2chの動作報告はここで。 パート22
■ このスレッドは過去ログ倉庫に格納されています
【まずhttp://www6.ocn.ne.jp/ ~mirv/accuse.htmを熟読してから】 2chの動作に関する質問、報告などはこちらにお願いします。 報告の際には、できるだけ詳しい情報をお願いします。 ▽ 板、又はスレッドのURL ▽ プロバイダ名 ▽ OS の種類・バージョン・SP ▽ ブラウザの種類・バージョン・SP ▽ PROXYの有無・HTTPヘッダの設定 など FAQは下記URLを参照 http://www6.ocn.ne.jp/ ~boyakkie/faq.html 2ちゃんねる サーバ負荷監視所 http://ch2.ath.cx/load/ 2ch鯖監視係 http://sv2ch.baila6.jp/sv2ch01.html アクセス規制情報 http://qb5.2ch.net/sec2ch/ 2ちゃんねるwiki http://info.2ch.net/wiki/ 前スレ 2chの動作報告はここで。 パート21 http://qb5.2ch.net/test/read.cgi/operate/1169173887/ >>246 >245 にある "注意喚起した旨"が対応内容かと 対策までは書いてないじゃないか >246 ありがとうございました。 ご質問の件ですが>247です。 ttp://whois.nic.ad.jp/cgi-bin/whois_gw?type=&key=58.85.60.159&lang= Network Information: [ネットワーク情報] a. [IPネットワークアドレス] 58.85.0.0-58.85.169.255 b. [ネットワーク名] JCOM-NET f. [組織名] 株式会社ジェイコム関西 g. [Organization] J-COM Kansai Co., Ltd. m. [管理者連絡窓口] HW1733JP n. [技術連絡担当者] HW1733JP p. [ネームサーバ] dns01.zaq.ne.jp p. [ネームサーバ] dns02.zaq.ne.jp [割当年月日] 2005/05/09 [最終更新] 2005/07/15 15:53:03(JST) 永久にdenyしちゃえw きたく。 なんか、新種のあれかな。 あちこちからbbs.cgi叩かれまくりなかんじ。 とりあえず調べてみるです。 ぱっと見、ひどい順。 219.214.58.99 222.146.166.223 122.249.61.83 125.48.1.246 60.41.214.23 58.85.60.159 もあるみたいだけど、 前ほどのめちゃくちゃさはなさげ。 2xx 3xx 4xx 5xx URL 376 0 0 0*/test/bbs.cgi 77 0 0 0 /anime2/subject.txt 72 0 0 0 /doujin/subject.txt 63 1 0 0 /comic/subject.txt 41 6 0 0 /csaloon/dat/1192534384.dat 41 1 0 0 /asaloon/subject.txt 40 1 0 0 /anichara2/subject.txt 36 0 0 0 /shar/subject.txt 33 0 0 0 /csaloon/subject.txt ひでー(ただし上記は30sec(いつもの3倍の値))。 なんか、新種の何かが出たとしか思えないですね。 幸いサーバが落ちるほどの猛威じゃなさげなので、 ちとパターンとか見てみるです。 2xx 3xx 4xx 5xx URL 407 0 0 0*/test/bbs.cgi 74 3 0 0 /doujin/subject.txt 69 0 0 0 /anime2/subject.txt 67 0 0 0 /comic/subject.txt 54 0 0 0 /anichara2/subject.txt 53 0 0 0 /asaloon/subject.txt 33 0 0 0 /shar/subject.txt 31 1 0 0 /csaloon/subject.txt 28 0 0 0 /voice/subject.txt 悪化していってるし。 根拠のない推測にしか過ぎないけど、 58.85.60.159 な人がもしほんとに「対応した」んだとすると、 あっという間に別の亜種にまたかかった、のかも。 219.214.58.99 -> softbank219214058099.bbtec.net 222.146.166.223 -> p6223-ipad408marunouchi.tokyo.ocn.ne.jp 122.249.61.83 -> x061083.ppp.asahi-net.or.jp 125.48.1.246 -> KHP125048001246.ppp-bb.dion.ne.jp 60.41.214.23 -> i60-41-214-23.s02.a039.ap.plala.or.jp 125.48.1.246 -> KHP125048001246.ppp-bb.dion.ne.jp はBBQして構わないはずだがbbs.cgi回されるとダメか。 >>256 おっしゃるとおり、bbs.cgi を叩かれること自体がいまいちなわけで。 時間変わったので、23:00 台のログ解析してきます。 