2ch特化型サーバ・ロケーション構築作戦のスレッドです。
・2ちゃんねるのサーバロケーション、PIEに関する関連作業・調整事項
・DNS登録・変更まわりの関連作業・調整事項
・2ちゃんねるのサーバで採用しているOS、FreeBSDに関する情報・調整事項
・各種作戦・プロジェクトとの連携、プロジェクト間の連携
等を取り扱います。
現在、複数サーバによる連携により、
サーバ能力のさらなるスケールアップをめざすための「雪だるま作戦」が進行中です。
また、次世代の携帯アクセス環境をめざした「べっかんこ作戦」も稼動しはじめました。
「2ちゃんねる証券取引所」や、「Be」の機能強化等、
2ちゃんねるは今日も変化し続けています。
前スレ:
2ch特化型サーバ・ロケーション構築作戦 Part19
http://qb5.2ch.net/test/read.cgi/operate/1121886018/
2ch特化型サーバ・ロケーション構築作戦 Part20
■ このスレッドは過去ログ倉庫に格納されています
1root▲ ★
NGNG767● ◆ANGLERlqvM
NGNG Security Advisoryが3件出ますた。
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:11.ipsec.asc
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:12.opie.asc
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:13.sendmail.asc
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:11.ipsec.asc
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:12.opie.asc
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:13.sendmail.asc
2006/03/23(木) 11:15:09ID:xWxnCIui0
769動け動けウゴウゴ2ちゃんねる
2006/03/23(木) 18:07:32ID:ixynDoQk0 保守age
770root▲ ★
NGNG 2chの動作報告はここで。 パート19
http://qb5.2ch.net/test/read.cgi/operate/1140600013/
ということで、特定のIPアドレスからの特定CGIの過激な起動を検知して、
例えば 403 エラーとか特定の URI とかを返すようなよい Apache モジュールって、
何があるのかしら。
http://qb5.2ch.net/test/read.cgi/operate/1140600013/
ということで、特定のIPアドレスからの特定CGIの過激な起動を検知して、
例えば 403 エラーとか特定の URI とかを返すようなよい Apache モジュールって、
何があるのかしら。
771root▲ ★
NGNG …昔一時的に使ったdosなんちゃら(evasiveだっけ)とかかな。
772root▲ ★
NGNG773root▲ ★
NGNG 記憶をたどっていますが、
前にみた時には、<Files bbs.cgi> </Files> とかで囲むことができないから
いまいちだなぁって話を、確かしたですね。
【Project peko】2ch特化型サーバ・ロケーション構築作戦 Part15
http://qb5.2ch.net/operate/kako/1093/10930/1093068260.html
前にみた時には、<Files bbs.cgi> </Files> とかで囲むことができないから
いまいちだなぁって話を、確かしたですね。
【Project peko】2ch特化型サーバ・ロケーション構築作戦 Part15
http://qb5.2ch.net/operate/kako/1093/10930/1093068260.html
774root▲ ★
NGNG2006/03/25(土) 10:57:09ID:hGMEs7kM0
今更ですが、>>655 >>659 について調べたので、一応報告しておきます。
結論から言いますと、apacheのソースを見る限り、workerにてkillでプロセスが終了しないのは正しい動きです。
workerの場合、1プロセスにつき、
main thread x 1
listener thread x 1
worker thread x ThreadsPerChild
というように、ThreadsPerChild + 2個のスレッドが立ち上がるのですが、
killコマンドでプロセスにSIGTERMを送信した場合、そのシグナルは main thread で受け取ります。
main thread は、親プロセスからのプロセス終了指令が来るまでひたすら待機しており、
SIGTERMを受信した時は、一時的に待機を中断するんですが、すぐまた元の待機状態に戻ります。
シグナルハンドラは、デフォルトのものから何もしない関数に変更されているので、終了はしません。
結論から言いますと、apacheのソースを見る限り、workerにてkillでプロセスが終了しないのは正しい動きです。
workerの場合、1プロセスにつき、
main thread x 1
listener thread x 1
worker thread x ThreadsPerChild
というように、ThreadsPerChild + 2個のスレッドが立ち上がるのですが、
killコマンドでプロセスにSIGTERMを送信した場合、そのシグナルは main thread で受け取ります。
main thread は、親プロセスからのプロセス終了指令が来るまでひたすら待機しており、
SIGTERMを受信した時は、一時的に待機を中断するんですが、すぐまた元の待機状態に戻ります。
シグナルハンドラは、デフォルトのものから何もしない関数に変更されているので、終了はしません。
776root▲ ★
NGNG 2006/03/25 18:00:01 LA= 6:00PM up 6 days, 4:31, 0 users, load averages: 209.71, 406.11, 460.26
LAがすごいことになってたのね。
>>775
なるほど、おつです。
LAがすごいことになってたのね。
>>775
なるほど、おつです。
777root▲ ★
NGNG logbuffer を通さない形でのログとりを復活させよう。
これだと、何が起きたのかもわからないし、
仮に外から DoS られたりしても、何もわからない。
これだと、何が起きたのかもわからないし、
仮に外から DoS られたりしても、何もわからない。
779root▲ ★
NGNG あと、live22 はもうひとつ問題があって、
%df /home
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/da1s1f 29633058 11180958 16081456 41% /home
既に HDD を4割以上、使っています。
どんどん書き込まれるから、ペースが速い。
遠からずいわゆる「リフレッシュ工事」が必要な状態に。
どうするのがいいのかなと。
%df /home
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/da1s1f 29633058 11180958 16081456 41% /home
既に HDD を4割以上、使っています。
どんどん書き込まれるから、ペースが速い。
遠からずいわゆる「リフレッシュ工事」が必要な状態に。
どうするのがいいのかなと。
780root▲ ★
NGNG 今見たら、ex14もなかなかですね。
旧 ex10 の内容は消したのに(一度リフレッシュ工事している)、
もう7割以上か。
%df /home
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/da1s1d 34710178 22568858 9364506 71% /home
旧 ex10 の内容は消したのに(一度リフレッシュ工事している)、
もう7割以上か。
%df /home
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/da1s1d 34710178 22568858 9364506 71% /home
782root▲ ★
NGNG Mar 25 19:41:45 <12.3> tiger511 ntpd[552]: sendto(216.218.192.202): No route to host
Mar 25 19:42:13 <12.3> tiger511 ntpd[552]: sendto(209.51.161.238): No route to host
Mar 25 19:49:42 <12.3> tiger511 ntpd[552]: sendto(216.218.254.202): No route to host
Mar 25 19:58:48 <12.3> tiger511 ntpd[552]: sendto(216.218.192.202): No route to host
Mar 25 19:59:17 <12.3> tiger511 ntpd[552]: sendto(209.51.161.238): No route to host
...
