_ おめでとうございます

今年はどうなることやらｗ

_ 風邪

ようやく少し声が出るようになった。

あと二日で治さねば。

_ まずは

親父の墓参りと初詣。

毎年恒例の千葉神社。

今年は前厄らしいので御札が増量された。

去年散々だったのでこれ以上酷くはならないことを願うｗ

_ あらら

アメブロ正月からお祭りですな。

「不正アクセスで被害届」って以前に情報管理がおかしい気がするんだけど。

そもそも自身が持っている非常に大きな問題を、被害者という立場を取ってウヤムヤにしようとしてる感じがありあり。

あー、昔某大手通販でそんなことがありましたな、「サイバーノーガード戦法（爆）」ってのが。

_ 疑問？

いや、某ｎ氏もTwitterに書いてたけど、何でユーザの生パスが一覧で存在するのかとかさ。。。。

俺んち鯖だって家族のパスワードは（゜⊿゜）シラネ。

用事があれば断ってsuするし、忘れちゃったら本人が再設定。

こっそり代行で書き込むなら管理者権限からsuすりゃいいじゃん。

そんな仕組みもねぇって事?

_ 思い出した

ので、夜中にゴソゴソ。

_ 年賀状

もう、出すの止めてから何年か経つ。

でも結構来るなぁ。

出してくれた人、ありがとうございますた。

(*^ー^)ノ♪

生存と居所確認には良い手段だよなぁ。

自分のバヤイは、whoisすれば判るかと。。(^^ゞ

_ 今年は

カレンダー通りだから、あまり休んだ気がしない。

昨日から仕事だけど「まだ５日かよ」って感じもする。

ま、今週頑張ったら三連休だ。

＼(^o^)／

_ 風邪

年末からの咽の腫れはだいぶ退いたが、まだ完治しない。*1

寝るときも含めて、マスクしてると湿気が逃げないのでかなり楽。

_ FreeBSD8.0

出てるのは分かっていたけど、Japanのページだけいつまでも更新されないなぁ。

X.0でいきなりは生贄っぽいし、本番鯖は8.1ぐらいまで待つか。

それまではISOイメージをVMにmountしてVerUpの実験でもしてるかな。

_ NAS

ネットワークビデオプレーヤを考えながら、逆に共有用のNASも欲しいなぁと思う。

でも出来合いは高い。

Mini-ITXにAtomのN330/D510辺りとFreeNASでどうじゃろか？

これもFreeBSDベース。

_ ぷち

新年会みたいなもの。

お疲れでした。

_ 試してみた

まずはFreeBSD8.0から。

VMで7.2Rを起動してfreebsd-updateから-rでやてみた。

色々動いた状態で試したら、見事に失敗。

そりゃそうだな、kernelはGENERICじゃないから他のバイナリだけ先に置き換わる。

途中でエラー続出。

結局CDイメージで起動して普通にアップデート完了。

デバイス周りはsioやらUSB周りがちょっと変わってるので要注意。

おうち鯖のアップデートの時に気を付けよう。

_ FreeNAS

試しにVMこしらえて入れてみた。

ふーん、確かに入れるの簡単。

設定画面の日本語も結構使える。

SMBはCP932やUTF-8も使えるので問題ナス。

UPnPは一瞬便利かとオモタけど、メディアファイルの曲名とかプロパティの日本語が化けるのでダメだなぁ。

って、どうするつもりなんだ？わしゃｗ

_ キックボード

年末から前輪部分の部品が脱落して使用不能。

つーか、前輪取れた時点で部品回収してこい！

簡易サスのスプリングとか、色々不足。。。

結局手持ちのボルトで寸法確認してから、肝心のスプリング調達。

ホムセンの規格品じゃ丁度良いのが無さそう。

思いついたのがバルブスプリング。

夕方から次男坊を後ろに乗せてバイク屋さん。

4スト原チャリのバルブスプリングを2本もらって、ボルト2本買って修理完了。

なかなか良くできた。

_ 更新

cronに仕掛けているfreebsd-updateコマンドが、5割以上の確率で失敗する。

サイトが悪いのか鯖が悪いのか、切り分け必要だお(＾ω＾)

_ 失敗

ルーターに、アドレス詐称を弾くフィルターを設定したつもりが、方向間違えた。

今日は1日外部からアクセス不可ですた。

会社から見て気付いたわ。

サーセンw

_ 今朝は

結構寒いな。

布団が恋しい今日この頃w

_ マジレス

って言うのか?　これはｗ

ヤクザ組長「２ちゃんねるで『びびってる』と書かれ、立腹」→ダンプで対立組員の車に突撃

いやいや、いくら何でも煽られ耐性無さ過ぎだろｗｗｗｗｗｗｗ

まさに「ウソをウソと(ry」です。

ソースが2ちゃんで何を信じちゃったのか。。。。

Vipperと闘ったりするのを見てるのは面白そうだけど、多分そりゃねぇな。

_ 暗号化

強度が弱いとまた言われた。

ふむふむ。。。

httpd/sendmail/qpopperそれぞれあるわけだが、、、

ApacheやqpopperはSSL/TLSのバージョン指定が出来る。

なので、TLS/SSLv3だけの指定があれば

'ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM'

