非がないのにアク菌は心外

はじめまして
今回ここのあｐろだにはじめてきたのに禁止状態にされていました
出来れば禁止を解除してくれると嬉しいです

以下の IP アドレスからのアクセスを永久的に拒否しました。

IP アドレス：113.146.111.120
リモートホスト：KD113146111120.ppp-bb.dion.ne.jp
アク菌理由：HTTP 405 Error を出し過ぎ。(毎秒 20 Error を 20 分間)

今日、貯めた空カードを使って一気にテイミングを試みましたが、成功したのは「ブルーピクシー」一体のみ(><。
テイミングを試みたのは

･イエティ
･スケルトン x2
･ブルーピクシー x2

このうちイエティ空カードは自力ドロップ。
スケルトン空カードは一枚が拾い物でもう一枚は自力ドロップ。
ブルーピクシー空カード二枚のうち一枚はマーケットの個人商店から 15,000,000R で購入、もう一枚は自力ドロップ。
キャラクタの職業はバトルサマナーでテイミング Lv は 7 (MAX:10) のペット職なのに、テイミング成功率が悪すぎますねー。
テイミング Lv 7 は低すぎかいな？
こんな成功率だと、売り値一億とか二億の空カードなんざ恐ろしくて買えません。
と言うか、このラペルズって猛烈にインフレーションだと思います。全体的に物価がかなり高いです。

今、NHK総合の「爆問学問」を観ているんですが、

爆笑問題の太田光くんのあまりの無知無教養品の無さに腹が立ってきましたね〜

マジで氏んで欲しい。

Coppermine Photo Gallery に登録されている画像には、それを閲覧したユーザがコメントを残す事が出来るようになっています。
そのコメント入力機能を利用した無差別宣伝広告投稿をかなりの頻度で受けており、その対策として Apache モジュールの mod_security2 を
導入してみました。
このサイバーテロを行っている IP アドレスを調べますと、その殆どが 中国 台湾 韓国 ソビエト に割り振られた物でした。
今までは(現在も一部がそうですが)当該 IP アドレス帯を Limit ディレクティブを使い htaccess に記述して制限していましたが、今では制限対象
IP アドレス帯が膨大な数になってきて、それをいちいち手動で設定する事が面倒になってきたので導入に踏み切りました。
テロリスト達は Coppermine Photo Gallery の db_input.php に直接アクセスしてデータを放り込んできます。

一、先ずはセットアップ。
当方が使っている Apache は Windows 版の Apache 2.2.13 です。Virtual Host は設定していません。
Windows バイナリの mod_security2 は本家から入手可能です。

http://www.modsecurity.org/

モジュールとして Apache へ登録する手順は、同梱されているドキュメントを読めば何の問題なく完了できます。

二、mod_security2 の設定。
mod_security の動作はサーバ設定ファイル httpd.conf 内に記述します。以下は当方が行っている設定です。

<Location /PHP-BIN/JOYFUL_NOTE_PHP>
SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess Off
#SecUploadKeepFiles Off
SecDebugLog logs/mod_security2_debug.log
SecDebugLogLevel 0
SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus ^5
SecAuditLogParts ABIFHZ
SecAuditLogType Serial
SecAuditLog logs/mod_security2.log
SecRequestBodyLimit 4096000
SecRequestBodyInMemoryLimit 4096000
SecResponseBodyLimit 4096000
SecDefaultAction deny,log,status:406,phase:2,t:urlDecode
# security2 のデフォルトは URL デコード前の符号化文字列を比較するようになっているそうで、デコード後の比較を行いたい場合は t:urlDecode を追加しなければならないそうです。
# 特定の POST Name に対しての送信が半角英数字のみであるかを調べる。つまり日本語(2バイト文字)が一切含まれない送信の場合は拒否する。
#SecRule ARGS:blog_name "^[\\000-\\177]+$"
SecRule ARGS:sub "^[\\000-\\177]+$"
SecRule ARGS:comment "^[\\000-\\177]+$"
#SecRule ARGS:CommentMsg "^[\\000-\\177]+$"
</Location>
#
<Location />
SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess Off
#SecUploadKeepFiles Off

