*
[Network] 勝手に自宅の無線LANに接続しようとする輩があまりにもしつこいので晒す。
Feb 1 11:49:43 gw3 dhcpd: DHCPDISCOVER from 64:b9:e8:36:08:9f via bge0.201
Feb 1 11:49:44 gw3 dhcpd: DHCPOFFER on 172.18.197.254 to 64:b9:e8:36:08:9f (iPhone) via bge0.201
インターネットにでれないIPアドレスを配っているが、ブラックホールなDNSを立ち上げ、有線側でパケットダンプを行い、且つ、ダミーサービスを立ち上げようか、と悩んでいる今日この頃。
ところで、無線LANを見つけたときのiPhoneの挙動って、どういう仕様なんだ!?
見つけたら勝手に接続するのが仕様?
てことで、全てのログを晒す。
おいらの自宅のネットワークに接続しようとしてやがる愚か者のログはこれだ!(笑)
20100201 iPhone Access Log
秋葉原駅前暫定駐車場オートバイスペース ライブ映像というのがIRCに張られていて、閲覧。
なかには、、、次のようにある。
IPv4 で動作中。
IPv4で動作中とかくということは、IPv6でアクセスすれば、
IPv6でアクセス出来るんだと期待してみたら、裏切られた!!!!
$ host akiba-live.tmpc.or.jp
akiba-live.tmpc.or.jp is an alias for tmpc-akiba.aa0.netvolante.jp.
tmpc-akiba.aa0.netvolante.jp has address 114.164.173.160
$ host 114.164.173.160
160.173.164.114.in-addr.arpa domain name pointer p2160-ipbf7206marunouchi.tokyo.ocn.ne.jp
しかも、非固定でYAMAHA RTを使ってDDNSだよ。
ちなみに、OCN野場合、次のような法則があり、逆引きから回線種別を調べることが出来ます。
OCN逆引きホストによる回線種別/地域割当表
裏切られた。
テレビにアナログとかいているようなものですか。。
1月26日にInstall Maniax 3 の事務局より連絡が次のようにありました。
「現在までに、レポーティングサイトへのご報告をいただいていない、若しくは報告できない旨を事務局にご連絡いただいていない方々にお送りしております。」
年明け早々、レポーティングサイトに報告しているため、報告しているが、不備があったのか?と返信したところ、次のように返事。
「こちらから接続できないようなので、確認してください。」
こちらからインターネット経由で接続できることを確認し、方法も記載した上、返事をしました。
すると、しばらくしてから返事があり、
確認出来ました。と。
本当にサーバへのアクセスログがあったのか、確認したところ、
IISのログには一切記録がありません。
有るのは私がインストール中に確認していたときのアクセスログだけです。
その為、最終アクセスは、大会終了時の12日が最後です。
で、次に、DNSを引いているのか、と
DNSサーバ の query_log を調べたら、一発だけ叩いて確認しているのを確認。
所詮その程度ですか・・・(笑)
サイトも見ずに、どうやって評価をしているのでしょうか。
気になる今日この頃です。
*
[Security] Twitter の invite を名乗るウィルス
Return-Path: <invitations@twitter.com>
X-Original-To: tomo @XXXXXX
Received: from twitter.com (unknown [121.126.141.55])
by XXXXX (Postfix)
with ESMTP id D6FD426182A for <tomo @XXXXX>;
Tue, 2 Feb 2010 19:19:50 +0900 (JST)
From: invitations@twitter.com
To: tomo @XXXXX
Subject: Your friend invited you to twitter!
Date: Tue, 2 Feb 2010 19:19:34 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_0013_6BB3501C.ED6A219E"
中身はHTML。
添付ファイルは、 'Invitation Card.zip'
展開すると、
'document.jpg .exe'
というながーい、ファイル名に拡張子.exe
2010/02/01 のSymantecのウィルススキャンの定義(91.2.1.10)では引っかかりませんでした。
本文については、怪しいURL等はなく、正規の物が入っていました。
尚、参考程度にMD5SUMでもぺとりと。
378994ff270713e6290b29746b0975f1 Invitation Card.zip
c2193dc41061ef56591f4821392599cb document.jpg .exe
$ dig @ns.notemachi.net. ipnw.net. axfr
$ dig @ns.notemachi.net 31.245.202.in-addr.arpa. axfr
あえて、zone情報は張らないが...
このセグメント@202.245.31.0/24、telnetもあきまくり。これって、わざとだよね?