と

'ALL:!SSLv2:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM'

は同じ結果。

でも、そんなの関係ねぇsendmail.cfは結果が違っちゃう。

/usr/local/bin/openssl ciphers -v 'ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM'
/usr/local/bin/openssl ciphers -v 'ALL:!SSLv2:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM'

それぞれの結果を見ると分かる。

要は明示的に書いた方がより安全みたいなので、

ALL:!SSLv2:!NULL:!EXPORT56:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM:+SSLv3:+TLSv1

にしてバッチリ。

_ 月曜日から

飛ばし気味。

会社出たのが22時過ぎ。

調子は悪くないが、金曜日は胃カメラだから要注意。

_ 連チャン

いやいや、大丈夫か？わしw

昨日はかなりチャンポンで、今日の昼まで頭痛。*1

今日も飲み会で迎え酒。*2

あー、明日こそ普通に帰らないと、金曜日は胃ガメラだw

_ 今流行の

がんぷら*1じゃなくてGumblar。

総当たりで「ぁゃιぃ埋め込まれたIFRAME/SCRIPT」を検索するソフト発見(*゜Д゜) ムホムホ 。

一昨日から試してみようと思っていたのだが、忘れていた。

で、ローカルのネットワークからおいら鯖にスキャン掛けると若干取りこぼすので、待ち時間を入れる方が良いみたい。

パターンの追加変更も出来るし、動的ページもとことん追いかけてくれるので便利。

でも、cgiのパターンもリンクがあれば全部叩くだけに激しく時間と負荷がかかる。

まぁ、動的ページに埋め込まれていないという保証もないわけで、安全サイドから考えたら仕方が無いか。。。。

_ 胃ガメラ？

午前中に無事完了。

相変わらず苦手だ。

「うぇっｗｗｗｗ」じゃなくて「うぇっおぇっ」って感じで。

もうね、メガネ外してるし涙目で、「ほら見える?」とか言われてもそれどころじゃねぇよ。

結果は「あー、キレイに治ってるねぇ」だそうで。

原因ねぇ。。。仕事も酒も大して変わっておらんですよ。

(´-ω-`)

_ spam

このところSpamAssassinとClamAVでほぼ誤検知無しな環境な訳だが、思い出したように[spam]マーク付けたヤツをチェック。

ふむふむ、、、、

ヘッダを見たら「onvt.com (localhost [123.22.185.181] (may be forged)) by・・」だと。

涙ぐましく「localhost」に詐称しとるわと思ったら、「onvt.com」も偽装。

Daemon5# nslookup 123.22.185.181
Server:  Daemon5.uekusa-com.com
Address:  0.0.0.0
Name:    localhost
Address:  123.22.185.181

しかし、nslookupで「localhost」返してくるとはｗｗｗｗ

ちなみにwhoisしてみたがこいつはダミー

Domain Name: ONVT.COM
Administrative Contact:
Rae, Kathryn kathy@raemedia.com
Winfield
Lake Country, BC V4V 1Y3
CA
766-2500

で、IPでwhoisしたヴェトナムのこいつ！

inetnum:      123.22.0.0 - 123.22.255.255
netname:      VNPTinfrastructure-NET
country:      vn
descr:        Vietnam Posts and Telecommunications(VNPT)
admin-c:      NXC1-AP
tech-c:       KNH1-AP
status:       ASSIGNED NON-PORTABLE
changed:      hm-changed@vnnic.net.vn20081016 20081016
mnt-by:       MAINT-VN-VNPT
source:       APNIC

123.16/12*1って結構広大だな。

ちなみに123.16-123.31の間はどこを逆引きしても「localhost」ってspamウハウハ仕様です((´^ω^))ゥ,、ゥ,、

まぁ、一生ヴェトナムには用事がないので丸ごとバッサリでした。

つーか、(　゜Д゜)＜氏ね！

_ 試しに

mod_securityでちょろっと拡散防止の保険と、一部対策。

「SecResponseBodyAccess On」にして、以下のルールを作成してinclude。*1

読み込む順番は、先の方が良いね。

後ろの方だとエラーになったり挙動が変わる。

POSTされてくる内容やファイル、Referrerも一応確認。

手口は内部からftpアカウント盗んでだから、まともに外から来る可能性は低いが念のため406。

RESPONSE_BODYも見ているので、万一変なファイル置かれても、他人様が読んじゃう前に415で止める。

まぁ、こんな感じ。。。（「/＊C●DE1＊/」を含むhtmlファイルを置いてみた）

でもなぁ、ftpアカウント取られた時点でこの程度のルールぐらい書き換えられちゃってもおかしくないよね。。。

「気は心」程度かな。

SecRule REQUEST_HEADERS|ARGS "/\＊L●PL\＊/"\
 "status:406,phase:2,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
SecRule RESPONSE_BODY "/\＊L●PL\＊/"\
 "status:415,phase:4,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
　
SecRule REQUEST_HEADERS|ARGS "/\＊CO●E1\＊/"\
 "status:406,phase:2,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
SecRule RESPONSE_BODY "/\＊CO●E1\＊/"\
 "status:415,phase:4,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
　
SecRule REQUEST_HEADERS|ARGS "/\＊G●U GPL\＊/"\
 "status:406,phase:2,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
SecRule RESPONSE_BODY "/\＊G●U GPL\＊/"\
 "status:415,phase:4,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
　
SecRule REQUEST_HEADERS|ARGS "/\＊Ex●eption\＊/"\
 "status:406,phase:2,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
SecRule RESPONSE_BODY "/\＊Ex●eption\＊/"\
 "status:415,phase:4,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"

_ RESPONSE_BODY

そう言えば、この項目がなかなかフィルタされずに半日悩んだ。

RESPONSE_BODYの項目を読むと「SecResponseBodyAccess On」と「MIMEタイプ設定*1してね」ぐらいしかマニュアルに書いていないのだが、SecResponseBodyAccessには、

Dependencies/Notes:
This directive is required if you plan to inspect HTML responses.
This directive must be used along with the "phase:4"
processing phase action and RESPONSE_BODY variable/location.
If any of these 3 parts are not configured,
you will not be able to inspect the response bodies.

だと。

いや、ずっとphase:2でやっていて悩んでしまった。

ちなみにマニュアルの図を見ると、本来「REQUEST_HEADERS」はPhase1っぽいが他の例を見てもPhase2になってる。

結局Phase2とPhase4で分けてみた。*2

ふーん(　´_ゝ｀)

_ 月曜日から

飛ばしすぎ。

結構疲れた上に、自分の資料*1作成進まず。

あー、現実逃避してーw

_ あぶねぇ

先週、二日酔いの原因になったメンバーと。

さすがに今日は慎重だぜw

しかし、木曜日も飲みが決定してるから明日こそ普通に帰らないと。*1

_ 懸案の

資料まとめに入ったら、トラブル対応で日中動けず。

瞬発力な対応の仕事も好きなんだが、今は勘弁してくだしぁw

資料使うのは来週月曜。

明日の朝には目鼻が付きそうなところまで追い上げた。

_ UDP

全く別の案件だが、偶然にも内部のActiveDireatoryがらみと外部のDNSでUDP故の問題に当たったぽい。

アプリケーション側でフォローがなければ、廃棄やフラグメントで順番狂うとアウト。(´Д｀)

そりゃそうだ。

特に外部は経路上のどこでポイされたか後から知ったり再現するの難しす。

(´-ω-`)

_ 予定通り

ですた。

最後は3人で終電近かったけど。

_ 資料

そろそろ目鼻が付いたけど、正直誰が話してもこんなオチにしかならないって所が辛い。

え？何かって？

わしの名前でggrks。。。orz

_ ネタ調査

某巨大掲示板で、リアルタイムに変化を見ていたりする。。。

102 ：45：2010/01/29(金) 19:42:06 
>> >>94 
沖○情報 
ジェイ・●●・メタル 
漢方 コ●●シ薬局 
以上whoisよりめるぽしました。 
　
> > 崩壊中 
ひょっとして管理者とクラッカーの上書き合戦だったりして。。。

_ 噴いたｗ

改ざんVS上書き復旧て・・・おい！

その前にftpパス変更したりサイト停止したりしろよｗ

_ テスト

ちょっと不具合確認用にダミーの文書ファイル作成。

他の人が確認に使えるように送ってあげたのだが、「メーカに確認するのに送れませんｗ」と来た。

さすがに内容が「ちょｗｗｗｗｗｗなんぷらーｗ」じゃまずいわな。

だから、社内のテスト用だってばｗ

送る前に気付いて良かったね！*1

_ 今日は今日とて

飲んだわけですが。。。。(゜Д゜ )ナニカ?

いやね、先行した人に聞いた場所に行ったら看板がこれって・・・・

実は入り口違いだったのだけど、ネタなのか、おいらが釣られているのか心配だったりした。。。

_ 回線

固定IPの他にも実験で使いたいので、マルチセッションで使えるようもう一ヶ所安いところ探した。*1

結局月額500円ぐらいが最安値だな。

ルータは5本までセッション張れるけど、Flet's側が2本以上は有料で追加。

フレッツスクエア滅多に見ないしいらねぇや。

と言うことで、使い分け設定完了。

_ スロットル

spam対策で、sendmailのスロットル絞ってるの忘れてた。

ウチにそんなに大量のメール来ないし、一気にセッション張るのはspamやさんだけだから。

と思ったら、Nessusとかで弄るとタイミングによってはお腹いっぱいになってOutOfServiceになったりする。

仕方が無いので、スロットルを10、子プロセスを20まで許可。

-----
# maximum number of new connections per second
O ConnectionRateThrottle=3
　
# maximum number of children we allow at one time
#O MaxDaemonChildren=0
O MaxDaemonChildren=10
-----