ちとしつれい。 >>256 60.41.214.23 -> i60-41-214-23.s02.a039.ap.plala.or.jp http://mwdb.my-honeynet.org/info/list/page/3/hash/8010bf1ef0d2388c763388e2630efa18 20 link://60.41.214.23:35208/KiJo9Q== 60.41.214.23 KiJo9Q== 2007-06-17T23:03:56 ハニーボットに引っかかってるみたいですですー、ただそれだけ(なんかの参考になればw う〜む >255 減っているところを見るとその推測で間違ってないと思います。 しかしウィルスらしいと連絡を受けて駆除してすぐに感染するとは どんだけ(ry >261追記 もう一つのパターンは駆除はしたけどパターンファイルが古いのか 対応できない新種だけが残っているのかも 乙ですー。 >256 > 222.146.166.223 -> p6223-ipad408marunouchi.tokyo.ocn.ne.jp これ以外のIPアドレスは10/10前後にウイルス焼きされてました。 Botになってて新しい奴を送り込まれちゃったですかねぇ。。 >>261-262 お前もういいから 聞かれたことだけ答えれば良し あとは黙って見てなよ >>248 ですか。 つまり「注意喚起しました」がISPからの最初のメールの回答内容で、 それによりreffiさんは「対応完了した」と判断し、規制解除の依頼に至ったと。 それでは、>>244 で出した追加問い合わせのメールの返事が来たら、 内容の要旨だけでもかまわないので(メール本文はきっと「非開示要請」されるでしょうから)、 向こうのスレにその旨を記録しておいていただけると、とても助かりますです。 今のところ同一ISPからの同パターンでの 「掲示板に対するテロ行為」は再発していないようですが、 ここにも書いたように、現在 anime2 サーバは 同種のテロ行為による攻撃を受けている真っ最中ですので、 該当ISPにおける「対応」がどの程度のもので、 かつ実際にどのような効果があるものなのかということは、 非常に重要なことだと思いますので。 >>265 1回 58.85.60.159 [16/Oct/2007:07:14:35 -0700] "GET /doujin/subject.txt HTTP/1.1" 200 22233 "" "Monazilla/1.00 kage/0.99.1.1036" これやっちゃえば 「このスレッドには書き込めません」のエラーがかえってくるまで GETする必要ないかと >>267 ん、だとすると「正常なアクセスパターンの範疇」なんですかね。 23:00 台じゃなくて別の時間帯も調べてみるか。 >>268 これが分かりやすいかも ttp://qb6.2ch.net/_sec2ch/2007/10/anime2-20071016-125.48.1.246.txt 最初の方でGETしまくってその後でPOSTしまくる >266 了解しました。 概要転載だと語弊を招くおそれがあるので返事が届いたら そのままそちらへ転送します。 >>265 上5つは登録済みでした 222.146.166.223 は熊谷私怨関係でBBQされているIPです >>270 私に送らないでください。お願いします。 送っていただいても読まずに消します。 それじゃ意味ないし。 ここのみんなが情報を共有することが重要です。 こういうのは表でやらないと。 >>268 散発的に SETTING.TXT への不審なアクセスはあるみたいですが、 頻度は高くないようです。様子見かなと。 >272 了解です。 非公開要請で来る思うので何処まで書いていいのか判断に 迷いますが出来る限り概要を書くようにします。 >>273 SETTING.TXT の↓を見てる気がする BBS_LINE_NUMBER=30 BBS_MESSAGE_COUNT=4096 ← この一行の長さ制限 → と1レスの容量 と行数制限 >>275 専用ブラウザならそういう振る舞いすると思うんですが、 普通にIEやらFirefoxやらSafariやらで読んだら、 あんまりそういうことしないんじゃないかなと。 >>274 はい、お願いします。 たぶんきっとそのあたりが、報告人としての腕の見せ所なんじゃないかなと。 >>276 >専用ブラウザならそういう振る舞いすると思うんですが、 専用ブラウザつかってるけど 私が使ってやつは SETTING.TXT を自動で読み込まないよ 手動で読み込んだとしてもその情報は使ってない気がする なんで、たまーに容量がでかいとか改行が多いとか長すぎる行があるって書き込みエラー出される *ギコナビ ログインはでき、異常はなさげ。< news22 ううむ。 owabiplus とか、他の板は正常なのか。< news22 復帰してみるです。 dat はあるのか。 bbsd を再起動してみます。 専ブラだと見えますがIEとか炎狐とかだと真っ白けですね 専ブラだと見えますがIEとか炎狐とかだと真っ白けですね ぐはぁ また連投 おでん某所の糞詰まりには困ったもんだ 乗り換えようにもキャンペーン中に入ったもんだから6ヶ月縛りあるし システム起動時に動くスクリプト(ジンギスカンセットアップ用)を 再度動かしてから板復帰かけたら、元に戻ったみたい。 