2ch特化型サーバ・ロケーション構築作戦 Part20

[1 root▲ ★ NG NG]

2ch特化型サーバ・ロケーション構築作戦のスレッドです。

・２ちゃんねるのサーバロケーション、PIEに関する関連作業・調整事項
・DNS登録・変更まわりの関連作業・調整事項
・２ちゃんねるのサーバで採用しているOS、FreeBSDに関する情報・調整事項
・各種作戦・プロジェクトとの連携、プロジェクト間の連携

等を取り扱います。

現在、複数サーバによる連携により、
サーバ能力のさらなるスケールアップをめざすための「雪だるま作戦」が進行中です。

また、次世代の携帯アクセス環境をめざした「べっかんこ作戦」も稼動しはじめました。
「２ちゃんねる証券取引所」や、「Be」の機能強化等、
２ちゃんねるは今日も変化し続けています。

前スレ:
2ch特化型サーバ・ロケーション構築作戦 Part19
http://qb5.2ch.net/test/read.cgi/operate/1121886018/

[731 ◆PyBmQVnXTM 2006/03/20(月) 15:38:13 ID:4l/kRRnp0]

>>730

iModeブラウザから書き込みました。

http://qb5.2ch.net/test/read.cgi/operate/1140966906/950

末尾のみが違うことを確認できました。

[732 root▲ ★ NG NG]

向こうで確認しました。うまくいっているようですね。
それでは、全サーバにこのbbs.cgiを配布するということで。

[733 ◆PyBmQVnXTM 2006/03/20(月) 15:41:11 ID:4l/kRRnp0]

ありがとうございました。

今後ともよろしくお願いいたします。

[734 root▲ ★ NG NG]

配布しました。
10分程度で全サーバ有効になるはず。

以降の不具合報告等についてはここではなく、
こちらのスレを使っていただけると助かります。

bbs.cgi再開発プロジェクト7
http://qb5.2ch.net/test/read.cgi/operate/1130918407/

IPアドレスの追加・変更やUAの仕様変更、
あるいはDoCoMo以外の機種への対応があった場合には、
これまで通り、こちらのスレで報告をお願いします。

ということで、よろしくお願いします。

[735 ◆PyBmQVnXTM 2006/03/20(月) 15:46:20 ID:4l/kRRnp0]

>>734

承知しました。
よろしくお願いいたします。

[736 動け動けウゴウゴ２ちゃんねる 2006/03/20(月) 19:14:24 ID:6DJajcET0]

sage

[737 動け動けウゴウゴ２ちゃんねる 2006/03/20(月) 19:36:44 ID:v9vJz1+40]

昨日PREEMPTIONなしをお薦めした者ですが、
PREEMPTIONとDEVICE_POLLINGについて簡単なベンチマークを行ってみました。
ベンチマークには自作のApacheモジュールを使用しました。
そのモジュールは、/var/tmp/bbs.txtというファイルを開いた後にファイルをロックし、
そのファイルにHello, world!!!という文字列を50回書き込んで、
クライアントにtest OK!という文字列を返すという簡単なものです。
abを使用して、同時1000接続、合計1000000リクエストでテストしました。

<テスト結果>
PREEMPTIONあり + DEVICE_POLLINGなし:
Requests per second: 1999.76 [#/sec]

PREEMPTIONあり + DEVICE_POLLINGあり:
Requests per second: 1836.68 [#/sec]

PREEMPTIONなし + DEVICE_POLLINGなし:
Requests per second: 5005.48 [#/sec]

PREEMPTIONなし + DEVICE_POLLINGあり:
Requests per second: 6528.52 [#/sec]

良かったら御参考に。

[738 root▲ ★ 2006/03/20(月) 19:44:31 ID:???0]

今日も目が覚めてしまった件。

>>737
どうもです。DEVICE_POLLING ですか。

前に一度、matd の時に挙動不審になって負けた経験がありますが、
あれはPREEMPTIONあり + DEVICE_POLLING ありだった時(下記で一番悪い)なので、
別途やってみる意味はありますね。

live22は幸運にもリモートコンソールでアクセスできるので、
最悪ネットワークがしくっても、なんとかできるので。

また、あとで挑戦ということで。

[739 動け動けウゴウゴ２ちゃんねる 2006/03/20(月) 19:53:38 ID:v9vJz1+40]