ううむ、ネットワークカード(em)が虫を踏んだっぽい。< BG3
トラフィックが多いプライベート側はこけたら起き上がる仕掛けいれてあるけど、
パブリック側にも必要なのかも。
Mar 25 19:42:13 <12.3> tiger511 ntpd[552]: sendto(209.51.161.238): No route to host
Mar 25 19:49:42 <12.3> tiger511 ntpd[552]: sendto(216.218.254.202): No route to host
Mar 25 19:58:48 <12.3> tiger511 ntpd[552]: sendto(216.218.192.202): No route to host
Mar 25 19:59:17 <12.3> tiger511 ntpd[552]: sendto(209.51.161.238): No route to host
...
ううむ、ネットワークカード(em)が虫を踏んだっぽい。< BG3
トラフィックが多いプライベート側はこけたら起き上がる仕掛けいれてあるけど、
パブリック側にも必要なのかも。
783root▲ ★
NGNG784root▲ ★
NGNG >>782
プライベート側*も*、ダウンしていた模様。 < BG3
仕掛け(ifconfig downしてifconfig upする)が
動きまくった(けど復活しなかった)メールが、たくさんたくさん。
ううむ。
プライベート側*も*、ダウンしていた模様。 < BG3
仕掛け(ifconfig downしてifconfig upする)が
動きまくった(けど復活しなかった)メールが、たくさんたくさん。
ううむ。
785reffi@報告人 ★
2006/03/26(日) 22:44:34ID:???0 >783
沈静化したと思ったんですがまだ広がる気配があるのですか・・・
大量でしたら通報コースにしましょうか?
前回と違ってプロバイダも対応してくれると思います。
沈静化したと思ったんですがまだ広がる気配があるのですか・・・
大量でしたら通報コースにしましょうか?
前回と違ってプロバイダも対応してくれると思います。
786水色@飛行石 ★
2006/03/26(日) 22:46:33ID:???0 >>785
私もそう思いますー。
とゆーか、感染しちゃう人は、別亜種もやっぱり拾って
感染しちゃうんじゃないですかねー。
作る方は、作って流すだけですからねー。
感染パソコンに何も出来ないって状態を打破しないと
駄目なんじゃないかなーと。
私もそう思いますー。
とゆーか、感染しちゃう人は、別亜種もやっぱり拾って
感染しちゃうんじゃないですかねー。
作る方は、作って流すだけですからねー。
感染パソコンに何も出来ないって状態を打破しないと
駄目なんじゃないかなーと。
787reffi@報告人 ★
2006/03/26(日) 22:48:27ID:???0 >785補足
通報対象を過剰にbbs.cgiをつついてる人に絞ればapacheのログ添付すればいい
ので簡単に作業できると思います。
(IPごとにログ抽出しないと行けないんですが)
通報対象を過剰にbbs.cgiをつついてる人に絞ればapacheのログ添付すればいい
ので簡単に作業できると思います。
(IPごとにログ抽出しないと行けないんですが)
788root▲ ★
2006/03/26(日) 23:40:38ID:???0 >>785-787
ふむ。
今回、超高頻度なアクセス*そのもの*が問題になっています。
ようは、DoS攻撃を発生させるウイルスということになりますね。
単に通報案件にした場合、
地道なというか長丁場というか、永久に通報し続けなければならない予感がします。
つまりなんというか、その路線では幸せになれないような。
何とか、根本的な手だてはないものかなと。
ふむ。
今回、超高頻度なアクセス*そのもの*が問題になっています。
ようは、DoS攻撃を発生させるウイルスということになりますね。
単に通報案件にした場合、
地道なというか長丁場というか、永久に通報し続けなければならない予感がします。
つまりなんというか、その路線では幸せになれないような。
何とか、根本的な手だてはないものかなと。
789root▲ ★
NGNG 今ざっとtmp6のアクセスログを見てみましたが、
22:00-23:00 の間のこのウイルスっぽいアクセスがあるIPアドレスは、
121 IPアドレスあった模様。
騒ぎが始まったときは 37 個(だったかな)だから、もう4倍近くに。
で、そのうちいちばんひどい一つからは、1時間で2万回近くのアクセスがあったと。
で、そういうのがそれこそ何十と。
そんなわけでtmp6は、今2ちゃんねるで最もアクセスされているサーバに。
http://sabo2.kakiko.com/pageview/daydata.cgi?date=20060325
22:00-23:00 の間のこのウイルスっぽいアクセスがあるIPアドレスは、
121 IPアドレスあった模様。
騒ぎが始まったときは 37 個(だったかな)だから、もう4倍近くに。
で、そのうちいちばんひどい一つからは、1時間で2万回近くのアクセスがあったと。
で、そういうのがそれこそ何十と。
そんなわけでtmp6は、今2ちゃんねるで最もアクセスされているサーバに。
http://sabo2.kakiko.com/pageview/daydata.cgi?date=20060325
790水色@飛行石 ★
2006/03/27(月) 01:21:53ID:???0 >>788
>単に通報案件にした場合、
>地道なというか長丁場というか、永久に通報し続けなければならない予感がします。
えーと、その地道なものがやりにくいとゆーか、やれる仕組みがないなーと。
多分、鯖側の対応でも、永遠にやることになると思いますよー。
すでにもう半年以上戦ってるわけでー。
今回はDos攻撃みたいだから対応してくれてますがー、亜種はゴロゴロ
あるんですよねー。そちらは対応されてませんよねー。
すでにそれらはイタチごっこしてますー。
地道に焼くしかないんですがー、Rockすら出来ないと焼くことも
出来ないわけですよねー。
