RSS
いつ頃から始まったのかはもう覚えていないのだけれど、
うちの鯖のhttpdのアクセスログに、毎日のように嫌な感じのお客さんが記録されている。
具体的にはcgi版のphpの脆弱性を狙ったアクセスとか、
同じくCMSの脆弱性を狙ったアクセスとか。
一度や二度ならともかく、毎日似たようなホストから記録されてるので
いい加減うんざりしてきた。
というわけで、index.phpにちょろっとスクリプトを仕込む。
if( strpos($_SERVER[‘REQUEST_URI’],’/images/stories/’)!==false ||
strpos($_SERVER[‘REQUEST_URI’],’option=com_jce’)!==false ||
strpos($_SERVER[‘REQUEST_URI’],’/cgi-bin/php’)!==false ){
error_log($_SERVER[‘REMOTE_ADDR’].”
“,3,’./evil_host.txt’);
}
これで、アクセスしてきたホストのIPを evil_host.txt に保存。
次に、cronで以下のスクリプトを回す。
# http 経由の邪悪なアクセスリストをソートしてpfのリストを作成する。
/usr/bin/sort -u /opt/htdocs/http/nucleus/evil_host.txt > /etc/pf.evilhost
# PFをリロード
/sbin/pfctl -f /etc/pf.conf > /dev/null 2>&1;
あとは、pf.conf で pf.evilhost をテーブルとして定義して、全部弾いてやれば良い。
とりあえず、cronの感覚は一時間にしておいた。
少し放置して様子を見ることにする。
あんまり変更が有るわけではないのだけれど、
Android版らいつべバルーンの有効インストール数が100を超えたのでその記念リリース。
変更点は以下。
さよなら、Stickam&WMECast。
・Stickamがユーザー一覧返さなくなったので削除。
・WMECastがずっとだんまりなので削除。
・通知設定とNG設定で justin.tv が選べないのを修正。
・番組表のステータスバーを右クリックした時には、現在カーソルがあたっている配信を開くように変更。
・HTMLエンコードされた文字列をデコードするように変更。
個人的には、ステータスバーの右クリックがいい感じに動いてくれる。
左クリックで通知対象の配信をザッピングして右クリックで開く。
という使い方がなかなかよろしい。
ちょっと気になることがあってDNS立ててみた。
dnsmasq は超簡単なのだけれど……
どうみてもオープンリゾルバです。ありがとうございました。
という訳で、外から来る応答を返すのに使うのはちょっとマズい。
ということに気がついた。
気がついたのは、好き勝手やった後なのだけれど。
BIND はちょっと敬遠したい。
なんか、イメージが良くないよね。BIND。
難しいとか、バグいっぱいとか。
結局選んだのは NSD。
ゾーンファイルとか訳わからん状態から手探りであれこれやって、
何度か konata.net の鯖を応答できない状態に陥れたりしてとりあえず構築完了。
まぁ、そんなにアクセスがあるわけでないから問題ないよね。
臨時用2ch串開けてた頃ならちょっと被害があったかもしれんけど。
2chは規制が綺麗サッパリ消えて一時の平穏が訪れた様子。
でも、書き込み時にポートスキャンするようになったとか何とか。
ま、書き込まないから気にしても仕方なし。
閑話休題。
ひとまず、試したいことは出来たのでしばらくこの構成で行ってみよう。
さて、らいつべバルーン直さなきゃ……
自宅サーバのApacheに対するPOSTメソッドをかるくさらってみる。
大抵は海外のよく分からんホストからのPOST要求で、当然ウチのサーバは要求を蹴ってるのだけれど、
その中で目を引いたのが以下。
さくらのVPSかなんかだとおもうのだけれど、もろ国内。
アクセス要求は、例によって、Joomlaのプラグイン宛に脆弱性のあるファイルを突っ込もうとしてると思われる。
ご丁寧にもUser-Agentが “BOT/0.1 (BOT for JCE)”となっているので、BOTからのアクセスだと愚直に信じることにする。
aguse で調べると、両方共フィリピンのドメインだけれども、コンテンツ内容は日本向け。
それぞれ、飲食店とCADの会社のようだけれど運営母体が一緒のパターンか?