あ、あと、最後の「PREEMPTIONなし + DEVICE_POLLINGあり」では、

・vmstatで見たとき、run queueに2桁しかたまらない
・vmstatで見たとき、cpu idleが0ではない

という特徴がありました。他のものはrun queueは3桁でidleは0でした。


…それにしても、リソース待ちの状況が作り出せないです。
どうやったらそうなるのか、個人的に興味があるんですが。

[740 動け動けウゴウゴ２ちゃんねる 2006/03/20(月) 19:58:27 ID:3AhPRBbd0]

>> 709
現在のlive22xの過去ログの数を数えたら、167315個ぐらいあるようなきがする...
rsyncって配下のファイル全部なめたりしませんよね。

とりあえず、 sysctl vfs.numvnodes の値を見た方がよいのかも。

[741 動け動けウゴウゴ２ちゃんねる 2006/03/20(月) 20:18:07 ID:JBGtAjYz0]

>rsyncって配下のファイル全部なめたりしませんよね。
ファイルリストを作るために舐める気がした。

[742 株価【】 ▲ ◆cZfSunOs.U 2006/03/20(月) 23:32:54 ID:5gAnijz40]

rsync が負担になってるとすると......長期的には offlaw.cgi 改造で
rsync を使わずに済む形に持っていくとして，今できる対策ということでは，
例えば LA が上がるなど忙しい時には一時的に rsync を止めてしまって，
ゆとりができてから rsync を再開させるようにするとか．

[743 root▲ ★ 2006/03/20(月) 23:35:52 ID:???0]

おはようございます。

過去ログ部分のrsyncをゆっくりにして(rsyncの系統を分ける)、
>>742 のような策も入れてみようかと。

[744 動け動けウゴウゴ２ちゃんねる 2006/03/20(月) 23:43:08 ID:4MqdJb6z0]

鯖に関して外部との共同作業ってのは、初めてかもしれないな

[745 動け動けウゴウゴ２ちゃんねる 2006/03/21(火) 01:11:05 ID:+mO7md5D0]

系統を分けるんなら負荷の低いときには早めに同期するとかしてほしいなあ

[746 ◆Reffiz2Zh. 2006/03/21(火) 01:20:13 ID:yoz+wfO50]

いつの間にか出てたようです。

squid-2.5.STABLE13
ttp://www.squid-cache.org/Versions/v2/2.5/squid-2.5.STABLE13-RELEASENOTES.html

[747 動け動けウゴウゴ２ちゃんねる 2006/03/21(火) 10:51:03 ID:8MeS4SLs0]

740なこといいましたが、本当にrsyncのファイルアクセスのせいかわからないので、
メモリに余裕があるのなら、まずは、 kern.maxvnodes=200000ぐらいにして
リソース待ちが発生しないかためしてみるのがよいのかも。

[748 root▲ ★ NG NG]

rsync がいなくてもリソース待ちが起こったのを確認しました。

で、これが効くといいかなと。

【団子】負荷監視所_20060319
http://live14.2ch.net/test/read.cgi/liveplus/1142750659/168

168 名前： ◆MUMUMUhnYI [sage] 投稿日：2006/03/21(火) 11:51:03.36 ID:iMM5RZdi0 ?#
>>163 >>166
Apache status を見ると、L が死ぬほどありました。
つまり、ログを書くところで詰まりまくり。

Scoreboard Key:
"_" Waiting for Connection, "S" Starting up, "R" Reading Request,
"W" Sending Reply, "K" Keepalive (read), "D" DNS Lookup,
"C" Closing connection, "L" Logging, "G" Gracefully finishing,
"I" Idle cleanup of worker, "." Open slot with no current process

TransferLogしているのも原因かも。

いずれにせよlive22でPVとる必要も意味もないので、
この部分コメントにしたです。

[749 root▲ ★ NG NG]

>>747
>>748 を見てから、ってかんじですかね。
それでも起こるようなら、入れる感じで。

[750 動け動けウゴウゴ２ちゃんねる 2006/03/21(火) 12:42:59 ID:8MeS4SLs0]

>>749 乙です。
vfs.numvnodesが余裕あるようでしたら、
必要ないのかなと思います。
# こいつの解放タイミングがわからないので、
# 通常は低いんですかね。

[751 株価【】 ▲ ◆cZfSunOs.U 2006/03/21(火) 12:44:57 ID:EGGvOWyW0]

>>748 乙です．なるほど，logbuffer ってやつですか．
それでまた一歩前進になるのかな．

# >>717 もちょっと気にかかりますが．

[752 root▲ ★ NG NG]

live22x1 でも、

em1: RX overrun

が。

で、live22 は httpd が signal 10 でダウンしたりした模様。

フロントもPREEMPTIONなし、DEVICE_POLLINGありにするかんじかなと。
あと、ex14も。

[753 root▲ ★ NG NG]

で、Apache status のログをあとで観察してみる。

[754 root▲ ★ NG NG]

http://mumumu.mu/mrtgc/mrtg-rrd.cgi/traffic/blackgoat3-privatetraf.html

また、32bitカウンタがあふれたです。< BG3
2分に1回だから、携帯系のフロント <=> バックの間300Mbpsぐらい出たのか。
なんかみんなすごいな。

[755 root▲ ★ NG NG]

雪だるま(mrtgs)同様、1分に1回に。>>754

[756 root▲ ★ NG NG]

>>754-755
ヒット率が落ちなかったので、まだBG3/4は生き延びられるのかな。
http://mumumu.mu/mrtgc/mrtg-rrd.cgi/loveaffair/blackgoat3-hits.html

しかし、次の瞬間には・・・。

[757 動け動けウゴウゴ２ちゃんねる 2006/03/21(火) 17:14:06 ID:POrVUVF+0]

あれ、VIP落ちてませんか？
http://ch2.ath.cx/load/ex14.html

[758 動け動けウゴウゴ２ちゃんねる 2006/03/21(火) 17:17:54 ID:EX/sKDGu0]

寿命です

[759 root▲ ★ NG NG]

>>752
> PREEMPTIONなし、DEVICE_POLLINGありにするかんじかなと。
> あと、ex14も。

ex14 done.

[760 root▲ ★ NG NG]

あと作業としては、

・live22x[1-3], ex14: apache2.2 + patches に入れ替え、libthr に再変更
・matd がめいっぱいかどうか検証 >>751
・>>753
・>>752
・>>740 >>747 >>750
・>>742-743
・RELENG_6_1 が来たら更新

[761 root▲ ★ NG NG]

で、ロケーション系では、

・game10 news19 hobby7 BBQ 移動手配
・その後フロント、バック増設

あと、フロント増設時に1台を過去ログ専用にして、
過去ログのrsyncはそこだけにして、他はmod_proxyでとばしてみるとか。

[762 ◆TWARamEjuA NG NG]

黒やぎさんのhttpdを触っている？・・・ってないですよね？
httpだけお返事がないみたいです。。。

ttp://sv2ch.baila6.jp/server.cgi?server=blackgoat4.2ch.net

[763 動け動けウゴウゴ２ちゃんねる 2006/03/22(水) 12:24:12 ID:7LE2Hpw30]

>>754
bsnmpdなら64bitカウンター使えるんですがねー
UCD-SNMP-MIBが使えない・・・

[764 root▲ ★ 2006/03/22(水) 21:09:50 ID:???0]

BG4はカーネルパニックか。

%cat info.1
Dump header from device /dev/da0s1b
Architecture: i386
Architecture Version: 2
Dump Length: 2146500608B (2047 MB)
Blocksize: 512
Dumptime: Tue Mar 21 06:31:02 2006
Hostname: tiger512.maido3.com
Magic: FreeBSD Kernel Dump
Version String: FreeBSD 6.0-RELEASE-p2 #0: Fri Jan 13 10:22:04 PST 2006
root@tiger512.maido3.com:/var/src/sys/i386/compile/I386_TIGER_60_BLACKGOAT
Panic String: page fault
Dump Parity: 52599871
Bounds: 1
Dump Status: good

%kgdb /boot/kernel/kernel vmcore.1
[GDB will not be able to debug user-mode threads: /usr/lib/libthread_db.so: Undefined symbol "ps_pglobal_lookup"]
GNU gdb 6.1.1 [FreeBSD]
Copyright 2004 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB. Type "show warranty" for details.
This GDB was configured as "i386-marcel-freebsd".
(no debugging symbols found)...Attempt to extract a component of a value that is not a structure pointer.
(kgdb) where
#0 0xc0505f3e in doadump ()
#1 0xc06f9f60 in buf.0 ()
#2 0xf15f1b8c in ?? ()
#3 0xc0506429 in boot ()
Previous frame inner to this frame (corrupt stack?)
(kgdb) quit

[765 root▲ ★ 2006/03/22(水) 21:11:43 ID:???0]

>>762
今はアクセスできるような。
http://blackgoat4.2ch.net/_service/20060322.txt

>>763
お、標準のやつならできるのですか。

[766 root▲ ★ 2006/03/22(水) 21:13:54 ID:???0]

>>759
ex14 は PREEMPTION 無効のみでした。

[767 ● ◆ANGLERlqvM NG NG]

Security Advisoryが3件出ますた。

ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:11.ipsec.asc
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:12.opie.asc
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:13.sendmail.asc

[768 動け動けウゴウゴ２ちゃんねる 2006/03/23(木) 11:15:09 ID:xWxnCIui0]

>>767
2chで直接影響するものはなさそうですね・・・・
しいて言うならsendmailだろうけど、つかっていなさそうですし

いづれにせよroot先生のご判断しだいですが

[769 動け動けウゴウゴ２ちゃんねる 2006/03/23(木) 18:07:32 ID:ixynDoQk0]

保守age

[770 root▲ ★ NG NG]

2ｃｈの動作報告はここで。 パート19
http://qb5.2ch.net/test/read.cgi/operate/1140600013/

ということで、特定のIPアドレスからの特定CGIの過激な起動を検知して、
例えば 403 エラーとか特定の URI とかを返すようなよい Apache モジュールって、
何があるのかしら。

[771 root▲ ★ NG NG]

…昔一時的に使ったdosなんちゃら(evasiveだっけ)とかかな。

[772 root▲ ★ NG NG]

名前変わったのね。

http://www.nuclearelephant.com/projects/mod_evasive/

[773 root▲ ★ NG NG]

記憶をたどっていますが、
前にみた時には、<Files bbs.cgi> </Files> とかで囲むことができないから
いまいちだなぁって話を、確かしたですね。

【Project peko】2ch特化型サーバ・ロケーション構築作戦 Part15
http://qb5.2ch.net/operate/kako/1093/10930/1093068260.html

[774 root▲ ★ NG NG]

最近パワーアップしているらしい、これとかかな。

http://netnice.org/pukiwiki.php?ModNetniceConf

[775 動け動けウゴウゴ２ちゃんねる 2006/03/25(土) 10:57:09 ID:hGMEs7kM0]

今更ですが、>>655 >>659 について調べたので、一応報告しておきます。
結論から言いますと、apacheのソースを見る限り、workerにてkillでプロセスが終了しないのは正しい動きです。
workerの場合、1プロセスにつき、

main thread x 1
listener thread x 1
worker thread x ThreadsPerChild

というように、ThreadsPerChild + 2個のスレッドが立ち上がるのですが、
killコマンドでプロセスにSIGTERMを送信した場合、そのシグナルは main thread で受け取ります。
main thread は、親プロセスからのプロセス終了指令が来るまでひたすら待機しており、
SIGTERMを受信した時は、一時的に待機を中断するんですが、すぐまた元の待機状態に戻ります。
シグナルハンドラは、デフォルトのものから何もしない関数に変更されているので、終了はしません。

[776 root▲ ★ NG NG]

2006/03/25 18:00:01 LA= 6:00PM up 6 days, 4:31, 0 users, load averages: 209.71, 406.11, 460.26

LAがすごいことになってたのね。


>>775
なるほど、おつです。

[777 root▲ ★ NG NG]

logbuffer を通さない形でのログとりを復活させよう。

これだと、何が起きたのかもわからないし、
仮に外から DoS られたりしても、何もわからない。

[778 root▲ ★ NG NG]

>>777 は live22 の話。

[779 root▲ ★ NG NG]

あと、live22 はもうひとつ問題があって、

%df /home
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/da1s1f 29633058 11180958 16081456 41% /home

既に HDD を4割以上、使っています。

どんどん書き込まれるから、ペースが速い。
遠からずいわゆる「リフレッシュ工事」が必要な状態に。

どうするのがいいのかなと。

[780 root▲ ★ NG NG]

