2ｃｈの動作報告はここで。パート22

**焼き包丁 ★** · 2007/06/24(日) 19:07:25

【まずhttp://www6.ocn.ne.jp/~mirv/accuse.htmを熟読してから】

２ｃｈの動作に関する質問、報告などはこちらにお願いします。

報告の際には、できるだけ詳しい情報をお願いします。
　　▽ 板、又はスレッドのURL
　　▽ プロバイダ名
　　▽ OS の種類・バージョン・SP
　　▽ ブラウザの種類・バージョン・SP
　　▽ PROXYの有無・HTTPヘッダの設定　　など

FAQは下記URLを参照
http://www6.ocn.ne.jp/~boyakkie/faq.html
２ちゃんねるサーバ負荷監視所
http://ch2.ath.cx/load/
2ch鯖監視係
http://sv2ch.baila6.jp/sv2ch01.html
アクセス規制情報
http://qb5.2ch.net/sec2ch/
２ちゃんねるwiki
http://info.2ch.net/wiki/

前スレ
2ｃｈの動作報告はここで。パート21
http://qb5.2ch.net/test/read.cgi/operate/1169173887/

**root▲▲ ★** · 2007/10/19(金) 01:36:00

>>373
認識しているです。それも今調べつつ。

speedy => speedy_backend にいくところで、詰まっていました。
なんでかはよくわからない。

今しがた、-M4 を -M8 にしてみた。
流れがよくなった気がする。

**root▲▲ ★** · 2007/10/19(金) 01:37:48

様子見ているとこの DoS 攻撃は、突然起こるかんじですね。

この DoS の原因は、
ウイルスプログラムのバグ(?)らしいという情報をいただいているのですが、
だとしたら、大変迷惑な話。

**root▲▲ ★** · 2007/10/19(金) 01:38:23

好調ですね。
LA=0 点台になった @ anime2

load averages: 0.82, 1.02, 2.55

**root▲▲ ★** · 2007/10/19(金) 01:40:37

ねむけ来たので、今日のテストはこのぐらいかな。
結果は上々なかんじ。

特化型スレにまとめ書いておこう。

**モーマン☆鯛。** · 2007/10/19(金) 01:41:57

お疲れｻﾏﾝｻ

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 01:49:37

>>374
よくわからんですが乙です。

**root▲▲ ★** · 2007/10/19(金) 01:49:37

>>371-373 は、現在の通常ウイルスBBQコースで
処理おいていただけると助かりますです。

(mod_authz_iplist 的には、いったんクリアしておきます)

**root▲▲ ★** · 2007/10/19(金) 01:49:44

ええと、たった今 58.85.60.159 が再発したです、、、。

**root▲▲ ★** · 2007/10/19(金) 01:51:18

ううむ、いまいちだな。

mod_authz_iplist ではじいておこう。
とりあえず、test/ の下だけ。

他のやつもリストクリアしたらいきなり復活したので、
また追加しておこう。ううむ。

**モーマン☆鯛。** · 2007/10/19(金) 01:53:16

つまり相手の反応をうかがいながらｱﾀｯｸをするようなｺｰﾄﾞってことか…

**root▲▲ ★** · 2007/10/19(金) 01:53:25

今、mod_authz_iplist ではじいているIPアドレス(とりあえず test/ の下だけ)

60.41.214.23
58.85.60.159
58.93.180.21
211.134.128.235
58.85.60.159

**root▲▲ ★** · 2007/10/19(金) 01:54:04

>>383
そのようですね。

バーボンされたりすると、SETTING.TXT や subject.txt をチェックしつつ、
しばらく控えるみたいなかんじ。

**root▲▲ ★** · 2007/10/19(金) 01:57:47

で、これほど早く復活したということは、
注意喚起は実際には効果がなかった、ということすか、、、。

具体的な対応内容(>>244)の返事を待とう、そうしよう。

**ｒｅｆｆｉ@報告人 ★** · 2007/10/19(金) 01:59:27

>384
lookup結果
ぷららとzaq二人ずつなのは単なる偶然なのかなぁ？

i60-41-214-23.s02.a039.ap.plala.or.jp
zaq3a553c9f.zaq.ne.jp
i58-93-180-21.s05.a001.ap.plala.or.jp
O128235.ppp.dion.ne.jp
zaq3a553c9f.zaq.ne.jp

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 01:59:35

>>384
60.41.214.23 -> i60-41-214-23.s02.a039.ap.plala.or.jp
58.85.60.159 -> zaq3a553c9f.zaq.ne.jp
58.93.180.21 -> i58-93-180-21.s05.a001.ap.plala.or.jp
211.134.128.235 -> O128235.ppp.dion.ne.jp

58.85.60.159 -> zaq3a553c9f.zaq.ne.jp
重複。

**ｒｅｆｆｉ@報告人 ★** · 2007/10/19(金) 02:00:48

うがが
危うく連投させるところだった（汗

>386
まだ返答は来ておりません。
この調子だともう一度通報する必要があるかも

**root▲▲ ★** · 2007/10/19(金) 02:01:28

>>388
お、重複でしたか。

つまり、既に「再発済」だったと、、、。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 02:27:29

