城館日記

午後4時26分 昨日の不正アクセス

　昨夜は色々あって出来なかったので、今回は数時間遅れの公開です（＾＾；

　今回のログ

　1行目からいきなり1433番へのアクセスですが、もう説明は不要でしょうから飛ばします。

　2行目に、211.62.112.100 の22番からこちらの22番へアクセスがありますが、この22番は SSH です。SSH は telnet の高セキュリティバージョンのようなもので、設定の甘いアカウントがないか試したのかもしれません。1回だけなので操作ミスである可能性もありますが。いずれにしても、このポートはあまり開放しないべきでしょう。3箇所から合計5回のアクセスがあった111番は、今月24日以来久しぶりの SUN Remote Procedure Call です。うちには SUN の OS はないのでうるさいだけです。91行目の8080番と92行目の1080番ですが、同じところからの連続アクセスです。8080番は80番の代替ポート、1080番は Socks です。これは何か意図があるのでしょうか。他にも8080番へのアクセスはありますが、単に2回行っただけのようです。ただ、3秒間隔で同一ポートからアクセスするパターンと、5秒以上あけて別のポートから再アクセスするパターンに分かれます。ちょっと気になります。

　たまにはアクセスもとのポートにも注目してみましょう。3行目の1874番は fjswapsnp、14行目の1058番は nim というサービス名のようですが、何の事やらさっぱりわかりません。8行目3479番は twrpc で、2Wire RPC。13行目3487番は ltctcp で、LISA TCP Transfer Channel。やはりわかりません。使われていなくて開いているポートからアクセスすることになり、自然マイナーなポートが多くなるのでしょう。

午前0時41分 昨日の不正アクセス

　CrCon はルーターから受け取った syslog を表示しているだけであることがわかり、同様の処理を FreeBSD でもやらせるようにしてみました。そのうち解説します。

　今回のログ

　相変わらずジオシティーズサーバからのアクセスが続いています。実は、以前不正アクセスを受けたとメールで報告したことがあります。送り先がわからず、とりあえず一番近いと思う違反サイト発見報告用アドレスに送ったところ、ルータの操作についての問い合わせのように受け止められてしまったようでしたので、改めて警告の意味で送ったのだと返信しておきました。つい先日その返事があり、またあれば送ってくれといった内容でした。どうやら、もう1度送ることになりそうです。

午前4時35分 FreeBSD と Java

　Java がサーバでの開発で大流行です。ブラウザでアニメーションさせるためやゲームを作るために、かつてはアプレットと言う形で大量に使われました。しかし、現在はアプレットではなくサーブレットとして活躍しています。また、サーブレット以外にもさまざまな技術が使われていますが、そのほとんどはサーバ環境でのものです。

　Java は仮想環境上で実行されるため、特定の環境に依存しないのが特徴と言われています。しかし、逆にその仮想環境が移植されていないために使えないことがあります。移植さえすれば既にご存知のように携帯電話でも実行可能ですが、なかなか移植が進まないためにいつまでも古いバージョンのままであることもあるのです。FreeBSD がまさにそれです。

　Java を開発した Sun Microsystems は、最低限の開発環境として Java2 SDK を配布しています。さまざまな環境に移植されてはいますが、正式に配布されているなかで使えるのは、Windows・Linux・Solaris の3つの環境だけです。そのため、FreeBSD に移植されたのは何年も前の 1.1.x のみであり、それ以降のバージョンは Linux 用のものを何とかして使うしかない状態が続いています。最新の FreeBSD には移植したものが含まれると言う情報もありましたが、今のところ、それらしいものを見たことがありません。この状況は、FreeBSD でサーブレット環境を構築しようとした場合、かなり大きな障害となってしまいます。Linux を選択肢に含めることが出来ない私としては、非常に残念です。

午前4時9分 昨日の不正アクセス

　いきなりですが、問題発生です。既に何度も不正アクセスのログを公開していますが、このログはルーターから CrCon というツールが受け取った結果から不正アクセスの部分だけを手作業で抽出しています。問題なのは、ルーターからはリアルタイムに送られてくるため、CrCon が起動していない時間は記録が残りません。もちろんルーター側でもある程度は記録が残っていますが、大量の不正アクセスに対してはまったく足りません。1日どころか半日もすれば、古いものは全て消えてしまいます。記録に抜けがないようにするためには、Windows 上で CrCon を起動させている状態を24時間維持する必要があります。ということは、自宅サーバとは別のパソコンを起動しておかなくてはならず、あまりにも現実的ではありません。