#SecServerSignature "Clarisse/5.1.2"
#SecComponentSignature "core ruleset/2.0.2"
#SecArgumentSeparator "&"
#SecDataDir R:/TEMP
SecAction "phase:1,t:none,pass,nolog,initcol:global=global,initcol:ip=%{remote_addr}"

SecRuleEngine On
SecDefaultAction log,auditlog,deny,status:403,phase:2,t:lowercase,t:replaceNulls,t:compressWhitespace

SecAuditEngine RelevantOnly
SecAuditLogType Serial
SecAuditLog logs/mod_security2.log

## -- General rules --------------------

SecRule ARGS "c:/" t:normalisePathWin
SecRule ARGS "\.\./" "t:normalisePathWin,id:99999,severity:4,msg:'Drive Access'"
SecRule ARGS "d:/" t:normalisePathWin
# Coppermine Photo Gallery に対しての無差別宣伝 POST に対する対策。
SecRule ARGS:msg_body "http://" t:urlDecode,status:406

## -- phpBB attack --------------------
SecRule ARGS:highlight "(\x27|%27|\x2527|%2527)"
</Location>

これを httpd.conf 内に記述しています。(Joyful Note にもサイバーテロが行われるので、Location ディレクティブで個別に設定しています)
記述する場所ですが、当方の環境の場合、何らかのディレクティブの中にこの記述をしますと設定が反映されませんでした。
つまり、mod_security の設定は本来ならば <IfModule mod_security.c>(または<IfModule mod_security2.c>) と </IfModule> で括らなければ
なりませんが、当方の環境では括ってしまうと設定値が全く反映されなくなるんです。Virtual Host を使ってない影響なのかな･･･。

三、効果の確認。
クエリストリング内に ../ の記述があった場合に拒否。
Joyful Note に投稿する際、題名か本文どちらか一方でも日本語が一文字も使われていない場合に拒否。
Coppermine Photo Gallery の画像にコメントする際、http:// の記述がある場合に拒否。
全て OK でした。

これらの設定はスクリプト側での対処も出来るものばかりですが、変更すべきスクリプトが多岐に渡る場合にはとても有用な対策手法ではないかと
思います。


設定の参考にさせていただいたサイト様：
http://linux.papa.to/?date=1123

NEC のアクセスルータをヤフーオークションにて計三台入手してあるのですが、設定を行うのが面倒という理由から今まで全台放置して
おりましたが、長い間眠らせているのは「まるでアッフォじゃん」と思い、インターネット上のサイトを参考にさせていただいて設定を試みました。
約一年半の間使ってきた WatchGuard 社の Firebox SOHO 6tc というルータの性能が今一つのような気がしてきたからでもありますが…。
設定を始めてから五時間も時間が流れてやっとこさ WAN へ接続する事が出来ました。
何にここまで手間取ってしまったのかと申しますと、config モードにて設定ファイルを入力した後には

Router(config)# write memory
Router(config)# copy startup-config default-config
Router(config)# exit
Router# restart

と入力して設定を保存しリブートするのですが、当方は三時間もの間

Router(config)# write memory
Router(config)# exit
Router# restart

としてたんです。設定をクリアしてからの作業開始ではなかった事もあって、当方が入れた設定は前オーナーの設定に追加されるような形で
ルータに保存されてしまっていました。さらにおバカな事に、当方は

Router(config)# show config

等で入力した設定を確認する事も怠っておりました。show config した時はビックリでしたね。なんせ当方が入れたはずの設定が反映されて
いなかったですから。＾＾；

んで、設定ファイルの抹消方法を Google さんで検索して、それまでの設定を消去してから新しい設定を入れました。
当方が行った設定ファイルの抹消方法は

ルータの電源 Off
ルータの電源 On

Loading: ######################################################## [OK]
このファームウェアのローディングが始まって [OK] になる間に「CTRL+C」を押下。
「boot>」というプロンプトが出るので「cc」と入力してリターン

boot> cc

すると次に

Enter "Y" to clear startup configuration:

と聞かれるので「y」を入力してリターン

するとまた「boot>」プロンプトになるので「b」を入力してリターン

boot> b

この後は普通にルータの起動シーケンスが進み

Router#

とプロンプトが出てきます。

そんな感じで現時点では以下の設定で動いてます。
Router(config)#
の状態でコピペで入れられる形で記述してます。

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
username HATOYAMA password hash *************** administrator

http-server username HATOYAMA
http-server ip enable

timezone +09 00

logging timestamp timeofday
logging buffered 4096
logging subsystem all warn

ntp server 131.107.1.10
ntp interval 600
ntp ip enable

ip access-list svr-block deny tcp src any sport any dest any dport eq 1
ip access-list svr-block deny udp src any sport any dest any dport eq 1
ip access-list svr-block deny tcp src any sport any dest any dport eq 11
ip access-list svr-block deny udp src any sport any dest any dport eq 11
ip access-list svr-block deny tcp src any sport any dest any dport eq 15
ip access-list svr-block deny udp src any sport any dest any dport eq 15
ip access-list svr-block deny tcp src any sport any dest any dport eq 20
ip access-list svr-block deny udp src any sport any dest any dport eq 20
ip access-list svr-block deny tcp src any sport any dest any dport eq 21
ip access-list svr-block deny udp src any sport any dest any dport eq 21
ip access-list svr-block deny tcp src any sport any dest any dport eq 23
ip access-list svr-block deny udp src any sport any dest any dport eq 23
ip access-list svr-block deny tcp src any sport any dest any dport eq 67
ip access-list svr-block deny udp src any sport any dest any dport eq 67
ip access-list svr-block deny tcp src any sport any dest any dport eq 68
ip access-list svr-block deny udp src any sport any dest any dport eq 68
ip access-list svr-block deny tcp src any sport any dest any dport eq 69
ip access-list svr-block deny udp src any sport any dest any dport eq 69
ip access-list svr-block deny tcp src any sport any dest any dport eq 70
ip access-list svr-block deny udp src any sport any dest any dport eq 70
ip access-list svr-block deny tcp src any sport any dest any dport eq 79
ip access-list svr-block deny udp src any sport any dest any dport eq 79
ip access-list svr-block deny tcp src any sport any dest any dport eq 87
ip access-list svr-block deny udp src any sport any dest any dport eq 87
ip access-list svr-block deny tcp src any sport any dest any dport eq 95
ip access-list svr-block deny udp src any sport any dest any dport eq 95
ip access-list svr-block deny tcp src any sport any dest any dport eq 111
ip access-list svr-block deny udp src any sport any dest any dport eq 111
ip access-list svr-block deny tcp src any sport any dest any dport eq 135
ip access-list svr-block deny udp src any sport any dest any dport eq 135
ip access-list svr-block deny tcp src any sport any dest any dport eq 137
ip access-list svr-block deny udp src any sport any dest any dport eq 137
ip access-list svr-block deny udp src any sport any dest any dport eq 138
ip access-list svr-block deny tcp src any sport any dest any dport eq 139
ip access-list svr-block deny tcp src any sport any dest any dport eq 144
ip access-list svr-block deny udp src any sport any dest any dport eq 144
ip access-list svr-block deny tcp src any sport any dest any dport eq 161
ip access-list svr-block deny udp src any sport any dest any dport eq 161
ip access-list svr-block deny tcp src any sport any dest any dport eq 162
ip access-list svr-block deny udp src any sport any dest any dport eq 162
ip access-list svr-block deny tcp src any sport any dest any dport eq 177
ip access-list svr-block deny udp src any sport any dest any dport eq 177
ip access-list svr-block deny tcp src any sport any dest any dport eq 220