どんな罠しかけられてるのか分からんので、アクセスする気は無いけれど。
通報してもよいのだけれど、藪蛇になったら面倒だ。
という訳で、放置決定。
別に自分とこのサーバがやられた訳ではないので気楽なもんである。
タイトル通り。
konata.net のサーバには HP の MicroServer NL36 を使っているのだけれど、
そのサーバの調子が今ひとつよろしくない。
具体的には、突然リブートがかかる。
リブートがかかる時間は決まって深夜3時頃ということしか判明していない。
症状が出始めてからの起動ログはこんな感じ。
少しずつ、感覚が短くなっているのが気にかかる。
Jul 25 03:08:36 konata syslogd: kernel boot file is /boot/kernel/kernel
Aug 8 03:05:01 konata syslogd: kernel boot file is /boot/kernel/kernel
Aug 15 03:05:00 konata syslogd: kernel boot file is /boot/kernel/kernel
Aug 18 03:05:03 konata syslogd: kernel boot file is /boot/kernel/kernel
Aug 28 03:05:04 konata syslogd: kernel boot file is /boot/kernel/kernel
Sep 3 03:07:06 konata syslogd: kernel boot file is /boot/kernel/kernel
ただ、中の人は寝てる時間だし、その後の再起動で失敗するということも無いので、
今のところ目立った実害が無いというのが正直な所。
臨時用2ch串やってた頃は、その時間帯でもアクセスが多少あったので影響があったけれど。
同じような時刻に発生していることから、cron起動してる何かに問題があるのかとも
思ったけれど、それらしいプロセスが動いている気配もない。
発生時刻があまりにも似通っているので、コンデンサがやられたとかそういう話も無いと思われる。
後は、考えたくないけれど、なにかしらのセキュリティの穴をやられて遠隔操作されているとか。
ただ、その場合だとリブートかけるような目立つ操作をやるとは考えにくい。
もう少し原因を考えてみるつもりではあるけれど、これといった手がかりがないので
正直八方塞がりではある、さて、どうしたものか……
9/5追記
postfixを再起動したら、「 /var/spool/postfix/corrupt に壊れたメールがあるよ~」と言われる。
中を見たら、上記のリブート時刻と前後した形で0バイトのファイルができていた。
「午前3:00」と「メール」ときてようやく思い当たる。
チャーリーさんからのメールだ。
となると、ソフトウェア上では同じ処理をしているのに、リブートしたりしなかったりする。
ということになるわけで、俄然HW障害の可能性が高くなってきた。
思い当たるフシもアリアリで、見ないふりしてたけど、ATAでなんかエラー吐いてたんだ。
そのエラーがこちら。
(aprobe0:ahcich5:0:0:0): CAM status: ATA Status Error
(aprobe0:ahcich5:0:0:0): ATA status: 51 (DRDY SERV ERR), error: 04 (ABRT )
(aprobe0:ahcich5:0:0:0): RES: 51 04 00 00 00 40 00 00 00 02 00
(aprobe0:ahcich5:0:0:0): Retrying command
(aprobe0:ahcich5:0:0:0): SETFEATURES ENABLE SATA FEATURE. ACB: ef 10 00 00 00 40 00 00 00 00 02 00
(aprobe0:ahcich5:0:0:0): CAM status: ATA Status Error
(aprobe0:ahcich5:0:0:0): ATA status: 51 (DRDY SERV ERR), error: 04 (ABRT )
(aprobe0:ahcich5:0:0:0): RES: 51 04 00 00 00 40 00 00 00 02 00
(aprobe0:ahcich5:0:0:0): Error 5, Retries exhausted
でもって、HDDのSmart値の一部。
Reallocated_Sector_Ct 0x0033 100 100 036 Pre-fail Always – 11
はい、代替処理済みセクタが出てました。
なんか、今年は出費がかさむなぁ……