★ 2010.02.06 追記:
先ほど確認したら、転送出来ないようになっていた。
純粋に設定ミスだったんだね。
つー事は、関係者若しくは近くの人がこの日記を見ていたってことか。。。(-_-;;;
Apache 1.3系の最終リリースのようです。。。
II. 詳細
本攻撃に使用されているマルウエアに感染すると、ユーザのコンピュータ内
に保存されているアカウント情報が読み取られ、外部のサーバに対し送信され
る可能性があります。
このアカウント窃取の対象となるソフトウエアは、FTP クライアントを含む
複数の製品にのぼります。JPCERT/CC では、以下の FTP クライアントにてマル
ウエアによるアカウント窃取、および外部サーバへのアカウント情報の送信を
確認しました。
- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- FFFTP 1.96d
- FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07
- WinSCP 4.2.5
上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存され
ている情報をマルウエアが窃取し、外部サーバに送信している事を確認しまし
た。
- Microsoft社 Internet Explorer 6
(Internet Explore 7 および 8 ではアカウント窃取は確認されておりません)
- Opera社 Opera 10.10
また、今後マルウエアが変化し、アカウント窃取の対象となるソフトウエア
が変化する可能性があります。
WinSCP がはいっているねぇ。
SFTP/SCPクライアントという認識だったから、ftp使えるってこと、気付いていなかった・・・。
思い込みって恐いね... 公開鍵認証とかを使っていたとしても、ssh-agent つかっていたら。。。とおもうと。有る意味そっち狙われると恐いですね。
なんだかなぁと。
GMOのメルマガ。
クチコミ.jpはGMOとくとくIDでご利用いただけます。※新規登録不要
▼クチコミ.jpトップページ
http://kuchikomi.jp/
[Domain Name] KUCHIKOMI.JP
[登録者名] GMOインターネット株式会社
[登録年月日] 2006/06/01
[ドメイン名] クチコミ.JP
[登録者名] domain manager
[Name Server] ns1.fastpark.net
[登録年月日] 2009/05/01
[最終更新] 2010/02/03 09:12:53 (JST)
そして、アフィがいっぱい。
日本語ドメインでキャンペーンをうったりしているGMO。
お名前.comというブランドをやっているグループでもあり、指定事業者でもある。
そういう事業者でも日本語JPのドメインの扱いはそういうものですか。
横の連携などが出来ていないのか、それとも、別会社だと思ってるのか。
端から見ればグループ会社で同じ組織。
知名度もそれなりにあると思うが、担当者レベルではそう言う物だという事を示している気がした。
*
[Security] 無線LAN! RUN! RUN! RUN! ホイホイを即興でつくってみたよ!
先日書いた「
勝手に自宅の無線LANに接続しようとする輩があまりにもしつこいので晒す。」というネタ。
ホイホイブラックホールを勢いというか、即興造ってみたよ!
やったことは、、、FreeBSDをインストール、freebsd-update / ports upgrade をおこなった環境がベースです
- DHCPサーバの立ち上げ
ホイホイなサーバにGW/DNSを向ける設定にした
- DNS権威サーバの立ち上げ
全て、同じIPを返すROOTサーバの作成。
同じWEB/MAILサーバを提供します
更に、query_logを作成し、記録
- Apache
ErrorDocument 404 を作成し、警告画面を作成。
- Dovecot
auto_debug_log を有効にして、細かな認証ログの取得
- tcpdumpを作成
無線LANに接続されたVLANのパケットダンプをおこなう
無線のインターフェースでダンプするのは、NG。
一日 1ファイルに落とす。rotateをイメージして下さい。
やりたいこととしては、DefaultRoterとして動作させるが、全てのルーティングをFreeBSD箱に食わせれるように改良したい。
そうすれば、正規のDNS Queryを流し、経路をねじ曲げ、同一箱に吸わせてみたい。
ルーティングをいじるのは、どうすればいいのだろう。いまいち現実的な解が見つけれていない。
やり方求む(-_-;
どんな感じかイメージがつかめるように、同じホストをインターネットに放流してみました。
尚、WAN側のネットワークのtcpdumpは取っておりませんが、QueryLog等は残りますので、気をつけて。
IPアドレス: 2001:200:564:a000:cafe:829:beef:dead
HTTPでつつくなり、DNSクエリをつついてみたり、MAILで認証してみるなり、ご自由にどうぞ:)
結果は、 2001:200:564:a000:cafe:829:beef:dead/logs にありますが、このIPをつついた結果もログに掲載されることをご注意下さい(パケットダンプは、WAN側空間は仕掛けていません。)
勝手に第三者の無線LANに接続すると言うことは、パケットを盗まれる覚悟でつながないといけませんね。
野良だとおもってたら、仕掛けられた無線LAN という可能性もありますよ。
昨日あった、バイナリを自動ダウンロードするのを構築しても良いですよ。出来ちゃいますよ。
無線につないでブラウザ起動した瞬間、感染とか。普通に考えられます。
野良だ〜と喜んでツナがないようにしましょう。やるには、下調査してからね(笑)
確か、中の人知り合いだったはず(笑)。
そして、hoge@huga.jp とかに罠を張っていたらしいが、テストメール、
各種登録メール(いい加減なメルアドを入れるのに使ったりされているらしい)
が届いて楽しいとか。
これいいなぁ。おいら、真っ先に思いつかなかったので、足下も及ばない、普通の人だった。。。
おもしろいネタは誰か必ずやってるねぇ。。。
ということで、aliasで、ドメイン全体を一つのメールボックスに落とすように設定し、
且つバックアップ機能を使えば、ドメイン宛の全てのメールを収集出来そうですねぇ。
きっと、この人ならやっているに違いないっ。神だ(笑)
失効した手頃な良いドメインみつけたら、取得して、やってみよ〜っと。。(笑)
*
[IRC] http://www.ircnet.jp/
今、現状どういう状態になっているか、しらんけど、
http://www.ircnet.jp/が更新されていない状態がはや3年。
先日、WIDE Projecct IRC-WG解散にともない、irc*.wide.ad.jp な
IRCサーバは全て停止というアナウンスが出た。
しかし、あれから、1週間半たったのにもかかわらず、未だに、
公式サイトであったはずの http://www.ircnet.jp/ のサイトが更新されていない。
誰も更新・管理していないのだろうか。
以前からずっといってたが、権限のあるひとにいうと、
放置放置。とか、なにさまのつもり?とか、散々いわれてきたけど、
方針がでて、プレスがでたのにもかかわらず、中の人は動かないんだろうなぁ。
私は言うのつかれたから、愚痴として日記に書いている(←いまここ)
まあ、いままで、公式サイトといってたわけなんだから、
みんな混乱する可能性あるんだから、権限あるひとは、責任もって最後まで
対応してほしい今日この頃でござる。
無責任もいいところでござる。
ちなみに、知ってる人はしってるとおもうが、
2003年頃だったかな?