ip access-list svr-block deny udp src any sport any dest any dport eq 220
ip access-list svr-block deny tcp src any sport any dest any dport eq 445
ip access-list svr-block deny udp src any sport any dest any dport eq 445
ip access-list svr-block deny tcp src any sport any dest any dport eq 512
ip access-list svr-block deny udp src any sport any dest any dport eq 512
ip access-list svr-block deny tcp src any sport any dest any dport eq 513
ip access-list svr-block deny udp src any sport any dest any dport eq 513
ip access-list svr-block deny tcp src any sport any dest any dport eq 514
ip access-list svr-block deny udp src any sport any dest any dport eq 514
ip access-list svr-block deny tcp src any sport any dest any dport eq 515
ip access-list svr-block deny udp src any sport any dest any dport eq 515
ip access-list svr-block deny tcp src any sport any dest any dport eq 517
ip access-list svr-block deny udp src any sport any dest any dport eq 517
ip access-list svr-block deny tcp src any sport any dest any dport eq 518
ip access-list svr-block deny udp src any sport any dest any dport eq 518
ip access-list svr-block deny tcp src any sport any dest any dport eq 520
ip access-list svr-block deny udp src any sport any dest any dport eq 520
ip access-list svr-block deny tcp src any sport any dest any dport eq 540
ip access-list svr-block deny udp src any sport any dest any dport eq 540
ip access-list svr-block deny tcp src any sport any dest any dport eq 1025
ip access-list svr-block deny udp src any sport any dest any dport eq 1025
ip access-list svr-block deny tcp src any sport any dest any dport eq 2000
ip access-list svr-block deny udp src any sport any dest any dport eq 2000
ip access-list svr-block deny tcp src any sport any dest any dport eq 2049
ip access-list svr-block deny udp src any sport any dest any dport eq 2049
ip access-list svr-block deny tcp src any sport any dest any dport eq 2766
ip access-list svr-block deny udp src any sport any dest any dport eq 2766
ip access-list svr-block deny tcp src any sport any dest any dport range 6000 6063
ip access-list svr-block deny udp src any sport any dest any dport range 6000 6063
ip access-list svr-block deny tcp src any sport any dest any dport eq 6257
ip access-list svr-block deny udp src any sport any dest any dport eq 6257
ip access-list svr-block deny tcp src any sport any dest any dport eq 6665
ip access-list svr-block deny udp src any sport any dest any dport eq 6665
ip access-list svr-block deny tcp src any sport any dest any dport eq 6666
ip access-list svr-block deny udp src any sport any dest any dport eq 6666
ip access-list svr-block deny tcp src any sport any dest any dport eq 6667
ip access-list svr-block deny udp src any sport any dest any dport eq 6667
ip access-list svr-block deny tcp src any sport any dest any dport eq 6668
ip access-list svr-block deny udp src any sport any dest any dport eq 6668
ip access-list svr-block deny tcp src any sport any dest any dport eq 6669
ip access-list svr-block deny udp src any sport any dest any dport eq 6669
ip access-list svr-block deny tcp src any sport any dest any dport eq 6699
ip access-list svr-block deny udp src any sport any dest any dport eq 6699
ip access-list svr-block deny tcp src any sport any dest any dport eq 7743
ip access-list svr-block deny udp src any sport any dest any dport eq 7743
ip access-list svr-block deny tcp src any sport any dest any dport eq 12345
ip access-list svr-block deny udp src any sport any dest any dport eq 12345
ip access-list r-list1 deny ip src 10.0.0.0/8 dest any
ip access-list r-list1 deny ip src 172.16.0.0/12 dest any
ip access-list r-list1 deny ip src 192.168.0.0/16 dest any