少なくとも今回のは、Rock&BBQでは対処不可能ですー。
>単に通報案件にした場合、
>地道なというか長丁場というか、永久に通報し続けなければならない予感がします。
えーと、その地道なものがやりにくいとゆーか、やれる仕組みがないなーと。
多分、鯖側の対応でも、永遠にやることになると思いますよー。
すでにもう半年以上戦ってるわけでー。
今回はDos攻撃みたいだから対応してくれてますがー、亜種はゴロゴロ
あるんですよねー。そちらは対応されてませんよねー。
すでにそれらはイタチごっこしてますー。
地道に焼くしかないんですがー、Rockすら出来ないと焼くことも
出来ないわけですよねー。
少なくとも今回のは、Rock&BBQでは対処不可能ですー。
791root▲ ★
2006/03/27(月) 01:56:11ID:???0 >>790
うーむ、、、。
> 少なくとも今回のは、Rock&BBQでは対処不可能ですー。
ですね。
それはつまり、既存の仕組みではもはや対応できないと。
で、結局、
> えーと、その地道なものがやりにくいとゆーか、やれる仕組みがないなーと。
これなわけで。
つまりだとすると、この「仕組み」は、どうすれば作れるのかなと。
そこにポイントがあるような気がします。
これまで、Boo80/Samba24/BBQ/BBM/Rock54 etc. といった「しくみ」を
作ってきたわけで、新たな何かが必要になった、ということなのかなと。
うーむ、、、。
> 少なくとも今回のは、Rock&BBQでは対処不可能ですー。
ですね。
それはつまり、既存の仕組みではもはや対応できないと。
で、結局、
> えーと、その地道なものがやりにくいとゆーか、やれる仕組みがないなーと。
これなわけで。
つまりだとすると、この「仕組み」は、どうすれば作れるのかなと。
そこにポイントがあるような気がします。
これまで、Boo80/Samba24/BBQ/BBM/Rock54 etc. といった「しくみ」を
作ってきたわけで、新たな何かが必要になった、ということなのかなと。
792root▲ ★
2006/03/27(月) 02:02:43ID:???0 新たな何か、か。
さて、どうするのがいいのか。
例えば、これかもなぁ、とか。
http://sunos.saita.ma/mod_authz_iplist.html
とりあえず明日以降に備えて、今日のところはここまでかなと。
さて、どうするのがいいのか。
例えば、これかもなぁ、とか。
http://sunos.saita.ma/mod_authz_iplist.html
とりあえず明日以降に備えて、今日のところはここまでかなと。
>>792 乙です.mod_authz_iplist は DoS を自動検出する機能はないんで,
例えばバーボンで拒否ホスト数が増えた場合に使うとかなら有効かと.
例えばバーボンで拒否ホスト数が増えた場合に使うとかなら有効かと.
795root▲ ★
NGNG >>793
tmp6 = banana340 は standard banana なので
(= 私はroot権限を持っていない)、
別途、調整等が必要になるですね。
もちろん、そういった調整を不可能だとは思っていませんです。
tmp6 = banana340 は standard banana なので
(= 私はroot権限を持っていない)、
別途、調整等が必要になるですね。
もちろん、そういった調整を不可能だとは思っていませんです。
796root▲ ★
NGNG >>794
そういうことを考えています。
例えばバーボンを2系統にして、
フェータルバーボン(仮名)の場合、mod_authz_iplist に長期間期限で突っ込むとか。
で、フェータルになる要件を決めると。
(例えば、しつこくDoSってくるとか)
これのよさげなところは、従来のバーボンの仕組みを
拡張すれば、いけそうなところですかね。
そういうことを考えています。
例えばバーボンを2系統にして、
フェータルバーボン(仮名)の場合、mod_authz_iplist に長期間期限で突っ込むとか。
で、フェータルになる要件を決めると。
(例えば、しつこくDoSってくるとか)
これのよさげなところは、従来のバーボンの仕組みを
拡張すれば、いけそうなところですかね。
797root▲ ★
NGNG で、ここに至るまでのこころは、
・deny で単にはじく負荷がばかにならない状況になってきた <= 今ここ
・よって、ここを軽くしたい
・カーネルレベルで deny する (例えばFreeBSD なら ipf とか)のは、まだとっておきたい
・root 権限なしサーバでもフレキシブルにdenyできるようにしたい(今の .htaccess っぽい手軽さ)
・うーん、なんとかならないかな
ってなかんじですね。
・deny で単にはじく負荷がばかにならない状況になってきた <= 今ここ
・よって、ここを軽くしたい
・カーネルレベルで deny する (例えばFreeBSD なら ipf とか)のは、まだとっておきたい
・root 権限なしサーバでもフレキシブルにdenyできるようにしたい(今の .htaccess っぽい手軽さ)
・うーん、なんとかならないかな
ってなかんじですね。
>>795-797 なるほど.実のところ,ウィルスではないんですが
sunos.saita.ma/inspired/ でも性質の悪いクローラみたいなのが
度々やってきて猛烈に叩きまくるんで,DoS 自動検出・拒否の機能を
入れてるんですが,これは inspired が mod_cgidso 使ってるんで
直接その機能を埋め込んでもモジュールレベルで弾くのとほぼ同等の
軽さにできるんですよね.ただ bbs.cgi だとそういうわけにも
行かないでしょうし,さて......
sunos.saita.ma/inspired/ でも性質の悪いクローラみたいなのが
度々やってきて猛烈に叩きまくるんで,DoS 自動検出・拒否の機能を
入れてるんですが,これは inspired が mod_cgidso 使ってるんで
直接その機能を埋め込んでもモジュールレベルで弾くのとほぼ同等の
軽さにできるんですよね.ただ bbs.cgi だとそういうわけにも
行かないでしょうし,さて......