簡単なCSSを書き、デザインをつくっり、
サイトのベースを作ったのは、この私ですが、
既に編集する権限もアカウントも有りません。
*
[遊び] ちょっくら、2.5ヶ月ぶりに参戦。
*
[食][Neta] ニューヨークな気分☆ミを味わってきました
試合の後、ラーメン花月で腹ごしらえ。
入店するなり、私の顔を見るなり、対応ががががが。
超久しぶりなんだけど、顔覚えている物なんだなぁと関心。
しかも、チェーン店で(笑)
で、テーブルに着くと、激辛ニラ坪(大サイズ)を2つ。
お一人様のお客さんは小さなニラ坪が一つだけですが、大サイズが2コ。イカスww
で、いつも、ラーメンが到着するまでに、ニラ坪一個空っぽにして、おかわり。
更にニンニクも追加。
~
元気いっぱいにしなきゃね!
会社隣にある風風でも同じような状況だったなぁ(笑)
で、これすると、、、これすると、翌日オナラぷーすかぷーすか大変なんだよねw
すごく臭いし。
とおもってると、
妹が家で時々やるのだめのオナラ体操。
「ぷ〜〜」に併せてへーこく姿を思い出してしまいました。
だから、嫁のもらい手ないんだとおもうけど(笑
↑人のこと言えませんが、おいらより、超下品ですw
★ マクドナルドにどなどな、三千里w:
腹ごしらえが終わったので、マクドナルドへいき、ニューヨークバーガーを探し求めに三千里(違)
1件目のマクドナルドに到着してみると。。。売り切れ(つд;)
つーことで、マクドナルド巡りをしてみましたw
2店舗目。売り切れ。
3店舗目、営業時間外(22時に終了だったっぽいT_T
4店舗目、営業時間外(21時に終了だったっぽい。>_<
5店舗目。あったー!わーいわーいw ← イマココ。
念願のネタ、ニューヨークバーガー到着。ずどーん。
いざ、開封!
パンを剥がしてみました。。
お味の方は....
微妙!
具体的な感想を言うと・・・ですね。
肉というか、パテは、マクドナルドにしては美味しい。
炭火焼きの雰囲気は出てるが、ちょっとパサパサ。
基本的にマクドナルドの味ですね。
ダブルパウンター?と同じ肉かなぁ?
レタス?についてるソースというか、マヨネーズ。
たくさんのマスタード。酸っぱい。びみょー。辛くはない。
ちょっと酸っぱすぎるかんじ。ソースの量多すぎ。
ということでしたw
で、知り合いのたけいさんが、、、
随分昔に試食していたとか。。。
いいなぁ。wうらやましいw
とゆーことで、暴飲暴食日記でした。。。ヽ(´ー`)ノ
これだけくっても、お腹が一杯にならないおいら。。。
先月、残りの数が全体の10%を下回り、来年後半には世界的に不足する見通しとなりました。(略)「今の状況では、ホームページの一部が見られなくなるなど影響が出るおそれがあり、業界をあげて、次世代のアドレスへの移行を急ぎたい」と話しています。
すごい表現ですねぇ。。
だけど、NHKのニュースになる自体にまで悪化している状況をアピールという風に感じちゃいました(笑)
正直、関係ないやとかいって、今になってもとり組みをしていないようなところは、直前になって、「ええええ?」 とどたばた、火だるまになって飛んじゃうところが目に見えていて楽しそうです(ぉぃ)
ちゃんと、今後のためにも皆さん、結局お金がないし・・・うちのところ、関係ないし・・・とかいってないで、ちゃんと考えておきましょうねw
そして、NHKの動画を見ていて、思ったので、スクリーンショットを取っちゃいました。
この画面って、指定事業者向けの検索画面じゃない?つーか、これをテレビ掲載に使っても問題ないのかしら・・・?見る人が見れば分かるとは思うが(汗)
さて、明日停止日です。
放置になってたりして・・・w
Diary for 7 day(s)