2007/10/19 01:30:01 LA= 1:30AM up 12 days, 20:42, 2 users, load averages: 1.51, 1.84, 3.92
2007/10/19 01:20:02 LA= 1:20AM up 12 days, 20:32, 2 users, load averages: 0.73, 6.27, 6.83
2007/10/19 01:10:01 LA= 1:10AM up 12 days, 20:22, 2 users, load averages: 3.52, 4.06, 5.13
2007/10/19 01:00:02 LA= 1:00AM up 12 days, 20:12, 1 user, load averages: 20.09, 11.96, 7.50
2007/10/19 00:50:03 LA=12:50AM up 12 days, 20:02, 1 user, load averages: 2.02, 3.31, 4.52
2007/10/19 00:40:03 LA=12:40AM up 12 days, 19:52, 1 user, load averages: 4.28, 5.04, 5.85
前日もこんな感じで下がってるから
2007/10/17 23:50:03 LA=11:50PM up 11 days, 19:02, 0 users, load averages: 5.44, 8.75, 11.29
2007/10/17 23:40:03 LA=11:40PM up 11 days, 18:52, 0 users, load averages: 8.24, 19.31, 15.14
2007/10/17 23:30:03 LA=11:30PM up 11 days, 18:42, 0 users, load averages: 8.19, 9.21, 9.20
2007/10/17 23:20:09 LA=11:20PM up 11 days, 18:32, 0 users, load averages: 28.28, 13.07, 10.20
2007/10/17 23:10:02 LA=11:10PM up 11 days, 18:22, 0 users, load averages: 8.65, 8.38, 8.11
2007/10/17 23:00:04 LA=11:00PM up 11 days, 18:12, 0 users, load averages: 9.63, 8.40, 7.72
2007/10/17 22:50:04 LA=10:50PM up 11 days, 18:02, 0 users, load averages: 6.80, 7.20, 6.98

今日の２３時以降にならないと結果が分からないと思う (下がり方は少し違うけど誤差の範囲)

**水色＠飛行石 ★** · 2007/10/19(金) 02:29:08

焼いてあるホスト全部ここに晒しましょうかー？

ちなみに、繋ぎ変わるホストが幾つかあるんでー、
毎日なにかしら来ますけどー。

**root▲▲ ★** · 2007/10/19(金) 02:31:43

>>391
なるほど、確かに。

>>392
んと、もう寝てしまうんで、とりあえず今はいらないです。
でも後で頼む可能性大です。

明日以降、もう少し早い時間から見てみないと、なんとも。

**root▲▲ ★** · 2007/10/19(金) 02:36:32

ちなみに数としていくつぐらいあるか、
ここに書いておいていただけるとうれしいです。>>392

**root▲▲ ★** · 2007/10/19(金) 02:38:53

ううむ、詰まる時でも我慢して 500 エラーになるまで待てば書けているのか。

bbs.cgi の内部処理の羊羹だけど、ううむ。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 02:44:20

>>392 >394
静的ＩＰ何個
動的ＩＰ何個
とあった方がいいかも

**水色＠飛行石 ★** · 2007/10/19(金) 03:24:34

昼間はあまり書けないんでー、
一応ウイルス焼きしてるホスト書いておきますー。

全部で60くらいですねー。固定は一番下の単発のかなー。

i60-42-218-89.s02.a023.ap.plala.or.jp
i219-164-47-138.s02.a023.ap.plala.or.jp
i218-224-182-67.s02.a023.ap.plala.or.jp
i220-108-236-141.s02.a023.ap.plala.or.jp
i219-167-157-170.s02.a006.ap.plala.or.jp
i58-93-180-21.s05.a001.ap.plala.or.jp
i60-42-193-187.s02.a023.ap.plala.or.jp
i60-42-211-153.s02.a023.ap.plala.or.jp
i60-42-206-186.s02.a023.ap.plala.or.jp
i222-150-5-5.s02.a023.ap.plala.or.jp
i60-41-214-23.s02.a039.ap.plala.or.jp
i219-164-116-59.s02.a023.ap.plala.or.jp