今見たら、ex14もなかなかですね。

旧 ex10 の内容は消したのに(一度リフレッシュ工事している)、
もう7割以上か。

%df /home
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/da1s1d 34710178 22568858 9364506 71% /home

[781 株価【】 ▲ ◆cZfSunOs.U 2006/03/26(日) 20:37:19 ID:8afGRs720]

>>770 は >>774 (mod_netnice) でできそうですね．

>>779 は >>761 の

>あと、フロント増設時に1台を過去ログ専用にして、
>過去ログのrsyncはそこだけにして、他はmod_proxyでとばしてみるとか。

というのを変形させて，過去ログ dat は全部 memories に転送して
live22 では過去ログを保持しないようにして，過去ログへのリクエストは
mod_proxy で memories に投げるようにするとか．

[782 root▲ ★ NG NG]

Mar 25 19:41:45 <12.3> tiger511 ntpd[552]: sendto(216.218.192.202): No route to host
Mar 25 19:42:13 <12.3> tiger511 ntpd[552]: sendto(209.51.161.238): No route to host
Mar 25 19:49:42 <12.3> tiger511 ntpd[552]: sendto(216.218.254.202): No route to host
Mar 25 19:58:48 <12.3> tiger511 ntpd[552]: sendto(216.218.192.202): No route to host
Mar 25 19:59:17 <12.3> tiger511 ntpd[552]: sendto(209.51.161.238): No route to host
...

ううむ、ネットワークカード(em)が虫を踏んだっぽい。< BG3

トラフィックが多いプライベート側はこけたら起き上がる仕掛けいれてあるけど、
パブリック側にも必要なのかも。

[783 root▲ ★ NG NG]

>>781 第一段落

日々、感染PCが増えてきている模様。なんだかなと。

>>781 第二段落
なるほど、
何らかの形で別サーバ(memoriesなど)に過去ログを送って、
mod_proxy でそこを参照させるというのが、一番有力そうですね。

[784 root▲ ★ NG NG]

>>782
プライベート側＊も＊、ダウンしていた模様。 < BG3
仕掛け(ifconfig downしてifconfig upする)が
動きまくった(けど復活しなかった)メールが、たくさんたくさん。

ううむ。

[785 ｒｅｆｆｉ@報告人 ★ 2006/03/26(日) 22:44:34 ID:???0]

>783
沈静化したと思ったんですがまだ広がる気配があるのですか・・・
大量でしたら通報コースにしましょうか？
前回と違ってプロバイダも対応してくれると思います。

[786 水色＠飛行石 ★ 2006/03/26(日) 22:46:33 ID:???0]

>>785
私もそう思いますー。

とゆーか、感染しちゃう人は、別亜種もやっぱり拾って
感染しちゃうんじゃないですかねー。

作る方は、作って流すだけですからねー。
感染パソコンに何も出来ないって状態を打破しないと
駄目なんじゃないかなーと。

[787 ｒｅｆｆｉ@報告人 ★ 2006/03/26(日) 22:48:27 ID:???0]

>785補足
通報対象を過剰にbbs.cgiをつついてる人に絞ればapacheのログ添付すればいい
ので簡単に作業できると思います。
（ＩＰごとにログ抽出しないと行けないんですが）

[788 root▲ ★ 2006/03/26(日) 23:40:38 ID:???0]

>>785-787
ふむ。

今回、超高頻度なアクセス＊そのもの＊が問題になっています。
ようは、DoS攻撃を発生させるウイルスということになりますね。

単に通報案件にした場合、
地道なというか長丁場というか、永久に通報し続けなければならない予感がします。
つまりなんというか、その路線では幸せになれないような。

何とか、根本的な手だてはないものかなと。

[789 root▲ ★ NG NG]

今ざっとtmp6のアクセスログを見てみましたが、
22:00-23:00 の間のこのウイルスっぽいアクセスがあるIPアドレスは、
121 IPアドレスあった模様。
騒ぎが始まったときは 37 個(だったかな)だから、もう4倍近くに。

で、そのうちいちばんひどい一つからは、１時間で2万回近くのアクセスがあったと。
で、そういうのがそれこそ何十と。

そんなわけでtmp6は、今２ちゃんねるで最もアクセスされているサーバに。
http://sabo2.kakiko.com/pageview/daydata.cgi?date=20060325

[790 水色＠飛行石 ★ 2006/03/27(月) 01:21:53 ID:???0]

