僕の備忘録(PC、UN*X、ネットワーク関連が中心)なんです。
自分の書いたところは適当(な時とか)に書き換えますので御了承を。
メールは来たが、本文がなかった。手で実行したらうまくいってたのに、と
実行ユーザのmailを眺めて気がついた。 $PATHに/sbinがなく、
mknodが実行されてなかったのだ。
あと、logrotateをどうにかしないと、日毎の報告数に洩れが出る。
とりあえず、/usr/pkgsrc/sysutil/logrotをmake install。logrotateよりも
単機能っぽい。
#!/bin/sh
# 実はまだまともに動かない
PATH=/bin:/sbin:/usr/bin:/usr/sbin
LOGFILE=/var/log/maillog
FROM=SENDER
RTO=ID@DOMAIN.TLD
TODAY=`date|awk '{print $2" *"$3}' `
PIPE=/home/USER/PIPE
mknod $PIPE p
grep "status=" $LOGFILE |grep "$TODAY" > $PIPE &
echo "helo this_is_check_script
mail from: $FROM
rcpt to: $RTO
data
Subject: $TODAY s maillog
From: HOGEHOGE<$FROM>
To: $RTO
`cat $PIPE`
."
rm $PIPE
塞いだ。StealthScanの結果が気になったからだ。
This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
まあ、identdなど使ってない(PlamoもNetBSDも/etc/inetd.confの行頭に#が デフォルトだった)からいいだろう。
IIS5.0のexploitらしい。いまでもひっかかるのかなぁ。
ちなみに今日いきなり2箇所からアタック。過去ログには記録はなかった。
$ grep NULL $ACCESS_LOG SERVER 69.200.28.36 - - [03/Dec/2004:15:23:18 +0900] "GET /NULL.printer" \ 404 462 SERVER 208.197.226.5 - - [03/Dec/2004:20:21:53 +0900] "GET /NULL.printer"\ 404 462
リンクはご自由にどうぞ。でもURLや内容が変った場合はあしからず。