p1201-ipbf209obiyama.kumamoto.ocn.ne.jp
p2186-ipbf212obiyama.kumamoto.ocn.ne.jp
p2211-ipbf206obiyama.kumamoto.ocn.ne.jp
p2146-ipbf208obiyama.kumamoto.ocn.ne.jp
p1075-ipbf205obiyama.kumamoto.ocn.ne.jp
p2093-ipbf210obiyama.kumamoto.ocn.ne.jp
p2073-ipbf211obiyama.kumamoto.ocn.ne.jp
p2179-ipbf303obiyama.kumamoto.ocn.ne.jp
p1174-ipbf211obiyama.kumamoto.ocn.ne.jp
p2052-ipbf608funabasi.chiba.ocn.ne.jp
p2212-ipbf204funabasi.chiba.ocn.ne.jp
p4048-ipbf309funabasi.chiba.ocn.ne.jp
p3169-ipad108fukuokachu.fukuoka.ocn.ne.jp
p2131-ipad28fukuokachu.fukuoka.ocn.ne.jp
p1036-ipad01kyoto.kyoto.ocn.ne.jp
p2229-ipad10kyoto.kyoto.ocn.ne.jp
p2218-ipbf212niho.hiroshima.ocn.ne.jp
p1204-ipbf205niho.hiroshima.ocn.ne.jp
p1013-ipadfx01kouchinwc.kochi.ocn.ne.jp

x061083.ppp.asahi-net.or.jp
p052194.ppp.asahi-net.or.jp
l255013.ppp.asahi-net.or.jp
k166035.ppp.asahi-net.or.jp
l255247.ppp.asahi-net.or.jp

softbank219025248005.bbtec.net
softbank219027024046.bbtec.net
softbank220059140057.bbtec.net
softbank219214058099.bbtec.net
softbank219025204088.bbtec.net

O128235.ppp.dion.ne.jp
ZC054156.ppp.dion.ne.jp

apl3-120.stellar.meon.ne.jp
apl1-122.stellar.meon.ne.jp

58-188-94-181.eonet.ne.jp
3d75b8ba.tcat.ne.jp
210.net220148143.t-com.ne.jp
KYNfa-02p4-233.ppp11.odn.ad.jp
60-62-115-117.rev.home.ne.jp
h219-110-224-022.catv02.itscom.jp
221x255x151x235.ap221.ftth.ucom.ne.jp
KHP125048001246.ppp-bb.dion.ne.jp
suu0999.suubr2.thn.ne.jp
218-230-96-2.pg.itsudemo.net
97.net059085218.t-com.ne.jp
159.79.231.222.megaegg.ne.jp
d2fe53df.tcat.ne.jp
dsl006-152.kcn.ne.jp
FLH1Adc112.hkd.mesh.ad.jp

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 03:55:42

mod_authz_iplist で test/ 以下をを弾いて止まったように見えるのは、
書き込むためのコピペ元を取得しようとして失敗してるからかな？

んで、書き込み結果の html に含まれる文字で処理が分かれてて
たとえば、バーボンだと30秒待機して最初からやり直し
bbq だと、書き込み処理が待ち時間無しで繰り返されて DoS になるみたい

これは、バグじゃなくて意図した動作っぽい
root さん、うそついてごめんorz

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 07:50:41

14才のひろゆきがいてくれればなぁ・・・

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 12:15:09

>>397
rootさんもなんけど
(ISPとホスト名での)ソートした方が見やすいかも

>>398
>たとえば、バーボンだと30秒待機して最初からやり直し
>bbq だと、書き込み処理が待ち時間無しで繰り返されて DoS になるみたい
ここ
待ち時間が表示されれば一定時間だけ待つ
表示されなければ即座に書き込もうとする
で、ＯＫ？

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 12:36:58

ちげーよ
バーボンはつまり.htaccessによるdenyだからbbs.cgiを起動できないけど
BBQは単なる書き込み規制リストなので
エラーだろうとなんだろうとbbs.cgiを起動することはできる。

Windowsキー+Eを10秒くらい押しっぱなしにしてみたら意味わかると思うわ

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 12:47:21

>>401
バーボンは 403 エラー (500だっけ？)
ＢＢＱは 200 OK のはずだが

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 12:55:11

そう。だから問題なの。
例えば、ひたすらMicrosoft Officeなんかを起動しつづけたらPC固まるでしょ？
※実際には多重起動できるか知らないけど

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 12:55:34

そう。だから問題なの。
例えば、ひたすらMicrosoft Officeなんかを起動しつづけたらPC固まるでしょ？
※実際には多重起動できるか知らないけど

う～んもっさり

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 13:05:15

>ID:0FQoaJ8j0
たぶん、私の指摘してる所とずれてると思う

bbs.cgiが読み込まれるかどうかではなく
読み込まれる頻度を話してるんだけどな

**root▲▲ ★** · 2007/10/19(金) 13:11:42

>>397
あとで入れてみるです。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 13:18:12

あぁ～
＞待ち時間が表示されれば一定時間だけ待つ
＞表示されなければ即座に書き込もうとする

ここ勘違いしてた。ごめんなさい。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 13:18:44

SETTING.TXTの参照も弾くとかは

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 13:24:38

apacheすら起動させないとかはどうだろう。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 13:29:32

カーネルや、ネットワークの上流で deny したほうが効率はいい
けど、この手の嫌がらせの対策をより下のレイヤーで行うのは、
こっちの切り札を切るということなので、あんまり安易にやるべきじゃないと思う