>>788
＞単に通報案件にした場合、
＞地道なというか長丁場というか、永久に通報し続けなければならない予感がします。

えーと、その地道なものがやりにくいとゆーか、やれる仕組みがないなーと。
多分、鯖側の対応でも、永遠にやることになると思いますよー。
すでにもう半年以上戦ってるわけでー。

今回はDos攻撃みたいだから対応してくれてますがー、亜種はゴロゴロ
あるんですよねー。そちらは対応されてませんよねー。
すでにそれらはイタチごっこしてますー。

地道に焼くしかないんですがー、Rockすら出来ないと焼くことも
出来ないわけですよねー。
少なくとも今回のは、Rock＆BBQでは対処不可能ですー。

[791 root▲ ★ 2006/03/27(月) 01:56:11 ID:???0]

>>790
うーむ、、、。

> 少なくとも今回のは、Rock＆BBQでは対処不可能ですー。

ですね。
それはつまり、既存の仕組みではもはや対応できないと。

で、結局、
> えーと、その地道なものがやりにくいとゆーか、やれる仕組みがないなーと。

これなわけで。
つまりだとすると、この「仕組み」は、どうすれば作れるのかなと。
そこにポイントがあるような気がします。

これまで、Boo80/Samba24/BBQ/BBM/Rock54 etc. といった「しくみ」を
作ってきたわけで、新たな何かが必要になった、ということなのかなと。

[792 root▲ ★ 2006/03/27(月) 02:02:43 ID:???0]

新たな何か、か。

さて、どうするのがいいのか。

例えば、これかもなぁ、とか。
http://sunos.saita.ma/mod_authz_iplist.html

とりあえず明日以降に備えて、今日のところはここまでかなと。

[793 株価【】 ▲ ◆cZfSunOs.U 2006/03/27(月) 02:03:25 ID:CnZazs6i0]

tmp6 とかで mod_netnice を試してみるとかできないんでしょうか．

[794 株価【】 ▲ ◆cZfSunOs.U 2006/03/27(月) 02:05:57 ID:CnZazs6i0]

>>792 乙です．mod_authz_iplist は DoS を自動検出する機能はないんで，
例えばバーボンで拒否ホスト数が増えた場合に使うとかなら有効かと．

[795 root▲ ★ NG NG]

>>793
tmp6 = banana340 は standard banana なので
(= 私はroot権限を持っていない)、
別途、調整等が必要になるですね。

もちろん、そういった調整を不可能だとは思っていませんです。

[796 root▲ ★ NG NG]

>>794
そういうことを考えています。

例えばバーボンを2系統にして、
フェータルバーボン(仮名)の場合、mod_authz_iplist に長期間期限で突っ込むとか。

で、フェータルになる要件を決めると。
(例えば、しつこくDoSってくるとか)

これのよさげなところは、従来のバーボンの仕組みを
拡張すれば、いけそうなところですかね。

[797 root▲ ★ NG NG]

で、ここに至るまでのこころは、

・deny で単にはじく負荷がばかにならない状況になってきた <= 今ここ
・よって、ここを軽くしたい
・カーネルレベルで deny する (例えばFreeBSD なら ipf とか)のは、まだとっておきたい
・root 権限なしサーバでもフレキシブルにdenyできるようにしたい(今の .htaccess っぽい手軽さ)
・うーん、なんとかならないかな

ってなかんじですね。

[798 株価【】 ▲ ◆cZfSunOs.U 2006/03/27(月) 02:23:52 ID:CnZazs6i0]

>>795-797 なるほど．実のところ，ウィルスではないんですが
sunos.saita.ma/inspired/ でも性質の悪いクローラみたいなのが
度々やってきて猛烈に叩きまくるんで，DoS 自動検出・拒否の機能を
入れてるんですが，これは inspired が mod_cgidso 使ってるんで
直接その機能を埋め込んでもモジュールレベルで弾くのとほぼ同等の
軽さにできるんですよね．ただ bbs.cgi だとそういうわけにも
行かないでしょうし，さて......