　というわけで、解決方法が見つかるまでは部分的なログと言うことにさせていただきます。もし、FreeBSD でログを受け取る方法をご存知の方いらしたらぜひご連絡ください。

　今回のログ

　今回、特定のポートにのみのアクセスが目立ちます。そのせいで、いつも多い1433番へのアクセスが目立ちません。

　今回はやたらにジオシティーズからのアクセスが多いです。ジオシティーズのドメインは InfoSphere からの貸し出しで、現時点では 210.153.89.128 から 210.153.89.255 です。では一気に行きましょう。IPアドレスの後ろのカッコ内は対応するドメインです。

• 7行目から16行目　210.153.89.203（www103.geocities.co.jp）
• 21行目から25行目　210.153.89.164（geojweb09.geocities.co.jp）
• 68行目と70行目　210.153.89.158（geojweb08.geocities.co.jp ）
• 69行目から最後までの 210.153.89.176（www101.geocities.co.jp）

　22行目から36行目の 216.27.93.114 は FortuneCity です。FortuneCity は無料でウェブスペースの貸し出しをしているところで、アングラな活動のために使われる定番であったようです。37行目から56行目までの 61.121.100.26 は、再びニフティです。しかも、今回は17725番と56962番の2つのポートにアクセスしています。

午前1時23分 昨日の不正アクセス

　今回のログ

　昨日の日記でも書きましたように、このログはかなり抜けてるはずです。それでもこれだけあるのは怖い気がしますが・・・。

　今回も1433番が多いです。あとは、明らかに狙ってると思われるものも。29行目から連続でアクセスしている 61.121.100.105 がそれです。対応するリモートドメインは homepage1.nifty.com でした。見れば一目瞭然ですが、ドメインの所有者は『ニフティ株式会社』でした。同じく特定ポートに連続アクセスをしている 61.121.100.21 と 61.121.100.26 もニフティです。あとで報告でもしておくことにします。

午後7時31分 ごろごろ

　今日は朝から、いや、深夜から雷が鳴ってます。これだけ激しいのは久しぶりです。

　雷自体はまあいいんですが、落雷などで停電になったりするとパソコンへの影響が心配です。自宅サーバもあるので、なおさら気になります。無停電装置を導入しましょうか。

　と、書いてる間に雨も激しくなってきました。今さっき慌てて窓を閉めたところです。蒸し暑くなります・・・。

　そうそう。何とかルーター復活しました。でも、この雷の様子ではまた電源をオフにしないと駄目かもしれません。これがやられたら死活問題ですので。

午後3時5分 ルーター、応答せよ

　愛用のルーターはもう1年以上使っていますが、初めから調子が悪かったような気がします。押されたまま引っ込んでるようなボタンもありましたし、たまに昨日のように応答してくれないことは珍しいことではありません。実は今も応答がありません・・・。

　応答がないと言っても、インターネットへのアクセスは出来ます。ルーターにアクセスできないだけです。telnet 接続も出来ますが、最低限の機能しかないのでプロセスを見ることも出来ません。そもそも、応答のないときは telnet も駄目なのでどうしようもないのですが。

　修理に出せば直るのかもしれませんが、もう保障期間を過ぎていますし、直るまでインターネットから隔離されてしまうので嫌なのです。設定を変えるときなどに困るだけですし。

　とは言うものの、応答してくれればいいのは確かです。応答せよ。

午前4時28分 昨日の不正アクセス

　今回のログ

　ずっとルーターにアクセスできなかったので、先ほど電源を入れなおしました。どうやら調子が悪かったようで、ログも今日の分がほとんど記録できていません。明日の不正アクセスログは少なくなります。朝になってしまったので、済みませんが今回は解説無しです。

午前1時15分 個人情報

　最近知り合いを装って色々聞き出そうとする電話が多いです。うるさいので居留守などの方法ですぐに切ってしまいますが、1度だけどんなことを話すのか出てみたことがあります。結局、うるさい BGM と目的を言わないまま繰り返される質問を聞かされただけでした。正直、とっとと用件を言えと怒鳴ろうかとすら思いました。