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 13:37:06

プログラム作るとしたら
ウェイトを０にする
書き込めたらSambaの秒数をウェイトに入れる
書き込めなかったらエラー表示の秒数をウェイトに入れる
とするけどな
で、BBQのエラー画面だと秒数表示が無いからウェイト無しのDoS攻撃になってる

BBQ のエラー画面に 86400秒たたないと書けません見たいな(Sambaエラーの)表示を加えるだけで
礼儀正しいウィルス(w)であればその秒数だけ待ってくれる

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 13:42:30

つまり一日か。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 13:58:55

>>412
もちろん、BBQされてる訳だから１日たてば書き込めるわけじゃないよ

>397
58.93.180.21 i58-93-180-21.s05.a001.ap.plala.or.jp
219.167.157.170 i219-167-157-170.s02.a006.ap.plala.or.jp
218.224.182.67 i218-224-182-67.s02.a023.ap.plala.or.jp
219.164.116.59 i219-164-116-59.s02.a023.ap.plala.or.jp
219.164.47.138 i219-164-47-138.s02.a023.ap.plala.or.jp
220.108.236.141 i220-108-236-141.s02.a023.ap.plala.or.jp
222.150.5.5 i222-150-5-5.s02.a023.ap.plala.or.jp
60.42.193.187 i60-42-193-187.s02.a023.ap.plala.or.jp
60.42.206.186 i60-42-206-186.s02.a023.ap.plala.or.jp
60.42.211.153 i60-42-211-153.s02.a023.ap.plala.or.jp
60.42.218.89 i60-42-218-89.s02.a023.ap.plala.or.jp
60.41.214.23 i60-41-214-23.s02.a039.ap.plala.or.jp

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 14:00:57

続き
124.96.181.75 p1075-ipbf205obiyama.kumamoto.ocn.ne.jp
124.97.206.211 p2211-ipbf206obiyama.kumamoto.ocn.ne.jp
122.27.183.146 p2146-ipbf208obiyama.kumamoto.ocn.ne.jp
122.27.184.201 p1201-ipbf209obiyama.kumamoto.ocn.ne.jp
122.27.187.93 p2093-ipbf210obiyama.kumamoto.ocn.ne.jp
122.27.188.174 p1174-ipbf211obiyama.kumamoto.ocn.ne.jp
122.27.189.73 p2073-ipbf211obiyama.kumamoto.ocn.ne.jp
122.27.191.186 p2186-ipbf212obiyama.kumamoto.ocn.ne.jp
122.31.5.179 p2179-ipbf303obiyama.kumamoto.ocn.ne.jp
221.191.86.212 p2212-ipbf204funabasi.chiba.ocn.ne.jp
125.174.226.48 p4048-ipbf309funabasi.chiba.ocn.ne.jp
125.175.93.52 p2052-ipbf608funabasi.chiba.ocn.ne.jp
60.40.234.169 p3169-ipad108fukuokachu.fukuoka.ocn.ne.jp
220.105.99.131 p2131-ipad28fukuokachu.fukuoka.ocn.ne.jp
222.144.228.204 p1204-ipbf205niho.hiroshima.ocn.ne.jp
60.40.77.218 p2218-ipbf212niho.hiroshima.ocn.ne.jp
61.126.142.37 p1036-ipad01kyoto.kyoto.ocn.ne.jp
60.38.206.229 p2229-ipad10kyoto.kyoto.ocn.ne.jp
61.214.230.45 p1013-ipadfx01kouchinwc.kochi.ocn.ne.jp #固定

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 14:03:54

続き
218.45.166.35 k166035.ppp.asahi-net.or.jp
218.219.255.13 l255013.ppp.asahi-net.or.jp
218.219.255.247 l255247.ppp.asahi-net.or.jp
221.113.52.194 p052194.ppp.asahi-net.or.jp
122.249.61.83 x061083.ppp.asahi-net.or.jp

219.25.204.88 softbank219025204088.bbtec.net
219.25.248.5 softbank219025248005.bbtec.net
219.27.24.46 softbank219027024046.bbtec.net
219.214.58.99 softbank219214058099.bbtec.net
220.59.140.57 softbank220059140057.bbtec.net

211.134.128.235 O128235.ppp.dion.ne.jp
221.119.54.156 ZC054156.ppp.dion.ne.jp

125.48.1.246 KHP125048001246.ppp-bb.dion.ne.jp #固定
221.255.151.235 221x255x151x235.ap221.ftth.ucom.ne.jp #固定 /32 or /29

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 14:06:57

その他 (最後)
202.87.228.122 apl1-122.stellar.meon.ne.jp
202.87.230.120 apl3-120.stellar.meon.ne.jp