799root▲ ★
NGNG >>798
bbs.cgi に mod_cgidso な「皮」をかぶせるとかすれば、できなくないのかしら。
DoS自動検出・拒否機能を持ったmod_cgidsoなbbs.cgiを準備し、
ユーザはそれを叩くようにして、そこでDoS検知・拒否だけして、
DoSじゃない場合にのみ、bbs-speedy.cgi(仮名)を普通にCGIとして実行するとか。
bbs.cgi に mod_cgidso な「皮」をかぶせるとかすれば、できなくないのかしら。
DoS自動検出・拒否機能を持ったmod_cgidsoなbbs.cgiを準備し、
ユーザはそれを叩くようにして、そこでDoS検知・拒否だけして、
DoSじゃない場合にのみ、bbs-speedy.cgi(仮名)を普通にCGIとして実行するとか。
>>798 DSO 版 bbs.cgi から internal redirect で bbs-speedy.cgi に振る
ってのはできそうですね.ただ,その bbs-speedy.cgi が直接外部から叩かれると
意味ないんで......そこをどうするかですね.
ってのはできそうですね.ただ,その bbs-speedy.cgi が直接外部から叩かれると
意味ないんで......そこをどうするかですね.
>>801 そうすると......speedy プロセスを直接呼ぶとかいう感じですか.
ただ,worker MPM だと fork() とかやるといろいろ問題ありそうですし,
どうやるのがいいのか,う〜む......
ただ,worker MPM だと fork() とかやるといろいろ問題ありそうですし,
どうやるのがいいのか,う〜む......
例えば
<Files bbs-speedy.cgi>
Deny from all
Allow from env=doschecked
</Files>
とかやって,bbs.cgi では doschecked という環境変数を設定する
とかすれば外から直接叩けず internal redirect だけ Ok ってできるかな......
<Files bbs-speedy.cgi>
Deny from all
Allow from env=doschecked
</Files>
とかやって,bbs.cgi では doschecked という環境変数を設定する
とかすれば外から直接叩けず internal redirect だけ Ok ってできるかな......
806root▲ ★
2006/03/27(月) 02:47:02ID:???0 …ちと本日は、限界来ました。
PCたたんで寝床に移動するです。すんません。
PCたたんで寝床に移動するです。すんません。
>>806 乙です.お休みなさい.
2006/03/27(月) 02:54:27ID:emc1bJcY0
809ピロリ
2006/03/27(月) 04:27:05ID:ElBjrGPT0 布団たたんでPCに移動するです。
2006/03/27(月) 05:34:43ID:o6g8ZGMFO
ファイヤーウォール
コネクション数規制
ファイヤーウォール鯖咬ます
コネクション数規制
ファイヤーウォール鯖咬ます
2006/03/27(月) 06:18:39ID:PvjnwT0j0
スパムのフィルタリングに使われてるベイズフィルタとか使えない…か。
会話してるスレしか機能しなくなりそうだもんなぁ。
会話してるスレしか機能しなくなりそうだもんなぁ。
bbs.cgiをBBQだけチェックするCプログラムにして、
通れば本体(documentrootの外に設置)を起動しちゃうとかとか。
自鯖のsmtpdは、spamを送りつけてきた発信元IPアドレスを拾ってtcprulesさせているんだけれどもども。。。
tcpserverが載っけられるといいのになぁ。。。
httpd -i は、Apache 1.*のみでしたっけ。
通れば本体(documentrootの外に設置)を起動しちゃうとかとか。
自鯖のsmtpdは、spamを送りつけてきた発信元IPアドレスを拾ってtcprulesさせているんだけれどもども。。。
tcpserverが載っけられるといいのになぁ。。。
httpd -i は、Apache 1.*のみでしたっけ。
813reffi@報告人 ★
2006/03/27(月) 09:02:52ID:???0 確かに100件オーバーだと通報では対応できる話ではありませんねぇ・・・・
(出来ないこともないですが連日続いたらさすがに持ちません)
暫定対策としてどうすればいいか考えてみたんですけどこんなのはどうでしょうか?
これで時間は稼げるとは思うんですが
・tmp6だけサーチエンジンから隠す
・その上でtmp6をtmp7に変更
(出来ないこともないですが連日続いたらさすがに持ちません)
暫定対策としてどうすればいいか考えてみたんですけどこんなのはどうでしょうか?
これで時間は稼げるとは思うんですが
・tmp6だけサーチエンジンから隠す
・その上でtmp6をtmp7に変更
2006/03/27(月) 10:12:55ID:pOdgYdGQO
6を7に書き替える手間
くらいの時間はかせげそうですね(棒読み
くらいの時間はかせげそうですね(棒読み
815reffi@報告人 ★
2006/03/27(月) 10:25:28ID:???0 >814
今回のウィルスはサーチエンジンを使っているので十分防御効果は期待出来ると
思います。
(サーチエンジン使っても見えなければ爆撃できない)
今回のウィルスはサーチエンジンを使っているので十分防御効果は期待出来ると
思います。
(サーチエンジン使っても見えなければ爆撃できない)
816水色@飛行石 ★
2006/03/27(月) 10:34:47ID:???0 >>813
プロバイダ毎にまとめられないですかねー。
多分、20プロバイダもないと思うんですー。
2〜3日に1回でもいいと思いますしー。
そーゆー情報の整理してくれるボランティアさんも要りますかねー。
>・その上でtmp6をtmp7に変更
前にbbsmenuを変更した途端に爆撃再開したって事がありましたー。
人が目で見て追えるものは、いくらでも自動化可能かとー。
あと、ウイルス探索して通報してくれるボランティアさんとか、
すでにやってくれてますけど、改めているのかなー。
高速型は上で対応考えてくれてるよーですけど、
足の遅い亜種もいろいろ出回ってますしねー。
プロバイダ毎にまとめられないですかねー。
多分、20プロバイダもないと思うんですー。
2〜3日に1回でもいいと思いますしー。
そーゆー情報の整理してくれるボランティアさんも要りますかねー。
>・その上でtmp6をtmp7に変更
前にbbsmenuを変更した途端に爆撃再開したって事がありましたー。
人が目で見て追えるものは、いくらでも自動化可能かとー。
あと、ウイルス探索して通報してくれるボランティアさんとか、
すでにやってくれてますけど、改めているのかなー。
高速型は上で対応考えてくれてるよーですけど、
足の遅い亜種もいろいろ出回ってますしねー。
817reffi@報告人 ★
2006/03/27(月) 10:38:38ID:???0 >816
う〜む、どうしたものか
とりあえず作業可能かどうか見てみたいので1時間程度のサンプリングログを
抽出してもらえないでしょうか? >rootさん
う〜む、どうしたものか
とりあえず作業可能かどうか見てみたいので1時間程度のサンプリングログを
抽出してもらえないでしょうか? >rootさん
2006/03/27(月) 10:44:30ID:pOdgYdGQO
十分間くらいの防御効果は期待出来るかもしれないですね(棒読み
2006/03/27(月) 10:47:37ID:2DFnWcxl0
何処を縦読み?
