはもう故意のアタックとしか考えられないです。
ネット検索してみたら下記のサイトが見つかりました。
FormMail hall of shame
わぁ〜〜、さらされちゃってる!!
やっぱりformmailのセキュリティホールを狙ったアタックだったのですね。
この方は、あったまきて(?)、偽のスクリプトを作っちゃったみたいですね。
そこにPOSTすると、上記のサイトみたいにさらされちゃうワケですね......わぁよくできてる!!
ただのerror_logだと、POSTされた内容はわからないんです....。
(以前はAccessMethodがGETだったようで内容がつかめたみたいですが、敵もさるもの?上のアクセスはPOSTで来ています。)
だからformmail.cgiを設置して、内容を取り込むのは正解だと思います。
自分宛てに詳細のメールを出すように仕込むなんて、すごすぎ。
(私に性格が似ていると思うけれど、実行にうつしちゃうところがすごいです。)
考えることは皆同じ?
私も身に覚えあるけれど...(笑)
というか、上のログでもIPを消していないので、同じことの一部をやってしまっているワケですが。
でも、FormMail攻撃は悪質ですからこのくらいやってもいいと思います。
blog.kiyo.comがターゲットにされたということは、blog.kiyo.comは、www.kiyo.comよりも露出度が高いのでしょうか?
まだまだ試験サイトなのに....。
やっぱりblogはメジャーなのかもしれません。
気をつけないと。
原因はわかったけれど、さて...どうしていいものか。
今はとても忙しいし、でもちょっと考えておきます。
なぁんて悠長に考えていたけれど、パスワード保護している親ばかサイトの中に問題のMatt Wrightのformmail.cgiスクリプトを発見!
とりあえずあわてて直したのでした。
応急処置ですが、recipientを外部からパラメタで受取るのをやめて、固定にしちゃいました。
....って、よく考えてみたら、パスワード保護しているんだから修正は必要なかったかもしれないけれど(笑)。
※kiyo.comサイト開設時、まだ世の中にはフリーのスクリプトもほとんどなくて、Matt Wrightにはかなりお世話になったのです。
「WebDAVでのアクセスは減ってきたなぁ~」 「でも、ホントかな?」
なぁんて、/var/log/messagesを見ると、いくつかアクセス拒否した痕跡が...
もう、セキュリティネタばかりになってしまうのですが...
Telnetやsendmailを試みられた形跡が何件かありました。
ったくもう~っ!!
ただ、それとは別に/var/log/secureに山のように出力されていたのが、sgi_famというヤツ。
Jun 25 01:24:03 megu xinetd[1747]: START: sgi_fam pid=25594 from= Jun 25 01:24:03 megu xinetd[25594]: FAIL: sgi_fam libwrap from= Jun 25 01:24:03 megu xinetd[1747]: START: sgi_fam pid=25595 from= Jun 25 01:24:03 megu xinetd[25595]: FAIL: sgi_fam libwrap from= Jun 25 01:24:03 megu xinetd[1747]: START: sgi_fam pid=25596 from=↑こんな感じです。
sgi_famというサービスが動いていたんですが、止めました...。
しかしながら、sgi_famというサービスが何者かわからない。
英語サイトしか見つからなかったけれど、famって何?
使わないから止めちゃったけれど、んでよかったのか?
みてみたら、再インストール直後から出ていたんです。
設定の問題かも。
追記...どうやらxinetdのバグだったらしいのです。
(http://bugzilla.redhat.com/bugzilla/long_list.cgi?buglist=74696)
http://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=119918
xinetdのバージョンは2.3.12。
2.3.13にあげればいいみたいだけれど、下記の訂正でもOK。
/etc/xinetd.d/sgi_famに、flags=NOLIBWRAPを追加する。
最近WebDAVを経由した不正アクセスが増えています。
#私はWeb経由でファイル更新なんてするつもりはないのでそんな設定してないですよっ!
おしおきに...(笑)、
これからWebDAVアクセスログを公開しちゃうことにしました。
下記リンクで参照することができます。
なお、お申し出があれば削除いたします....。
WebDAVを経由した不正アクセスのログ
アクセスログの取り方(apache、httpd.confの設定の仕方)は下記のメモの通りです。
アクセスログの取り方メモ
その後.....
たくさんアクセスのあったIPアドレスについて、管理者の方と連絡が取れましたので、ログから削除しました。
残りは意外と少なかったです。
それでもまったくないワケではないので、しばらくこのままにしておかせてください
....