125.196.214.112 FLH1Adc112.hkd.mesh.ad.jp
219.66.207.233 KYNfa-02p4-233.ppp11.odn.ad.jp
219.110.224.22 h219-110-224-022.catv02.itscom.jp
58.188.94.181 58-188-94-181.eonet.ne.jp
60.62.115.117 60-62-115-117.rev.home.ne.jp
61.86.145.152 dsl006-152.kcn.ne.jp
222.231.79.159 159.79.231.222.megaegg.ne.jp
59.85.218.97 97.net059085218.t-com.ne.jp
220.148.143.210 210.net220148143.t-com.ne.jp
61.117.184.186 3d75b8ba.tcat.ne.jp
210.254.83.223 d2fe53df.tcat.ne.jp
211.133.222.231 suu0999.suubr2.thn.ne.jp
218.230.96.2 218-230-96-2.pg.itsudemo.net
>406用

**root▲▲ ★** · 2007/10/19(金) 14:45:23

>>397
追加登録しました。
今夜はこれで様子見かな。

**root▲▲ ★** · 2007/10/19(金) 14:49:10

60.42.213.146

登録した。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 15:39:33

>418
60.42.213.146 -> i60-42-213-146.s02.a023.ap.plala.or.jp

*.s02.a023.ap.plala.or.jp
ipbf*obiyama.kumamoto.ocn.ne.jp
この２つはピンポイント規制やってもダメっぽいな

**水色＠飛行石 ★** · 2007/10/19(金) 15:46:35

>>417
乙ですー。

>>418
今朝BBQした分ですねー。
アクセスログ見ればわかるのかなー。

自動識別できればいいんですけどねー。

>>419
IPアドレスしか登録できないから無理ですねー。
もっとも、正規表現でそれ入れたら大騒ぎですがー(汗）。

**root▲▲ ★** · 2007/10/19(金) 15:50:07

>>419
> *.s02.a023.ap.plala.or.jp
> ipbf*obiyama.kumamoto.ocn.ne.jp
> この２つはピンポイント規制やってもダメっぽいな

案外、同じ人だったりして。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 15:57:33

>>420
既に大騒ぎになってるけど！もっと大量に正規表現焼きをやっちゃってるからね

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 15:58:13

>>420
ipbf*obiyama.kumamoto.ocn.ne.jp は(正引きのやつ)調べればＩＰ分かりますけど
*.s02.a023.ap.plala.or.jp の方は頭にＩＰアドレスがもろに入ってるんで無理

ocnの正引きやるやつ何処いったかな

**[es]** ◆MUMUMUhnYI · 2007/10/19(金) 16:00:21

>>420
>今朝BBQした分ですねー。
>アクセスログ見ればわかるのかなー。

DoS攻撃状態（毎秒1回以上bbs.cgiが叩かれる）になるです。
上の方で名無しさんも書かれているです。

BBQしなかったら変なものを書き込まれ、
BBQして防いだらDoS攻撃状態になるということで。

**水色＠飛行石 ★** · 2007/10/19(金) 16:11:09

>>421
多分違う人かなーと。

>>422
denyだと見ることすらできなくなりますー。

>>424
なるほどー。

んじゃーBBQしたらDoSに自動でなるからー、
DoS攻撃を補足して自動的にdenyできないですかねー。

そしたらウイルスはBBQで焼けば自動でdenyされますよねー。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 16:20:41

>>425
同じ日の同じ時間帯に別のＩＰから来てるんですか？
今日はＡ, 昨日は B, その前は C であれば同じ人ですよー。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 16:30:17

調べてみた
124.101.107.0/24 p1*-ipbf201obiyama.kumamoto.ocn.ne.jp　124.101.108.0/24 p2*-ipbf201obiyama.kumamoto.ocn.ne.jp
124.101.109.0/24 p1*-ipbf202obiyama.kumamoto.ocn.ne.jp　124.101.110.0/24 p2*-ipbf202obiyama.kumamoto.ocn.ne.jp
124.101.111.0/24 p1*-ipbf203obiyama.kumamoto.ocn.ne.jp　124.101.112.0/24 p2*-ipbf203obiyama.kumamoto.ocn.ne.jp
124.101.113.0/24 p1*-ipbf204obiyama.kumamoto.ocn.ne.jp　124.101.114.0/24 p2*-ipbf204obiyama.kumamoto.ocn.ne.jp
124.96.181.0/24 p1*-ipbf205obiyama.kumamoto.ocn.ne.jp　124.96.182.0/24 p2*-ipbf205obiyama.kumamoto.ocn.ne.jp
124.97.205.0/24 p1*-ipbf206obiyama.kumamoto.ocn.ne.jp　124.97.206.0/24 p2*-ipbf206obiyama.kumamoto.ocn.ne.jp
122.27.182.0/24 p1*-ipbf208obiyama.kumamoto.ocn.ne.jp　122.27.183.0/24 p2*-ipbf208obiyama.kumamoto.ocn.ne.jp
122.27.184.0/24 p1*-ipbf209obiyama.kumamoto.ocn.ne.jp　122.27.185.0/24 p2*-ipbf209obiyama.kumamoto.ocn.ne.jp
122.27.186.0/24 p1*-ipbf210obiyama.kumamoto.ocn.ne.jp　122.27.187.0/24 p2*-ipbf210obiyama.kumamoto.ocn.ne.jp
122.27.188.0/24 p1*-ipbf211obiyama.kumamoto.ocn.ne.jp　122.27.189.0/24 p2*-ipbf211obiyama.kumamoto.ocn.ne.jp
122.27.190.0/24 p1*-ipbf212obiyama.kumamoto.ocn.ne.jp　122.27.191.0/24 p2*-ipbf212obiyama.kumamoto.ocn.ne.jp
122.27.192.0/24 p1*-ipbf213obiyama.kumamoto.ocn.ne.jp　122.27.193.0/24 p2*-ipbf213obiyama.kumamoto.ocn.ne.jp
続く

**水色＠飛行石 ★** · 2007/10/19(金) 16:30:25

>>426
ぷららとOCNは違う人って意味ですー。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 16:34:37

122.31.0.0/24 p1*-ipbf301obiyama.kumamoto.ocn.ne.jp　122.31.1.0/24 p2*-ipbf301obiyama.kumamoto.ocn.ne.jp
122.31.2.0/24 p1*-ipbf302obiyama.kumamoto.ocn.ne.jp　122.31.3.0/24 p2*-ipbf302obiyama.kumamoto.ocn.ne.jp
122.31.4.0/24 p1*-ipbf303obiyama.kumamoto.ocn.ne.jp　122.31.5.0/24 p2*-ipbf303obiyama.kumamoto.ocn.ne.jp
122.31.6.0/24 p1*-ipbf304obiyama.kumamoto.ocn.ne.jp　122.31.7.0/24 p2*-ipbf304obiyama.kumamoto.ocn.ne.jp
122.31.8.0/24 p1*-ipbf305obiyama.kumamoto.ocn.ne.jp　122.31.9.0/24 p2*-ipbf305obiyama.kumamoto.ocn.ne.jp
122.31.10.0/24 p1*-ipbf306obiyama.kumamoto.ocn.ne.jp　122.31.11.0/24 p2*-ipbf306obiyama.kumamoto.ocn.ne.jp
122.31.12.0/24 p1*-ipbf307obiyama.kumamoto.ocn.ne.jp　122.31.13.0/24 p2*-ipbf307obiyama.kumamoto.ocn.ne.jp
122.31.14.0/24 p1*-ipbf308obiyama.kumamoto.ocn.ne.jp　122.31.15.0/24 p2*-ipbf308obiyama.kumamoto.ocn.ne.jp

122.31.0.0/20 に相当

ipbf01obiyama.kumamoto.ocn.ne.jp のipbf以降の\d+が２桁は使われて無い (廃止)

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 16:37:19

>>428
誤解あたえてしまったかすまそ。

plalaは23 愛知県ですね

**ｒｅｆｆｉ@報告人 ★** · 2007/10/19(金) 21:12:41

>rootさんへ
依頼のあった件の返答届きました。
なお、お礼のメールに活動が再開しているらしいと報告しておきました。
（規制情報板に掲載されていないのでお知らせをしただけです。）

報告人作戦返答処理スレッド★7
http://qb5.2ch.net/test/read.cgi/sec2chd/1191237695/30

**水色＠飛行石 ★** · 2007/10/19(金) 21:19:23

２つ追加で焼きましたー。

p1172-ipbf307funabasi.chiba.ocn.ne.jp
p2073-ipbf205obiyama.kumamoto.ocn.ne.jp

**ｒｅｆｆｉ@報告人 ★** · 2007/10/19(金) 21:21:38

>431追記
閲覧ソフトについてメールにはソフト名が記載されていましたが
僕の判断で公開しませんでした。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/19(金) 22:54:30

閲覧ソフトって何の閲覧ソフトなんだろう。

まだ運用情報への書き込みの糞詰まりが直ってないなぁ。

**root▲▲ ★** · 2007/10/19(金) 23:55:42

>>432
これかな。

18 0 0 0*58.91.101.172 [58.91.101.172]
18 0 0 0 124.96.182.73 [124.96.182.73]

追加してきます。

**root▲▲ ★** · 2007/10/19(金) 23:56:49

>>435
done.

今帰ったところなので、他の件はちょっとあとで。

**root▲▲ ★** · 2007/10/19(金) 23:57:28

load averages: 3.47, 5.34, 5.69

LA 下がりましたね。< anime2

**root▲▲ ★** · 2007/10/20(土) 00:05:49

とりあえず、

58.85.60.159

からのウイルスと思われるアクセスは、いまだ継続中。

**root▲▲ ★** · 2007/10/20(土) 00:30:30

>>425
> なるほどー。
> んじゃーBBQしたらDoSに自動でなるからー、
> DoS攻撃を補足して自動的にdenyできないですかねー。
> そしたらウイルスはBBQで焼けば自動でdenyされますよねー。