　うるさい電話と言えば、ワンギリも相変わらずです。うち、番号通知サービスは受けてないので、かけ返すことも出来ないので邪魔なだけです。ひどくなればうつ状態になりかねないと思うのですが。

午前0時54分 昨日の不正アクセス

　今回のログ

　これと言って変化のないログです。ほとんどが片っ端から試しているような感じなのと、例の Microsoft SQL Server です。唯一目的が見えるのが113行目の8080番。これは HTTP の80番の代替ポートです。サーバによっては、80番ではなくこちらの8080番でウェブサーバが待機しています。

午前2時22分 昨日の不正アクセス

　今回のログ

　昨日は驚くほど少なくなりました。さくらインターネット株式会社のサーバからのアクセスもありません。ただ、1433番ポートへのアクセスが多くなっています。Spida Worm が増殖しているせいでしょう。

　ポートの解説です。2行目の111番は sunrpc。説明は SUN Remote Procedure Call となっています。リモートで処理を呼び出す仕組みでしょうか。詳しいことはわかりませんが、セキュリティホールとなるのでフィルターで塞ぐことにします。1433番は既に説明したように、Microsoft SQL Server です。アカウントの設定に注意が必要です。6行目からの3つは、NetBIOS Name Service です。Windows の共有サービスで名前解決に使われてるポートなので、おそらく共有リソースへのアクセスが目的でしょう。関連する138番と139番もあわせてフィルタをかけておくべきポートです。12行目からの1080番は Socks です。Socks はネットワークを中継する技術で、プロクシサーバに使われています。また、認証処理も行います。

午後4時40分 ログの表示は変えます

　公開することとなったログデータですが、そのままではわかりにくいので整形済みテキストとしました。また、行頭に行数を入れました。行数の直後にはパイプ記号（|）と半角スペース1つを入れて区切りとしています。特定のログを指定する場合も時間ではなく行数を使うことにしました。これらの変更に伴い、既に公開されているものを修正しました。基本的に日記は修正ではなく追加で訂正する方針でやっていますが、今回は例外としました。

午前3時0分 昨日の不正アクセス

　今回から24時間ずつになります。また、タイトルは毎回同じにします。音声リーダーでは非常に辛いと思われますので、興味をお持ちでなければ次に第5レベルの見出しが現れるところまで飛ばしてください。

　今回のログ

　今回、61.211.232.88 と 61.211.232.145 が目立ちますが、調べてみるとどちらも『さくらインターネット株式会社』の所有しているものでした。ドメイン sakura.ad.jp からこの企業のウェブサイトと思われる http://www.sakura.ad.jp/ は現在白紙になっていて、どのような状態なのか分かりません。ちなみに、雑誌広告によるとレンタルサーバを提供する企業のようです。このアドレスへのリンクをコメントアウトしたページが多く見つかったので、もしかすると何かトラブルがあったのかもしれません。ここでサーバをレンタルしているサイトはまだアクセス出来ていますので、とりあえず倒産ではなさそうです。

　話は変わって、82行目からの3件と、87行目からの3件ですが、どちらも同じ1433番のポートに向けて行われています。このポートは Microsoft SQL Server が使用するポートで、今月22日の Internet Watch の記事によると、現在増殖中の Spida Worm によるものだそうです。前者はリモートドメインが 49dsl060.dsl.micron.net なのでおそらくプロバイダ経由の接続をしている普通のパソコン、後者の方のサーバのリモートドメインが mail.marvil.cz でメールサーバでしょう。ちなみに、cz はチェコ共和国の国ドメインだそうです。

　ついでに説明しますが、1433番へのアクセスの間にある85行目と86行目の2件でアクセスされている515番はネットワークプリンタのポート、mail.marvil.cz からの直後の90行目でアクセスされている22番は SSH のポートです。

午前0時55分 不正アクセスの記録

　ルーターへの不正アクセスを毎日公開していこうと思います。また、同時に記録を残しておく目的もあります。午前0時から午後11時59分59秒を一区切りとします。ただし今回は昨日の残り分だけです。意味は前回の日記を参照してください。

　今回のログ

午前2時28分 相変わらずです

　相変わらずルーターへの怪しいアクセスが続いています。減っていないどころか、むしろ増えています。今回はその一部を公開。範囲は昨日から現在までで、SRC のアドレスを持つコンピュータの SPORT のポートから DST のアドレスを持つコンピュータ（これがルーター）の DPORT のポートへのアクセスです。念のためルーターのアドレスは伏せておきます。

　ログ

　今日に入ってからがやたらに多いです。いいかげんにしやがれと言いたい。もしあなたの管理してるサーバのアドレスがここにあったら、即刻チェックしてください。迷惑ですし、あなたがプロでそのままにしていたら管理能力を疑われます。素人で個人パソコンからの場合、アンチウィルスソフトを導入してください。無料で使えるものもあります。サーバがマイクロソフトのものであった場合はセキュリティパッチを当ててください。穴は早めに塞がないとどんどん広がってしまいます。

午前2時6分 エラーを追い出せ・・・てない？

　前回の日記で、ワームのアクセスログを別のファイルに記録する方法の解説をしましたが、全然出来てません。肝心のファイルにはまったく記録されず、エラーログのほうにはしっかりと記録され続けています。難しいです・・・。

午前4時42分 ワームのエラーを完全に追い出せ

　さっき書き終わったばかりですが、egrep についての訂正です。アップロードしていないので普通に書き換えてもいいのですが、日時も設定しちゃったので。

　| はエスケープしないと怒られると書きましたが、正規表現を シングルクォーテーションで括れば大丈夫でした。ダブルクォーテーションで括ったらエラーになったので、括っても駄目だと思い込んでいました。また、エラーログファイルのほうには過去記録されたワームによるエラーが記録されたままになってしまいますが、egrep のオプションの -v を使うことで、正規表現に一致しない行を抽出することが出来ました。一旦別のファイルに結果を書き出しておき、再び戻すかリネームするとワームと関係ないエラーのみが残ります。直接 grep の結果を自分に戻すことも出来そうなのですが、下手をすると全て亡くなる危険性があったので、念のため別のファイルを経由しました。

午前4時25分 ワームをエラーログから追い出せ

　相変わらず CodeRed や Nimda などのワームが猛威を振るっています。ローカルサーバのエラーログの9割以上がこれです。鬱陶しくて専用のログファイルに記録するようにしましたので、覚書を兼ねた解説です。

　まず、前提としてサーバは Apache です。2.0 が既に使えますが、移行が面倒なのと互換性が気になるのでまだ 1.3x のままです。OS は FreeBSD(98) 4.5R-rev01 ですが、やり方には影響しないでしょう。

　初めに必要なのは、モジュール mod_setenvif と mod_log_config を有効にしておくことです。この2つの機能を使うので、確実に有効にしてください。

　まずは、mod_setenvif の機能を使ってワームかどうかの判別処理を追加します。構文については先ほどのリンク先にある説明を見てください。記述箇所は、<IfModule mod_setenvif> と 直後の </IfModule> の間で、私は以下のようにしました。

SetEnvIf Request_URI "default\.ida" worm
SetEnvIf Request_URI "cmd\.exe" worm
SetEnvIf Request_URI "root\.exe" worm
SetEnvIf Request_URI "Admin\.dll" worm

　これで、CodeRed や Nimida によるアクセスの場合は環境変数 worm が作られ、その値は 1 になります。もし新たな攻撃をするワームが現れても、その特徴となる文字列を追加指定してやれば済みます。

　次に、ログファイルの振り分けです。振り分けには環境変数を使いますが、当然先ほど SetEnvIf で設定した worm を使います。変更箇所は、CustomLog ログファイル名 ログフォーマット名 となっているところです。仮に、ログファイル名を /var/log/www/access.log 、ログフォーマット名を combined とします。

変更前

CustomLog /var/log/www/access.log combined

変更後

CustomLog /var/log/www/worms.log combined env=worm
CustomLog /var/log/www/access.log combined env=!worm

　変更後の1行目がワームによるアクセスの場合、2行目がそれ以外です。これで、ワームによるアクセスは /worms.log に記録され、それ以外で正常なアクセスは access.log に記録されます。

　ここまで書き終わって、変更の効果は出たかなとログファイルを覗いてみましたが、肝心なときにと言うかなんと言うか、ワームによるアクセスはなかったようで、ファイルは空っぽでした。せっかくなので、ついでにエラーログのワームによる行だけを抽出しておくことにしました。なれた人は既に予想はついているかもしれませんが、grep（複数一致をさせたいので、実際には egrep を使いました。）を使います。コマンドは以下の通り。

egrep /default\.ida\|cmd\.exe\|root\.exe\|Admin\.dll/ エラーログファイル > ワームログファイル

　| ではなく \| です。エスケープをしないと、パイプとして処理されてしまいます。cmd.exe がないと怒られてしまい、これではワームの出すエラーログと同じようでしゃれになりません。変な仕様ですが、こういうものだと思って使うしかないのでしょう。とりあえず、今回はここまで。

午前0時38分 国の WWW

　オンラインマガジンの INTERNET Watch では、現在『今知っておくべき危険〜常時接続時代のセキュリティー』という連載をやっていますが、第5回　ポリシーを実行できない行政〜首相官邸のプライバシーとポリシー では、小泉内閣メールマガジンにおけるプライバシーポリシーの問題点の指摘から始まって、首相官邸ホームペ−ジ全体の問題も扱っています。

　記事内容によると、相当問題があるようです。内容をそのままここで書いても意味がありませんので、記事とは別に気になった点を書くことにします。

　まずはメールマガジンの登録フォームです。このフォームは CGI によるもので、データ送信は POST 方式で行うようになっています。しかし、CGI の処理が不完全なようで、GET でも同じように扱ってしまいます。これによって、外部から多数の登録をほぼ半自動で行うことが可能になってしまっています。このことについての問題点は記事のほうで扱っています。

　同じくメールマガジンで、今度は関連ページ全体です。メールアドレスの入力をするとき、念のため2度入力し、間違いなく本人による登録であり、そのアドレスに間違いがないことを確認する2つの意味で、そのアドレスに登録完了の通知が送られるのが一般的です。そのような仕組みがある場合は説明が用意されていることがほとんどですが、それらしいものはまったくありません。実際に行うまではわからないのです。どうなるかまったくわからないのは不安です。私も不安で試してないので、実際どうなるかわかりません。

　次に、ご意見募集のページです。記事とでは必要なさそうな個人情報の入力欄があり、しかも入力しなくても問題ないのにわかりにくい点が指摘されていますが、必須項目がわかるようにしておくのは当たり前のことで、民間企業どころか個人でもやっていることです。暗号化もしてなさそうですし、意見したくても尻込みしてしまう人は意外とたくさんいるのかもしれません。

　ついでですが、連載のほうにも気になる点が。リンクの初期カラーは青でアンダーラインありですが、リンクでないのに同じになっている部分があります。カーソルを重ねて見ないと区別できず、非常に紛らわしいです。

午前0時36分 RD17GX2 に新たな問題発生

　新たな問題が見つかりました。それは、解像度の対応です。

　解像度の対応といっても、高解像度が出ないということではありません。逆に、低解像度のほうだと思います。Windows は致命的なエラーが発生すると、それを告知するために全てを一旦停止して専用の表示に切り替わります。いわゆるブルースクリーン（余談ですが、NEC の PC-9821 シリーズでは黒くなるので、PC/AT互換機を使い始めるまでは由来がわかりませんでした。）と呼ばれているものです。Ct16 ディスプレイのときは大丈夫でしたが、RD17GX2 では復帰すると表示が乱れて何が何だかわからず、再起動するしかなくなってしまいます。早期解決したいところです。

午前0時28分 現実世界も変化

　最近は気温がやたらに変化します。今日は寒かったと思えば翌日は夏かと思うほどの暑さ。先日あまりにも暑くて温度計を見てみたら、なんと摂氏38度。日当たりのいい部屋ではありますが、5月の気温とは思えません。今日は比較的涼しかったのですが、明日はまた暑くなりそうです。パソコンを使うのがつらくなります。

午前0時19分 環境の変化

　ルートページのみアクセスログを取っているのですが、ここ数ヶ月でだいぶ内訳が変わりました。IE6 が急激に IE5.5 を抜いてトップに踊り出ましたし、ディスプレイ解像度の最上位である 1024×768 が急激に増えて、現時点では 55.9% です。