2006/03/27(月) 10:53:43ID:tJbqryxt0
荒らし対策の投稿コードすら潜り抜ける荒らしスクリプトがあるぐらいだしなぁ
加害者になったウイルス被害者に法適用した前例ってあったっけ
加害者になったウイルス被害者に法適用した前例ってあったっけ
2006/03/27(月) 11:27:18ID:o6g8ZGMFO
目に見えない工夫か。
書き込みのシステムで書き込み画面を別ウインドウにして・・・・いやなんでもないです
書き込みのシステムで書き込み画面を別ウインドウにして・・・・いやなんでもないです
2006/03/27(月) 12:36:50ID:nV5Sj1NN0
本サーバーに防御の処理をさせるのは痛いので、やはり前に振り分け専用機が欲しい感じですね
823stream ◆PNstream2s
NGNG 読み込みバーボンの改造でいける気がするけどなあ。
んでhtaccessじゃなくてmod_authz_iplistを使えば完璧。
んでhtaccessじゃなくてmod_authz_iplistを使えば完璧。
824外野ァァン
2006/03/27(月) 17:21:33ID:/XC2wMgb0 とりあえず「フェータルバーボン」っていう小難しい名称には反対しておく
2006/03/27(月) 17:37:49ID:2epuFuQP0
んだんだ
テキーラとかスコッチとかがいい
テキーラとかスコッチとかがいい
>800
mod_cgidsoで呼ぶプログラムでreturn DECLINED;すると後ろにあるモジュールで残りを処理
なんてのは出来ないんですかねぇ?
そんなことするならフィルターにした方が早いかなぁ。
mod_cgidsoで呼ぶプログラムでreturn DECLINED;すると後ろにあるモジュールで残りを処理
なんてのは出来ないんですかねぇ?
そんなことするならフィルターにした方が早いかなぁ。
828root▲ ★
2006/03/28(火) 00:29:24ID:???0 >>827
んと、モジュールを追加しないでというか、
メンテナンスコスト低く、かつ有効な手段がいいかなと。
バーボン小改造 + mod_authz_iplist をまず試してみる感じかなと思っているです。
んと、モジュールを追加しないでというか、
メンテナンスコスト低く、かつ有効な手段がいいかなと。
バーボン小改造 + mod_authz_iplist をまず試してみる感じかなと思っているです。
>>828 なるほど,そういうことですたか.
832root▲ ★
NGNG c.2ch不具合報告総合スレ5
http://qb5.2ch.net/test/read.cgi/operate/1138289353/734-737
734 名前:動け動けウゴウゴ2ちゃんねる[sage] 投稿日:2006/03/28(火) 01:41:15 ID:SNDroSCmO
負荷監視所見てきたけど携帯鯖はいつもと同じ
だがメモリーズの8.45が気になるね。
収容板はなんでしたっけ?
735 名前:root▲ ★[sage] 投稿日:2006/03/28(火) 01:45:42 ID:???0
>>734
これも、見ないとなぁ。
たぶん、read.cgi の暴走。
736 名前:root▲ ★[sage] 投稿日:2006/03/28(火) 01:47:56 ID:???0
で、暴走プロセスを見ようと思っても、
%gcore 60655
gcore: read from /proc/60655/mem: Bad address
gcore が FreeBSD/amd64 では正しく動かないというのが、なんとも。
737 名前:root▲ ★[sage] 投稿日:2006/03/28(火) 01:52:32 ID:???0
apache2limits_enable="YES"
apache2limits_args="-e -t 1800"
を入れてみた。< memories
というか、スレ違いか。
あっちに貼っておこう。
http://qb5.2ch.net/test/read.cgi/operate/1138289353/734-737
734 名前:動け動けウゴウゴ2ちゃんねる[sage] 投稿日:2006/03/28(火) 01:41:15 ID:SNDroSCmO
負荷監視所見てきたけど携帯鯖はいつもと同じ
だがメモリーズの8.45が気になるね。
収容板はなんでしたっけ?
735 名前:root▲ ★[sage] 投稿日:2006/03/28(火) 01:45:42 ID:???0
>>734
これも、見ないとなぁ。
たぶん、read.cgi の暴走。
736 名前:root▲ ★[sage] 投稿日:2006/03/28(火) 01:47:56 ID:???0
で、暴走プロセスを見ようと思っても、
%gcore 60655
gcore: read from /proc/60655/mem: Bad address
gcore が FreeBSD/amd64 では正しく動かないというのが、なんとも。
737 名前:root▲ ★[sage] 投稿日:2006/03/28(火) 01:52:32 ID:???0
apache2limits_enable="YES"
apache2limits_args="-e -t 1800"
を入れてみた。< memories
というか、スレ違いか。
あっちに貼っておこう。
>>832 以前,主にメモリ節約の観点から「64-bit カーネル + 32-bit バイナリ」
のような話も出てましたが,gcore の問題もそれで解決したりとか......?