たぶん、秒間x回以上同じIPアドレスからbbs.cgiが叩かれたら、
自動的に期間限定でリストに突っ込むとか、そんなかんじかなと。

**水色＠飛行石 ★** · 2007/10/20(土) 00:34:54

p3187-ipad12kyoto.kyoto.ocn.ne.jp

これ焼きましたー。
>>438とは違いますがー。

こちらでチェックしてるのはー、多分半分くらいしか
引っかけられないと思いますー。

>>439
をー。それいいかもですー。
普通にバーボンでもいいかもですけどねー。
2時間で解除されても、また勝手に入るでしょうからー。

**root▲▲ ★** · 2007/10/20(土) 00:54:42

>>431
1. ウイルスチェック済を確認
(上記は該当顧客にチェックを依頼して顧客から返事をもらった、ということですかね)
2. 閲覧ソフトの長期放置の自粛要請

をした、ということですか。

でも、結果としてウイルスからと思われるアクセスは続いていると。
(つまり上記対策は結果として有効に働いていない)

しかしこちらでの防御対策の結果、とりあえず大きな被害は防げていると。

該当IPアドレスからのウイルスと思われるアクセスが止まっていないので
現在の防御対策は続けるとして、さて、次のアクションをどうしましょうか。

1) とりあえず破綻は防げたので、他のウイルス案件同様とりあえずここまでにする
2) アクセスが止まらないのは良くないことなので、何としても止めてもらうようにがんばる
3) その他(具体的に＿＿＿＿＿＿＿＿)

**水色＠飛行石 ★** · 2007/10/20(土) 00:59:44

ウイルスチェックはすでに感染してたら意味無いですー。
新パターンの更新を阻止するんでー、何度チェックしたって
検知しませんからー。

それに検体が提出されてない新種だとー、
チェックしてもウイルスと認識されませんからー。
（だから初期に一気に広まるわけですねー）。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/20(土) 01:00:09

彼（？）に適したスレに降臨してもらって情報収集
わかる人が見ればウィルスは除去できるだろうし、検体ゲッツできるかも

**root▲▲ ★** · 2007/10/20(土) 01:01:55

ちなみに私の気持ちは 1) で。>>441

私としては２ちゃんねるの破綻や機能不全が防げれば、
とりあえずはそれでじゅうぶんかなと。

それより、少し光が見え始めた有効な防御用武器作りを
形にするほうを進めたいかなと。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/20(土) 01:05:29

闇の商人乙。

**水色＠飛行石 ★** · 2007/10/20(土) 01:06:56

こちらもウイルスはdeny出来ればいいかなーと。

繋ぎ変わるのは毎日来ますけどねー。

**root▲▲ ★** · 2007/10/20(土) 01:07:33

>>442
むろんですね。

ということでISPさんには、

1) 該当IPアドレスからのウイルスからと思われるアクセスは現在も継続中である
2) ２ちゃんねるの一部サーバにおいて、該当IPアドレスからのCGI起動を
ブロックすることにより過負荷の状態からは免れ、現在のところ運用に支障は発生していない
3) 少なくとも該当IPアドレスからのウイルスからと思われるアクセスがやまない限り、
ブロックは続ける予定である

ぐらいを返事すればOKなのかなと。

**root▲▲ ★** · 2007/10/20(土) 01:17:14

で、>>447 の連絡を受けたISPさんが該当顧客に対して
どのような対応をとるのかには、個人的にちょっと興味あるですね。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/20(土) 06:20:54

PCデポに救援要請

**動け動けウゴウゴ２ちゃんねる** · 2007/10/20(土) 06:30:55

ゆっくりしたペースとっても連投規制すぐかかるんですけど？

**動け動けウゴウゴ２ちゃんねる** · 2007/10/20(土) 06:36:07

質雑へ行け

**root▲▲ ★** · 2007/10/20(土) 11:44:17

いい機会なのでアクセスパターンを見ていたりしますが、
パターンはこれの繰り返しのようですね。
下記の4回が1セットになっているみたい。

58.85.60.159 [19/Oct/2007:19:34:43 -0700] "GET /doujin/SETTING.TXT HTTP/1.1" 200 583 "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
58.85.60.159 [19/Oct/2007:19:34:45 -0700] "GET /doujin/subject.txt HTTP/1.1" 200 21574 "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
58.85.60.159 [19/Oct/2007:19:34:47 -0700] "GET /doujin/subject.txt HTTP/1.1" 200 21574 "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
58.85.60.159 [19/Oct/2007:19:34:49 -0700] "POST /test/bbs.cgi HTTP/1.1" 302 186 "http://anime2.2ch.net/test/read.cgi/doujin/1192284998/l50"; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

UA部分は上記セットを実行するごとにランダムで変えてくるみたい。

bbs.cgiを叩くところで結果がBBQでブロックされると
4回目だけを秒間1回以上実行し続けてDoS攻撃状態になって、
deny ではじく(下記)と、30秒から40秒ごとに最初から繰り返すと。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/20(土) 14:06:34

>>439-440
新しく何かを作るよりだったらバーボンやっちゃった方が楽かもしれないぞ

>>452
ttp://qb6.2ch.net/_sec2ch/2007/10/anime2-20071016-58.85.60.159.txt
これだと POSTの間隔は69秒前後だった (内部では70秒で設定してるかも)