[799 root▲ ★ NG NG]

>>798
bbs.cgi に mod_cgidso な「皮」をかぶせるとかすれば、できなくないのかしら。

DoS自動検出・拒否機能を持ったmod_cgidsoなbbs.cgiを準備し、
ユーザはそれを叩くようにして、そこでDoS検知・拒否だけして、
DoSじゃない場合にのみ、bbs-speedy.cgi(仮名)を普通にCGIとして実行するとか。

[800 株価【】 ▲ ◆cZfSunOs.U 2006/03/27(月) 02:31:09 ID:CnZazs6i0]

>>798 DSO 版 bbs.cgi から internal redirect で bbs-speedy.cgi に振る
ってのはできそうですね．ただ，その bbs-speedy.cgi が直接外部から叩かれると
意味ないんで......そこをどうするかですね．

[801 root▲ ★ NG NG]

>>800
public_html の上に実態を置けるようにするとか。
これだと internal redirect はできないかもですが。

[802 root▲ ★ NG NG]

実態 => 実体 ですね。>>801

[803 株価【】 ▲ ◆cZfSunOs.U 2006/03/27(月) 02:36:20 ID:CnZazs6i0]

>>801 そうすると......speedy プロセスを直接呼ぶとかいう感じですか．
ただ，worker MPM だと fork() とかやるといろいろ問題ありそうですし，
どうやるのがいいのか，う〜む......

[804 株価【】 ▲ ◆cZfSunOs.U 2006/03/27(月) 02:42:43 ID:CnZazs6i0]

例えば

<Files bbs-speedy.cgi>
    Deny from all
    Allow from env=doschecked
</Files>

とかやって，bbs.cgi では doschecked という環境変数を設定する
とかすれば外から直接叩けず internal redirect だけ Ok ってできるかな......

[805 root▲ ★ 2006/03/27(月) 02:45:15 ID:???0]

>>804
なるほど。悪くないかも。

[806 root▲ ★ 2006/03/27(月) 02:47:02 ID:???0]

…ちと本日は、限界来ました。
PCたたんで寝床に移動するです。すんません。

[807 株価【】 ▲ ◆cZfSunOs.U 2006/03/27(月) 02:48:48 ID:CnZazs6i0]

>>806 乙です．お休みなさい．

[808 動け動けウゴウゴ２ちゃんねる 2006/03/27(月) 02:54:27 ID:emc1bJcY0]

>>806
乙！！。

＞PCたたんで寝床に移動するです。すんません。
ノートでしょうか？ｗ

[809 ピロリ 2006/03/27(月) 04:27:05 ID:ElBjrGPT0]

布団たたんでPCに移動するです。

[810 動け動けウゴウゴ２ちゃんねる 2006/03/27(月) 05:34:43 ID:o6g8ZGMFO]

ファイヤーウォール

コネクション数規制

ファイヤーウォール鯖咬ます

[811 動け動けウゴウゴ２ちゃんねる 2006/03/27(月) 06:18:39 ID:PvjnwT0j0]

スパムのフィルタリングに使われてるベイズフィルタとか使えない…か。
会話してるスレしか機能しなくなりそうだもんなぁ。

[812 ◆TWARamEjuA NG NG]

bbs.cgiをBBQだけチェックするCプログラムにして、
通れば本体(documentrootの外に設置)を起動しちゃうとかとか。

自鯖のsmtpdは、spamを送りつけてきた発信元IPアドレスを拾ってtcprulesさせているんだけれどもども。。。
tcpserverが載っけられるといいのになぁ。。。
httpd -i は、Apache 1.*のみでしたっけ。

[813 ｒｅｆｆｉ@報告人 ★ 2006/03/27(月) 09:02:52 ID:???0]

確かに１００件オーバーだと通報では対応できる話ではありませんねぇ・・・・
（出来ないこともないですが連日続いたらさすがに持ちません）
暫定対策としてどうすればいいか考えてみたんですけどこんなのはどうでしょうか？
これで時間は稼げるとは思うんですが


・tmp6だけサーチエンジンから隠す
・その上でtmp6をtmp7に変更

[814 動け動けウゴウゴ２ちゃんねる 2006/03/27(月) 10:12:55 ID:pOdgYdGQO]

6を7に書き替える手間
くらいの時間はかせげそうですね（棒読み

[815 ｒｅｆｆｉ@報告人 ★ 2006/03/27(月) 10:25:28 ID:???0]