あと,mod_authz_iplist 使うとしたら,今のうちから root 権限なし鯖での
組み込みの手配をしておけば,後でスムーズに事が運ぶとか......?
のような話も出てましたが,gcore の問題もそれで解決したりとか......?
あと,mod_authz_iplist 使うとしたら,今のうちから root 権限なし鯖での
組み込みの手配をしておけば,後でスムーズに事が運ぶとか......?
834root▲ ★
NGNG >>833
> あと,mod_authz_iplist 使うとしたら,今のうちから root 権限なし鯖での
> 組み込みの手配をしておけば,後でスムーズに事が運ぶとか......?
たしかに。
まず、どっかのroot権限ありサーバで試してみます。
> あと,mod_authz_iplist 使うとしたら,今のうちから root 権限なし鯖での
> 組み込みの手配をしておけば,後でスムーズに事が運ぶとか......?
たしかに。
まず、どっかのroot権限ありサーバで試してみます。
>827
ap_hook_handler()の第4引数をAPR_HOOK_FIRSTにするとどうなんだろうとか。
mod_cgiではAPR_HOOK_MIDDLEになっているので、先に呼ばれるはず。
前にmod_cgidsoでDECLINEDできないので、ぷち改造したときにやったことがあるです。
ap_hook_handler()の第4引数をAPR_HOOK_FIRSTにするとどうなんだろうとか。
mod_cgiではAPR_HOOK_MIDDLEになっているので、先に呼ばれるはず。
前にmod_cgidsoでDECLINEDできないので、ぷち改造したときにやったことがあるです。
>>835 順序指定するとなるとそんな感じでしょうね.
837root▲ ★
NGNG 210.135.99/0/24 の逆引きの件:
p2.2ch.net不具合報告スレ Part10
http://qb5.2ch.net/test/read.cgi/operate/1141521195/368
管理人とブラジルの中の人にメールで状況を報告しました。
で、ブラジルの中の人に 210.135.99.7 を epg.2ch.net に設定してもらいました。
これで本件は作業完了ということで。
p2.2ch.net不具合報告スレ Part10
http://qb5.2ch.net/test/read.cgi/operate/1141521195/368
管理人とブラジルの中の人にメールで状況を報告しました。
で、ブラジルの中の人に 210.135.99.7 を epg.2ch.net に設定してもらいました。
これで本件は作業完了ということで。
838root▲ ★
NGNG 「国内のDNSサーバーが攻撃の踏み台に,管理者は対策を」,JPCERT/CC
http://itpro.nikkeibp.co.jp/article/NEWS/20060329/233749/
ようは「どこからでも再帰検索を受け付け可能なDNSキャッシュサーバは、
DoS攻撃の踏み台として悪用されるおそれがあるから、
各DNSキャッシュサーバの管理者は、ちゃんとアクセスコントロールの
設定をしなさい」、という注意喚起。
2ちゃんねるでは、BIG-serverのサーバ・root権限ありサーバともに
すべてdjbdns(dnscache)で、dnscache はデフォルトでは外部からの
再帰検索を一切受け付けない設定なので、踏み台になるリスクは
かなり小さいですが、そんなわけで改めてここでも注意喚起をば。
ちなみに BIND だとデフォルト設定では「どこからでも再帰検索可能」で、
まさにこれに該当するので、注意が必要。
http://itpro.nikkeibp.co.jp/article/NEWS/20060329/233749/
ようは「どこからでも再帰検索を受け付け可能なDNSキャッシュサーバは、
DoS攻撃の踏み台として悪用されるおそれがあるから、
各DNSキャッシュサーバの管理者は、ちゃんとアクセスコントロールの
設定をしなさい」、という注意喚起。
2ちゃんねるでは、BIG-serverのサーバ・root権限ありサーバともに
すべてdjbdns(dnscache)で、dnscache はデフォルトでは外部からの
再帰検索を一切受け付けない設定なので、踏み台になるリスクは
かなり小さいですが、そんなわけで改めてここでも注意喚起をば。
ちなみに BIND だとデフォルト設定では「どこからでも再帰検索可能」で、
まさにこれに該当するので、注意が必要。
2006/03/29(水) 23:41:38ID:KVofpdq/O
俺はLANのなかしか返さないし全部鯖やってるけど馬鹿はハニーポットで報復攻撃
2006/03/30(木) 22:54:19ID:m0ILMzLf0
841root▲ ★
NGNG >>840
うわあ、、、。
http://lists.freebsd.org/pipermail/freebsd-current/2006-March/062078.html
> I can only say that as a FreeBSD user and small scale contributor I very very
> very much appreciate all the work you've done. I hope you reconsider. FreeBSD
> needs people like you (well, they also need people like me but not as hard).
「very3つ」の表現を初めて見た。
でも、はげしくどうい。
http://lists.freebsd.org/pipermail/freebsd-current/2006-March/062102.html
> see above, I am in a bad mood, I don't know when I will return, wish you can
> work better without me, I beg pardon if some mistakes I made and some
> words I said here brought inconvince to you and all other people.
うーん、、、。
うわあ、、、。
http://lists.freebsd.org/pipermail/freebsd-current/2006-March/062078.html
> I can only say that as a FreeBSD user and small scale contributor I very very
> very much appreciate all the work you've done. I hope you reconsider. FreeBSD
> needs people like you (well, they also need people like me but not as hard).
「very3つ」の表現を初めて見た。
でも、はげしくどうい。
http://lists.freebsd.org/pipermail/freebsd-current/2006-March/062102.html
> see above, I am in a bad mood, I don't know when I will return, wish you can
> work better without me, I beg pardon if some mistakes I made and some
> words I said here brought inconvince to you and all other people.
うーん、、、。
2006/03/31(金) 00:56:40ID:FlFaTq9L0
自己顕示欲の激しい人だね
2006/03/31(金) 06:15:44ID:v0uPgQvK0
アジア人的な礼儀やメンツを重視する価値観?