ip access-list all-pass permit ip src any dest any

proxy-dns ip enable

ip route default FastEthernet0/0.1

ip dhcp profile mc6800-lan-lan
assignable-range 192.168.111.2 192.168.111.36
default-gateway 192.168.111.1
dns-server 111.222.111.222 222.111.222.111
exit
ip dhcp enable

ppp profile odn
authentication myname HATOYAMA@***.***.***.***
authentication password HATOYAMA@***.***.***.*** xxxxxxxx
exit

interface FastEthernet0/1.0
ip address 192.168.111.1/24
ip dhcp binding mc6800-lan-lan
no shutdown
exit

interface FastEthernet0/0.1
ip filter all-pass 1 out
ip filter r-list1 2 out
ip filter all-pass 1 in
ip filter svr-block 2 in
ip napt service ping 192.168.111.2
ip napt service SSH 192.168.111.2 none tcp 22
ip napt service SMTP 192.168.111.2 none tcp 25
!ip napt service dns 192.168.111.2
ip napt service ftp-data none tcp 20
ip napt service ftp-con none tcp 21
ip napt service http 192.168.111.2
ip napt service https 192.168.111.2 443 tcp 443
ip napt service POP 192.168.111.2 none tcp 110
ip napt service SMTP-587 192.168.255.2 none tcp 587
ip napt service POP-SSL 192.168.255.2 none tcp 995
ip napt static 192.168.255.2 tcp 7000
ip napt static 192.168.255.2 tcp 8080
encapsulation pppoe
auto-connect
ppp binding odn
ip address ipcp
ip napt enable
no shutdown
exit

ip access-list admin_console permit ip src any dest 192.168.111.0/24
ip ufs-cache enable
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

コピペが終わったら

Router(config)# write memory
Router(config)# copy startup-config default-config
Router(config)# exit
Router# restart

で完了です。

でもこの設定、Web-GUI でルータの状態を見ると ntp が 非同期 って出るんですよ。
ちゃんと ntp は設定してあるのに妙です。設定方法が違うのでしょうか。
また、ハブ仕様のインタフェース FE1/0 には IP アドレスを振っておらず使えない設定なのですが、この I/F に同 PC の別 NIC からのケーブルを
繋げると DiCE が 変な IP アドレスを収得してしまいます。IP アドレスが振られていないのが原因かな。

WAN 側から当方の PC の各サーバへのアクセスは出来ている様なので、ひとまずは様子を見てみます。
インターネットサーフィンやネットワークゲーム、またメールの送受信も問題なく行えます。
電子メールはプロバイダのサーバと当方の PC 内の SMTP,POP サーバいづれも問題ないです。

サーバマシンの CPU 温度とかメインボードの温度とか、CPU ファインの回転数とか電源電圧なんかを MRTG でグラフ化
してみたくなりまして、三時間ほど格闘しましたが無理ですた。
メインボードの監視ユーティリティのログファイルを PHP で処理してMRTG へ渡そうと企てたんです。
ログファイル全体を一行ごとに改行して取り込むとか全行数を収得するとかはできたんですが、最後の行だけを得るとか
行の中の特定の位置(範囲)の文字列を得るという事が出来ずに足踏み状態。
ちなみにログファイルの行数は最大で 10,000 程ありまして、行の終わりが CR で改行され、その直後に CR+LF 改行が
されてます。ログファイルの最後から三行までを抜粋したものを以下に示します。

2010-01-23 20:43:03 5625 5818 N/A N/A N/A 11.80 4.87 3.26 3.36 1.44 -11.88 44 44 41 Good Good[CR]
[CR+LF]
2010-01-23 20:43:13 5625 5818 N/A N/A N/A 11.80 4.87 3.26 3.36 1.46 -11.88 44 44 41 Good Good[CR]
[CR+LF]
2010-01-23 20:43:24 5625 5818 N/A N/A N/A 11.80 4.81 3.25 3.36 1.46 -11.79 45 45 41 Good Good[CR]
[CR+LF]
[EOF]

一行の情報は以下の通り。

Date Time FAN_CPU1 FAN_CPU2 FAN_Overheat FAN_Chassis_1 FAN_Chassis_2 VOL_+12V VOL_+5V VOL_+3.3V VOL_3.3Vsb VOL_Vccp VOL_-12V TEMP_CPU1 TEMP_CPU2 TEMP_System DETECTOR_Intrusion DETECTOR_Power

どなたかヒントください。
って、この板見てる人って皆無だし無理ポかな。

当方が最近気になっている画像検索サイトは IMAGEFINDER と jpg4.us です。

何が気になるのかと言うと、 IMAGEFINDER は画像ファイルへアクセスする際にリンク元(Referer)を偽装します。
これは直リンク防止対策が講じられた画像ファイルへアクセスするための手段と思われますが、明らかに悪質な
アクセスであり、不正アクセスと言っても過言ではないでしょう。
このリンク元の偽装はそれほど凝った手法は使っていないようで、単に画像ファイルが置かれているディレクトリの
URL パスを収得してリンク元としているようです。
IMAGEFINDER が利用者に対して検索結果を表示する際に画像へアクセスしてくるので、とりあえずは IMAGEFINDER が使用している
IP アドレスを使ってアクセスを制限する方法が有効かな。