>814
今回のウィルスはサーチエンジンを使っているので十分防御効果は期待出来ると
思います。
（サーチエンジン使っても見えなければ爆撃できない）

[816 水色＠飛行石 ★ 2006/03/27(月) 10:34:47 ID:???0]

>>813
プロバイダ毎にまとめられないですかねー。
多分、20プロバイダもないと思うんですー。
2〜3日に1回でもいいと思いますしー。

そーゆー情報の整理してくれるボランティアさんも要りますかねー。

＞・その上でtmp6をtmp7に変更

前にbbsmenuを変更した途端に爆撃再開したって事がありましたー。
人が目で見て追えるものは、いくらでも自動化可能かとー。

あと、ウイルス探索して通報してくれるボランティアさんとか、
すでにやってくれてますけど、改めているのかなー。

高速型は上で対応考えてくれてるよーですけど、
足の遅い亜種もいろいろ出回ってますしねー。

[817 ｒｅｆｆｉ@報告人 ★ 2006/03/27(月) 10:38:38 ID:???0]

>816
う〜む、どうしたものか
とりあえず作業可能かどうか見てみたいので１時間程度のサンプリングログを
抽出してもらえないでしょうか？　＞rootさん

[818 動け動けウゴウゴ２ちゃんねる 2006/03/27(月) 10:44:30 ID:pOdgYdGQO]

十分間くらいの防御効果は期待出来るかもしれないですね（棒読み

[819 動け動けウゴウゴ２ちゃんねる 2006/03/27(月) 10:47:37 ID:2DFnWcxl0]

何処を縦読み？

[820 動け動けウゴウゴ２ちゃんねる 2006/03/27(月) 10:53:43 ID:tJbqryxt0]

荒らし対策の投稿コードすら潜り抜ける荒らしスクリプトがあるぐらいだしなぁ
加害者になったウイルス被害者に法適用した前例ってあったっけ

[821 動け動けウゴウゴ２ちゃんねる 2006/03/27(月) 11:27:18 ID:o6g8ZGMFO]

目に見えない工夫か。

書き込みのシステムで書き込み画面を別ウインドウにして・・・・いやなんでもないです

[822 動け動けウゴウゴ２ちゃんねる 2006/03/27(月) 12:36:50 ID:nV5Sj1NN0]

本サーバーに防御の処理をさせるのは痛いので、やはり前に振り分け専用機が欲しい感じですね

[823 stream ◆PNstream2s NG NG]

読み込みバーボンの改造でいける気がするけどなあ。

んでhtaccessじゃなくてmod_authz_iplistを使えば完璧。

[824 外野ｧｧﾝ 2006/03/27(月) 17:21:33 ID:/XC2wMgb0]

とりあえず「フェータルバーボン」っていう小難しい名称には反対しておく

[825 動け動けウゴウゴ２ちゃんねる 2006/03/27(月) 17:37:49 ID:2epuFuQP0]

んだんだ
テキーラとかスコッチとかがいい

[826 ◆garnetGnNk 2006/03/27(月) 18:28:45 ID:OmqMAvep0]

＞800
mod_cgidsoで呼ぶプログラムでreturn DECLINED;すると後ろにあるモジュールで残りを処理
なんてのは出来ないんですかねぇ？
そんなことするならフィルターにした方が早いかなぁ。

[827 株価【】 ▲ ◆cZfSunOs.U 2006/03/28(火) 00:23:50 ID:eR5teIn80]

モジュール追加できるんなら mod_netnice あたりが DoS には有効だろうと思います．
ただ >>797 を読むと，できるだけモジュール追加などせずに対処したいということなのかなぁと．


>>826 r->handler や r->filename などを変えて DECLINED するって感じですか．
mod_cgi(|d) が mod_cgidso より後ろに入ってくれないといけないのでその点注意が必要ですが．

[828 root▲ ★ 2006/03/28(火) 00:29:24 ID:???0]

>>827
んと、モジュールを追加しないでというか、
メンテナンスコスト低く、かつ有効な手段がいいかなと。

バーボン小改造 + mod_authz_iplist をまず試してみる感じかなと思っているです。

[829 root▲ ★ 2006/03/28(火) 00:30:46 ID:???0]

>>817
寝る前に、本件、別途メールします。

[830 株価【】 ▲ ◆cZfSunOs.U 2006/03/28(火) 00:34:36 ID:eR5teIn80]

>>828 なるほど，そういうことですたか．