844root▲ ★
NGNG 質問・雑談スレ219@運用情報板
http://qb5.2ch.net/test/read.cgi/operate/1143292533/613
in /usr/src/lib/libc/stdtime/localtime.c:
#define _MUTEX_LOCK(x) if (__isthreaded) _pthread_mutex_lock(x)
#define _MUTEX_UNLOCK(x) if (__isthreaded) _pthread_mutex_unlock(x)
time_t
mktime(tmp)
struct tm * const tmp;
{
time_t mktime_return_value;
_MUTEX_LOCK(&lcl_mutex);
tzset_basic();
mktime_return_value = time1(tmp, localsub, 0L);
_MUTEX_UNLOCK(&lcl_mutex);
return(mktime_return_value);
}
そうか、マルチスレッドセーフにする時って、
きちんとそういうこと(mutex lock/unlock)をしないといけないのね。
…いや、単にそうなんだなぁと思っただけで。
http://qb5.2ch.net/test/read.cgi/operate/1143292533/613
in /usr/src/lib/libc/stdtime/localtime.c:
#define _MUTEX_LOCK(x) if (__isthreaded) _pthread_mutex_lock(x)
#define _MUTEX_UNLOCK(x) if (__isthreaded) _pthread_mutex_unlock(x)
time_t
mktime(tmp)
struct tm * const tmp;
{
time_t mktime_return_value;
_MUTEX_LOCK(&lcl_mutex);
tzset_basic();
mktime_return_value = time1(tmp, localsub, 0L);
_MUTEX_UNLOCK(&lcl_mutex);
return(mktime_return_value);
}
そうか、マルチスレッドセーフにする時って、
きちんとそういうこと(mutex lock/unlock)をしないといけないのね。
…いや、単にそうなんだなぁと思っただけで。
2006/03/32(土) 06:41:23ID:2Y+gFs7v0
まあ、tzset_basic()はタイムゾーンを設定するために、
staticな配列にstrcpy()したりしますしね。
あと、tzset_basic()とtime1()の呼び出しの間に他のスレッドがtzset_basic()を呼び出して、
別のタイムゾーンを設定すると、mktime()の結果が変なものになっちゃいますので。
staticな配列にstrcpy()したりしますしね。
あと、tzset_basic()とtime1()の呼び出しの間に他のスレッドがtzset_basic()を呼び出して、
別のタイムゾーンを設定すると、mktime()の結果が変なものになっちゃいますので。
mktime() が本来のレンジ外の値も適切に処理してくれるおかげで
日付や時刻の加減算が容易に行えるんですよね.例えば
「何日後の日付」「何日前の日付」ってのを自力で計算するとなると
月や年への繰り上がり・繰り下がりなんかも考慮しなければならず
煩雑な処理になりますが,mktime() を使えば日の部分だけ
加減算して渡せばあとはよきに取り計らってくれますから.
日付や時刻の加減算が容易に行えるんですよね.例えば
「何日後の日付」「何日前の日付」ってのを自力で計算するとなると
月や年への繰り上がり・繰り下がりなんかも考慮しなければならず
煩雑な処理になりますが,mktime() を使えば日の部分だけ
加減算して渡せばあとはよきに取り計らってくれますから.
847root▲ ★
NGNG >>846
確かに、そうですね。
こんな発言もあったり。
質問・雑談スレ219@運用情報板
http://qb5.2ch.net/test/read.cgi/operate/1143292533/618
確かに、そうですね。
こんな発言もあったり。
質問・雑談スレ219@運用情報板
http://qb5.2ch.net/test/read.cgi/operate/1143292533/618
848root▲ ★
NGNG 2ちゃんねる画像掲示板(g2)はじめますた2
http://qb5.2ch.net/test/read.cgi/operate/1141282634/149-158
2テラバイトHDD搭載 NASU-Bananaサーバー
http://www.maido3.com/server/nasu-banana/
http://www.maido3.com/server/nasu-banana/spec.html
ふむふむ。
http://qb5.2ch.net/test/read.cgi/operate/1141282634/149-158
2テラバイトHDD搭載 NASU-Bananaサーバー
http://www.maido3.com/server/nasu-banana/
http://www.maido3.com/server/nasu-banana/spec.html
ふむふむ。
2006/04/03(月) 11:53:46ID:OuzWmeR/0
2006/04/03(月) 11:56:03ID:OuzWmeR/0
>>849
物は示されていたんですね、スマソ
2ちゃんねる画像掲示板(g2)はじめますた2
http://qb5.2ch.net/test/read.cgi/operate/1141282634/153-
153 名前: ◆MUMUMUhnYI [sage] 投稿日:2006/03/31(金) 01:28:25 ID:s7r8W/F60 ?#
これかしら。
Polywell NetDisk 1004SA
http://shop.polywell.com/poly/product_info.php?products_id=290
. Hardware RAID 0, 1, and 5
. 4 Hot-plug 250GB SATA disks
154 名前:マァヴ ◆jxAYUMI09s [] 投稿日:2006/03/31(金) 04:23:32 ID:NxiKCHBK0 ?#
>153
ぴんぽーん(^_^;)正解です!
さすが。
155 名前: ◆MUMUMUhnYI [sage] 投稿日:2006/03/31(金) 04:33:22 ID:s7r8W/F60 ?#
>>154
うふふ。当たった。
物は示されていたんですね、スマソ
2ちゃんねる画像掲示板(g2)はじめますた2
http://qb5.2ch.net/test/read.cgi/operate/1141282634/153-
153 名前: ◆MUMUMUhnYI [sage] 投稿日:2006/03/31(金) 01:28:25 ID:s7r8W/F60 ?#
これかしら。
Polywell NetDisk 1004SA
http://shop.polywell.com/poly/product_info.php?products_id=290
. Hardware RAID 0, 1, and 5
. 4 Hot-plug 250GB SATA disks
154 名前:マァヴ ◆jxAYUMI09s [] 投稿日:2006/03/31(金) 04:23:32 ID:NxiKCHBK0 ?#
>153
ぴんぽーん(^_^;)正解です!