jpg4.us ですが、このサイトはリンク元の偽装は行いません。いたって普通にアクセスしてきます。
しかしながら、このｻｲﾄは利用者に対して検索結果を表示する際に複数のドメイン名を使い画像ファイルへアクセスしてきます。
また、画像ファイルへのアクセスが直リンク防止処置などにより失敗した場合、その失敗した画像に対して画像検索とは関係が無い
別のドメインからあたかも人間がブラウザでアクセスするかの如く(但し、ユーザーエージェントは持たずに)再度アクセスを試みてきます。
この挙動はアクセスが弾かれた理由を調査するという目的があるものと思われます。

画像ファイルに対しての直リンク防止方法にもよりますが、自サイトからのアクセスの他は全て蹴るという条件ならば設定はスムーズに
行えますが、これらサイトからのアクセスのみを蹴るという条件で設定を行おうとした場合は厄介です。

IMAGEFINDER はリンク元を偽装してアクセスしてくるし、jpg4.us は複数ドメインからアクセスしてくるし・・・。

IMAGEFINDER は「さくらインターネット株式会社」のレンタルサーバ「www780.sakura.ne.jp」を使い、ドメイン名は「バリュードメイン」で
収得しています。
jpg4.us は、そのドメイン名自体は GoDaddy.com, Inc にて収得しているようですが、その GoDaddy.com, Inc も他のレジストラを使い
ドメイン名を収得しているようです。サーバの所有者は分かりません。ただ、jpg4.us に関わる全てがアメリカに存在しています。
日本国内に対してサービスを提供しておきながら、ネットワークは全てアメリカというのはなんででしょ。まぁ、こういった形態のサイトは
一般的に見て危険です。

いづれにせよ今回取り上げたこの二つのサイトは危ないサイトです。

何を目的として画像検索サービスを提供しているのか。
なぜサイト上に一切のサービス提供者情報を載せないのか。
なぜ問い合わせを行っても返事をよこさないのか。
サーバの IP アドレスが固定ではない可能性が大きい。
サイトの IP アドレスを Reverse DNS するとサイトのドメイン名と一致しない。

アヤシイ事が盛り沢山のサイトである事は間違いありません。
当方の個人的な意見で恐縮ですが、これらサイトは利用しない方が賢明かと。

長い間愛用している Cron ですが、とある Perl-CGI を毎時五分おきに走らせたくなり crontab にて
以下の設定を行いました。

既存の設定内容：
* * * * * C:/A.BAT
0 0 * * * C:/B.BAT

今回追加する設定：
*/5 * * * * C:/C.BAT

できあがった設定：
* * * * * C:/A.BAT
*/5 * * * * C:/C.BAT
0 0 * * * C:/B.BAT

これで間違いないはずなんですけど、Cron サービスが停止してしまうんですよ。
今回追加した設定が Cron サービスを停止に追いやっている訳ですが、シンタックスには問題ないのに何故だろ。
ちなみに今回追加の設定を以下の様に毎時一分おきの条件にしてみると問題は発生しません。

* * * * * C:/A.BAT
* * * * * C:/C.BAT
0 0 * * * C:/B.BAT

また、同じ五分おきと言う設定でも、以下の設定にした場合は Cron が停止してしまう事はありませんが、バッチファイルが実行されません。

0,5,10,15,20,25,30,35,40,45,50,55 * * * * C:/C.BAT

もうかれこれ四時間ほど格闘してますが、これ以上 Cron にバカにされるのもムカつくので毎時一分おきの設定で逝く事にします。
訳ワカメ。

今のところ、と言うかこれからもずっとそうだと思いますが、

SHAKE'S DREAM 様製作の 初音ミク

ですね。
完成度が高いし見ていて飽きがきません。ここまで完成されたキャラクタを作れるなんて、まさにブラボーです。
始めて動作を見たときは、技の楽しさとその技を受ける敵の滑稽なまでに面白いアクションに腹を抱えて笑ってしまいますた。
もしまだ手に入れていない人がいたら是非ダウンロードしましょう。