僕の備忘録(PC、UN*X、ネットワーク関連が中心)なんです。
自分の書いたところは適当(な時とか)に書き換えますので御了承を。
インラインコンテンツが別画面に混入する脆弱性を確認できた。
風博士でも再現した。
Geckoを使用したブラウザは軒並怪しいようだ。
らしい。topを見ても何もやってない;-)のに、ノートのファンが 唸りっぱなし。
どうせなら送信元/マスクに行き先ポートを見て、大半を パケットフィルタリングした方が手っ取り早い筈だった。 と、↓やってみてから気付く。 少しマシにはなったようだけど。
Jun 6 10:33:59 SERVER sshd[7537]: refused connect from \ 61-30-17-114.static.tfn.net.tw Jun 6 10:44:52 SERVER sshd[7540]: refused connect from \ 61-30-17-114.static.tfn.net.tw Jun 6 12:17:54 SERVER sshd[7661]: refused connect from 220.194.58.76 Jun 6 15:09:56 SERVER sshd[7761]: refused connect from 220.194.58.76
サーバも4.1p1にあげた(zlib も1.2.2)。ついでに、↓の如く、
あまりにもsshdへの攻撃が酷いので、 tcp wrapper により、
他所からの接続制限を強化(というより、殆どを禁止)
することとする。
デフォルトが「通過」で、/24 てな書き方が通らない
あたりに注意。
ひとしきり資料やログとにらめっこ。
しかるのちに /etc/hosts.deny(最終行に
ALL: ALL) をいじりながら、AirHで外からの
アクセス可否を確認。
tcpdmatch(8)なんてのもあった。作者名は注目に値する。
(というか、tcp wrappers 自体が、であった)
plamo-3.3 では、/usr/sbin/real-deamon-dir/ なんて
ディレクトリの下にあった(4.0 では /usr/sbin/)。
残念ながら、手許のバージョンでは(他は未確認)、DNSを引いて
くれないようだ。
久しぶりにSecurityScanに自サイトを叩かせた。 特に想定外な穴はないが、 サービスが随分増えてしまったことを実感。
Jun 5 13:27:48 SERVER sshd[17417]: Invalid user darkman from 210.192.1.173 Jun 5 13:27:48 SERVER sshd[17417]: Address 210.192.1.173 maps to \ 210-192-2-173.adsl.ttn.net, but this does not map back to the address - \ POSSIBLE BREAKIN ATTEMPT! $ host 210.192.1.173 173.1.192.210.in-addr.arpa domain name pointer 210-192-2-173.adsl.ttn.net. $ host 210-192-2-173.adsl.ttn.net 210-192-2-173.adsl.ttn.net has address 210.192.2.173
ぐぐって最もわかりやすかった説明。
301 :DNS未登録さん:2005/05/12(木) 08:58:33 ID:???
BREAKIN ATTEMPTってなんですか。
303 :DNS未登録さん:2005/05/12(木) 11:02:35 ID:???
>>301
不正侵入を試みること。
"POSSIBLE BREAK-IN ATTEMPT" で "不正侵入しようとしてんじゃねーの" という意味。
sshdで上記のメッセージが表示されるのは、主にFQDN(DNSホスト)名とIPアドレスが
適合していない場合。接続元のIPアドレスからホスト名を逆引きしようとした結果
何もホスト名が割り当てられていなかった場合、また逆引きできたホスト名から
再度IPアドレスを引いたら別のIPアドレスになってしまった場合に出力される。
リンクはご自由にどうぞ。でもURLや内容が変った場合はあしからず。