**動け動けウゴウゴ２ちゃんねる** · 2007/10/20(土) 16:39:42

お

**水色＠飛行石 ★** · 2007/10/20(土) 16:57:30

どーしましょーかねー。
とりあえずBBQはしない方がいいのかなー。

いまこれ来てますー

p4199-ipad107fukuokachu.fukuoka.ocn.ne.jp
i60-36-24-124.s02.a039.ap.plala.or.jp
i220-109-165-205.s02.a023.ap.plala.or.jp

**動け動けウゴウゴ２ちゃんねる** · 2007/10/20(土) 17:15:55

>>455
BBQするとウィルスに対してDoS攻撃してくださいって言ってるものだから
BBQやらない方がいいよ

**動け動けウゴウゴ２ちゃんねる** · 2007/10/20(土) 17:18:16

でもdenyばっかってのもなぁ

**動け動けウゴウゴ２ちゃんねる** · 2007/10/20(土) 17:25:43

いっそのこと2ch全域からのdenyにすれば異常事態をつかめてなお良いような気がする。

**root▲▲ ★** · 2007/10/20(土) 20:45:17

>>455
とりあえず mod_authz_iplist なリストに登録してくるです。

というかこれ、時々たな卸ししないと増える一方になるような。

DoS状態になるのは防ごうと思えば防げるわけで、
板が機能不全になるのは防ぐ方向がいいのかなと。

というかきっと BBQ の替わりに、
mod_authz_iplist にくべられるような I/F があるといいのかも。

**水色＠飛行石 ★** · 2007/10/20(土) 20:56:33

>>459
ありがとうございますー。

＞mod_authz_iplist にくべられるような I/F があるといいのかも。

そうですねー。
ついでに時限式で登録できる方がいいかもー。
BBQみたいにー。

とかいうと、TWAな人が来てくれそー（笑）

**水色＠飛行石 ★** · 2007/10/20(土) 20:57:14

またkumamotoさんが来ましたー（汗）。
ここまでのkumamotoさんは全部解除でいいんでしょうねー。

p2042-ipbf208obiyama.kumamoto.ocn.ne.jp

**root▲▲ ★** · 2007/10/20(土) 20:58:02

>>455
登録済。

**水色＠飛行石 ★** · 2007/10/20(土) 20:58:53

これ、もしかして焼かれても●で荒らしちゃう人にも効くのかなー（汗）。

**root▲▲ ★** · 2007/10/20(土) 21:07:33

とりあえず anime2 限定でテスト稼動させることにして、
こんなのがあるとうれしいのかな。

1) DB登録管理プログラム

IPアドレス登録日時

なDBを作って管理する。
IPアドレスは CIDR 形式での登録もできるとよりよい。

2) DB → ファイル生成プログラム

登録管理プログラムから呼ばれ、DBをなめてファイルを生成する。
生成するファイルはIPアドレスが一行ごと並んだテキスト形式。
見えないように拡張子は cgi とかがいいな。というか引数で指定できればいいのかも。
ファイルがくずれた場合等に再生成できるように、1) と独立で動かせるようにする。

3) 1) 2) を外部から呼び出すI/F (呪文)

**root▲▲ ★** · 2007/10/20(土) 21:10:21

>>463
効きますね。

**root▲▲ ★** · 2007/10/20(土) 21:10:42

>>461
登録済。

**root▲▲ ★** · 2007/10/20(土) 21:11:48

>>463 >>465
効きますが、きっと緊急避難的対応になるですね。

その後、●規制→authz規制解除という流れかなと。

◆TWARamEjuA · 2007/10/20(土) 21:27:48

久しぶりにシーラカンスが釣れました♪

**root▲▲ ★** · 2007/10/20(土) 21:33:55

>>468
きたーAA略。

きっときっと、Rock54のプログラムのサブセットぐらいで、
さっくりさくさくとできるようなようかん。

**動け動けウゴウゴ２ちゃんねる** · 2007/10/20(土) 21:35:17

すのすさんもきてほしいもんだ。

**ミθθソラネー** ◆FUuCma/uj2 · 2007/10/20(土) 21:35:28

シーラカンスよりかなりデカイと見えるけど?

◆TWARamEjuA · 2007/10/20(土) 22:16:56

BBQ_Checker.cgiに以下のメッセージを追加♪
・Virus(Dos)リスト（＋焼き部隊登録＋ピッチャーデニー♪)
→ウイルスに冒されているかも♪（DoSになっちゃってるし（哀））

・・・ってことで、BBQ装置で生成しちゃいました（苦笑）>>469

◆TWARamEjuA · 2007/10/20(土) 22:22:35

でもってVirus(Dos)リストはanime2鯖さんからcronでrsyncして貰うと良いかもかも♪
proxyVirus.txtって名前を付けました♪＠他の串ファイルが溜まっているディレクトリにあるです。