午前2時43分 ディスプレイ導入レポート

　メインマシンのディスプレイは今までずっとサブマシンの PC-9821Ct16/F 改（以下、Ct16）に付属のもの（以下、Ct16 ディスプレイ）を共用していましたが、先日ついに専用ディスプレイとなりました。

　専用のディスプレイ導入のきっかけは、実は床屋に行ったらいらないディスプレイがあるけど言われたこと。この床屋は子供の頃から10年以上お世話になっているところで、店長はマックユーザです。新しく購入しようとしていたところ値上げのニュースを聞き、近所の量販店で値上げ前の値段で新型 iMac が売られているのを見て慌てて購入したとか。新型 iMac は液晶ディスプレイ付きなのでディスプレイが余ってしまい、捨てても有料になるので、欲しい人がいれば譲ろうと考えていたところに私が行ったと言うわけです。私もちょうど欲しかったので、即お願いしました。

　ディスプレイは 三菱電機の RD17GX2。購入当時はかなり高かったそうです。かなり前のものですが、今でも中古の値段は1万円弱はします。

　設置の感想ですが、ブラウン管が非常に重いです。Ct16 付属ディスプレイも位置を変えたので両方持ち上げたわけですが、一般的な辞書が数冊載せられたくらいの違いは感じました。予想以上だったので、初めに持ち上げたときはちょっと危うかったです（＾＾；

　接続は一緒に貰ったケーブルを繋げればすみますが、使い勝手向上のためにパソコンのレイアウトを変える事にしました。今までは共有するためにディスプレイ切り替え気を使っていましたが、これからは不要になるのでまずはこれを取り外します。もちろん接続していたケーブルも。かなり長めだったケーブルが3本もなくなったのですっきりです。次に、共用していた Ct16 ディスプレイを返してやることにしました。Ct16 は床に置いているので本体とは並びませんが、わずかながら空いたディスプレイ前の空間にキーボードを置きました。カタログ写真の配置に近く、ちょっと懐かしい気分です。左から順に、Ct16・Ct16 ディスプレイ・メインマシン・RD17GX2 という並びになりました。

　配置も終わって接続も終わって、いよいよ表示確認テストです。初めに当然やることはメインマシンの起動。表示はされていますがどうも歪んでます。色合いも綺麗ではなく、コントラストが甘く彩度も低い感じがします。さらに、時々モアレが見えます。これらがもともとある現象だとしたら不良品なのかもしれません。まあ、ただで貰ったのですから文句は言いませんが、調整してもうちょっと何とかしたいところです。Ct16 ディスプレイのほうが綺麗に感じるくらいでは、貰った意味があまりありません。とりあえず専用ドライバをインストール。シリーズ共通のものが配布されていました。何の問題もなく終了。RD17GX2 に変えたメリットである高解像度を試そうと画面のプロパティのダイアログを開いたのですが、ここでトラブル発生。肝心の 1600×1200 が選択リストにありません。ディスプレイは最高解像度、グラフィックカードはこれよりもさらに上でも対応しています。情報をかき集めてレジストリをチェックしたりもしましたが、選択できない理由がわかりません。最大のメリットのはずだったのですが・・・。

　ついでにグラフィックカードのドライバとユーティリティも最新のものにしてみました。解像度のほうは解決してません。グラフィックカードの BIOS も新しいものがありましたが、失敗するとやり直しが聞かないのでまだやってません。

　現時点での課題。解決方法をご存知の方はぜひ連絡ください。

• コントラストが甘く再度が低い。一言で言うと色が汚い。
• ひずみが感じられる。中央が凹んでいる感じ。Ct16 ディスプレイよりも平面に近いせい？
• 時々表示全体が左右に細かくぶれる。回数は3往復以上。
• 最高解像度の 1600×1200 が出せない。
• モアレ状のものが時々見える。

　どうしても解決しないようなら、Ct16 ディスプレイと入れ替えますか。最高解像度は同じだし、サブマシンは基本的にサーバ用途で直接使うことは少ないですから。

　関係ないですが、床屋の匂いが染み付いてますね。使ってて気が付きました。部屋を締め切ってると、入った瞬間匂いが違います。