さすが。
155 名前: ◆MUMUMUhnYI [sage] 投稿日:2006/03/31(金) 04:33:22 ID:s7r8W/F60 ?#
>>154
うふふ。当たった。
851ひろゆき@どうやら管理人 ★
NGNG movie.2ch.netのCNAMEを2ch.n1e.jpに設定して欲しいですー。
852ピロリ
2006/04/03(月) 16:27:34ID:1VGziyJJ0 はいはいー
と、安請け合いしてみる。
と、安請け合いしてみる。
2006/04/03(月) 16:33:27ID:yt9LMv6y0
なんだファイルマンファクトリーって
2006/04/03(月) 17:08:58ID:MWOoi2W/0
今度は何を天
2006/04/03(月) 17:12:34ID:MWOoi2W/0
今度は何を…ってファイルマンかい
2006/04/03(月) 17:14:45ID:ibSyIr+20
今度は何を…
2006/04/03(月) 17:23:34ID:MWOoi2W/0
ヽ( `Д´)ノ ウワーン
858ピロリ
2006/04/03(月) 18:03:06ID:1VGziyJJ02006/04/03(月) 19:36:23ID:Su1IwLtB0
861通りすがりのシステム屋
2006/04/04(火) 09:46:06ID:Pgzd6bMb0 >>797
遅レスですが、本気でやるならアクティブファイヤウォールでは無いでしょうか?
正式にはNetwork IDS+Firewallの組み合わせで動的に防御します。
用件次第ではありますが、サービス鯖が正常な動作をしている間に遮断できれば良いのであれば
Network IDSとか持ち出さなくても、10min毎にAccessLogチェックしてn回以上投げて来るIPをFWで
遮断するのはいかがでしょうか?(1weekとか1month等の一定期間で解除)
もう少し許容できるなら、検知周期を30min毎や1h毎で。
一瞬でサービス鯖が落とされるような環境では使用できませんが・・・。
いずれにしてもFW鯖を建てた方がよろしいかと思います。
レイヤが上がれば上がるほど防御能力が落ちてしまいますし、遮断役が過負荷で倒れると悲しいので。
切り札は、サービス鯖IPFW2/ipfという事で。
もし、FWに廻せるマシンが余っていれば・・・ですが。
遅レスですが、本気でやるならアクティブファイヤウォールでは無いでしょうか?
正式にはNetwork IDS+Firewallの組み合わせで動的に防御します。
用件次第ではありますが、サービス鯖が正常な動作をしている間に遮断できれば良いのであれば
Network IDSとか持ち出さなくても、10min毎にAccessLogチェックしてn回以上投げて来るIPをFWで
遮断するのはいかがでしょうか?(1weekとか1month等の一定期間で解除)
もう少し許容できるなら、検知周期を30min毎や1h毎で。
一瞬でサービス鯖が落とされるような環境では使用できませんが・・・。
いずれにしてもFW鯖を建てた方がよろしいかと思います。
レイヤが上がれば上がるほど防御能力が落ちてしまいますし、遮断役が過負荷で倒れると悲しいので。
切り札は、サービス鯖IPFW2/ipfという事で。
もし、FWに廻せるマシンが余っていれば・・・ですが。
2006/04/04(火) 13:10:29ID:01MUU3Y10
>>861
それ以前に現状の2chのシステム構成上、その方法が取れるのはlive22系だけかも
それ以前に現状の2chのシステム構成上、その方法が取れるのはlive22系だけかも
863ひろゆき@どうやら管理人 ★
NGNG is.2ch.netのAレコードを210.135.99.39に変更してほしいですー。
2006/04/04(火) 15:55:38ID:THAbM1qY0
>>863
雪だるまスレに転載しといた
雪だるまスレに転載しといた
2006/04/04(火) 15:57:39ID:Cvwps7DG0
>>863
もしかして雪だるまスレのアドレス知らないとか
もしかして雪だるまスレのアドレス知らないとか
866む P061198250191.ppp.prin.ne.jp
2006/04/04(火) 16:02:58ID:wtzGfeE+02006/04/04(火) 16:08:19ID:DAa+8tmz0
>>865
http://qb5.2ch.net/test/read.cgi/operate/1143292533/925,928
のため、ここに書いたんでしょう。
ちなみに知ってはいると思うよ(前来たから
http://qb5.2ch.net/test/read.cgi/operate/1143292533/925,928
のため、ここに書いたんでしょう。
ちなみに知ってはいると思うよ(前来たから
■ このスレッドは過去ログ倉庫に格納されています
ニュース
- ホンダ日産 経営統合へ 新会社トップはホンダ指名の取締役から [蚤の市★]
- 【札幌】ライブのため…小学生の息子を約3日間自宅に放置 脱水症・低血糖にさせた疑い 母親(34)逮捕 ★2 [煮卵★]
- 【芸能】女優・川島海荷、結婚を発表! お相手は競泳・中村克 「これからも変わらず頑張っていきたい」 [冬月記者★]
- 【スクープ】中居正広が女性との間に重大トラブル、巨額の解決金を支払う 重病から復帰後の会食で深刻な問題が発生 ★30 [Ailuropoda melanoleuca★]
- 日本の家どんどん狭く ステルス値上げで30年前の水準に [蚤の市★]
- イチロー氏、今のメジャーは「退屈」 松井秀喜氏と10年ぶり再会…日本球界への影響も危惧 [王子★]
- 米屋「ごめんね。お米の値段だけど、来年は更に値上がる予想」 [256556981]
- 「独身男性は狂う」嘘だった。一番キツいのは妻と子供に捨てられた離婚男性 [811796219]
- DeNA濱口 SB三森トレード!!!!
- 【悲報】兎田ぺこーら「競馬で100万負けたペコ」👉赤スパの嵐に [737150144]
- 🏡【躊躇】須磨都民👶、泣き叫ぶ「助けて!もう毎日毎日すこられるのイヤなの!!!!」
- 🌊🌊🌊🚗🏡😬💦👶💦