めったに再現しない bbsd の虫、、、なのかも。かも。 >>300 しばらく news22 / newsplus 注意して様子見ておくです。 火狐とスレイプニルでも見えるようになったね。 というか、管理人の人以外、板の異常を訴えてくる人はいなかった? ttp://news22.2ch.net/test/read.cgi/newsplus/1192391227/19 19 :名無しさん :2007/10/17(水) 01:42:10 ID:??? メル欄がsageだと名前が「名無しさん」、IDが???になるんだ 仕様変わったのかな? らしいです。 >>309 なるほど SETTING.TXT がないか。 復旧作業の影響ですね。なおしてきます。 管理人も漏れと同じ症状なのか 確かプロバイダは違うような記憶があるのでBフレそのもので 糞詰まり起こっているのかなぁ? プロバイダは関係ないみたいですよ。 勝手に連投、あちこちで見かけますね。 POSTメソッドで送信してから 返信が数秒後のDate:が書き込まれてるけど 反応が30秒だったりする時がある 鯖の500エラーが返ってきたけど書きこまれてたり 200 OKが以下略。 >>320 の影響、、、なのかも。 私、ずっとさくさくだったんですが、 プロバイダの影響? >>322 私は今の所qb5鯖だけでなってる ex20, tmp6ではなってない >>rootさん N+不具合の件で、少し気になったことがあるので めーるしました。 何かの参考になればよいのですが。。 >>327 どもです。読みました。 一時的に newsplus の SETTING.TXT が見えなくなった影響ですね。 ジンギスカンシステムで、かつ bbsd (ローカル雪だるま)システムの場合にのみ、 ごくたまに起こることがあるようです。 とりあえず、メールいただいた動作はその呪文的にはきっと正常動作なので、 必要以上に気にすることはないと思われるです。 >>328 なるー。了解しましたー。 確認ありがとうです。 ウイルスどうしますかねー。 実際にはもう50ホスト以上焼いてるんですけどねー。 いちいち報告してませんけどー。 数が少ないとか思ったら大間違いですんでー。 連投で書き込み規制されて書けてないだけですしー。 焼いたホスト、列挙した方がいいですかねー。 けど、焼いてもアクセスには何の影響もないんですよねー。 表面上、klistに出てこなくなって、書き込みもしないってだけでー。 BBQに焼いておけば2chには影響なくても他のBBQを使ってるところで書き込めなくて気づくっていうパターンはないのかぁ・・・ なんだろうなぁ・・・ >>330 今しがた、ウイルスの解析や届出などされておられる方から (ですよね、前にもいただいた経験があったような気がします) メールで情報いただきまして、 58.85.60.159 のやつ (>>249 ) も、頻度は低いもののどうも「それ」っぽいらしいです。 ご指摘のとおりで、bbs.cgi にアクセスされること、 場合によってはテロ行為並みのアクセスをされることは、 焼いただけでは防げないわけで。 そろそろ、新しい兵器が必要なのかな。 焼くのと同じように、外から deny に相当することができるような。 兵器じゃないな。武器ですね。防御用の。 前から懸案になってた、mod_authz_iplist あたりを入れ込むとかかな。 >>333 一応、何回か提案してたんですけどねー。 1〜数日だけdenyするよーな時限焼き装置とかー。 (解除後にまた来たらまたdenyって感じでー)。 手動のほか、boo80みたいに使えればいいのかなーと。 誰でも使えちゃうと危険ですけどー。 誰かがだめって言ってるのかな 返事が無いだけなら、勝手にやっちゃっていいと思うけど ひろゆきが なかまに はいりたそうに こちらをみている! なかまに いれますか? >はい いいえ >>333 ウィルスであれば外から(手動)ではなく 自動でやった方がいいんじゃないか 自動の判断基準を1時間に60回(この辺は他の書き込み制限にあわせる)以上とか厳しくして Denyは12〜24時間と長めに >>338 ひろ(ryにbbs.cgiを弄りさせるとろくなことにならないから勝手に導入はどうかと あるやつで勝手に導入 -> ひろ(ryが削除したはいいけどおかしなことになったことがあった気がする bbnをちょこっといぢると、bbv(抗ウイルス焼)が出来ちゃいそうな♪ Rock54でセテーイ、bbrで傍受、bbn経由bbvで登録。 ♯mod_2chBBQブツクサ・・・ >>297 ,328 うーむ...... bbsd 自体は raw I/O とかやってるわけではないので, ファイルシステムが ufs か md かで挙動が変わることはないと思いますが, 何らかの間接的影響があるってことなんですかねぇ.例えば, md だとファイル I/O でエラーが発生しやすいようなので,それで SETTING.TXT の読み込みに失敗すると真っ白になるとか......? >>344 >♯mod_2chBBQブツクサ・・・ bbs.cgi の入り口の処理は DSO にして,そこでパスしたのを internal redirect で従来の bbs.cgi に渡すとか...... ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる