幸せサーバープロジェクト　「アイデア・技術のある人募集中」★4

● ◆SUAMA.Cbav5m **＠SUAMA ★** · 2009/06/28(日) 00:06:42

どんなにむずかしくても
あいでぃあだして
みんなでやればできるよ！
　　　　　　　　　　　　　　　　ﾊ_ﾊ
　　　　　　　　　　　　　　　('(ﾟ∀ﾟ∩　できるよ！
　　　　　　　　　　　　　　　　ヽ　　〈
　　　　　　　　　　　　　　　　　ヽヽ_)

まえすれ
幸せサーバープロジェクト　「アイデア・技術のある人募集中」★3
http://qb5.2ch.net/test/read.cgi/operate/1241361889/

◆MUMUMUhnYI · 2009/08/19(水) 13:55:46

>>352
Jim-san,

The system of headline.bbspink.com is compatible with headline.2ch.net's,
and I think I don't have my proprietary data on cherry903 now.

And now headline is alive again as http://headline.bbspink.com/bbypink/ ,
so, it is good for us.

◆NAO/2MXDEk · 2009/08/19(水) 14:24:09

Thanks Mr.Jim.
Please teach me the story in detail.
# Is it a story of the matter of the ARP table contamination or the malfunction of the HDD?

◆NAO/2MXDEk · 2009/08/19(水) 14:25:37

あ、そういうことでしたか
(´・ω・｀)

[―{}@{}@{}-] **ΟΔΥΣΣΕΥΣ** ◆YE6tMtjT7Q8t · 2009/08/19(水) 14:55:59

ぜんぜん　わからない
w

◆MUMUMUhnYI · 2009/08/19(水) 15:08:29

>>356
Jim-san,

Perhaps ◆NAO/2MXDEk-san wants to know which parts of cherry903
was crashed (and recovered).

And I want to know it too. :-)

[―{}@{}@{}-] **ΟΔΥΣΣΕΥΣ** ◆YE6tMtjT7Q8t · 2009/08/19(水) 15:55:15

>>357
Yes, me too. I don't know. Just Tom told me it was down and they fixed it.
I will find out later, and let you know.

◆MUMUMUhnYI · 2009/08/19(水) 16:18:22

>>358
Ok, thank you Jim-san.

**動け動けウゴウゴ２ちゃんねる** · 2009/08/19(水) 16:22:12

Oi root shabure yo .

**動け動けウゴウゴ２ちゃんねる** · 2009/08/19(水) 17:13:08

nihongo de Okakikudasai

**ATLAS 翻訳 パーソナル 2003** · 2009/08/19(水) 17:31:43

>>352（訳）
cherry903はクラッシュして、パイによってリブートされました。
パスワードは変えられました。
そのマシンの上にあなたのいくつかのデータがあるように見えます。
何かを必要とするなら、私に連絡してください。

>>353（訳）
ジムさん
headline.bbspink.comのシステムは見出し.2ch.netのものと互換性があります、そして、私は私にはcherry903に関する自分の独占データが現在ないと思います。
そして、現在見出しが再び http://headline.bbspink.com/bbypink/ として生きているので、我々にとって、それは良いです。

>>354（訳）
Thanksジムさん。
詳細に話を私に教えてください。
それはARPテーブル汚染の問題かHDDの不調の話ですか?

>>356（訳）
It doesn't understand at all.

>>357（訳）
ジムさん
恐らく、◆NAO/2MXDEkさんは、cherry903のどの部分が墜落したかを(そして、回復されます)知りたがっています。
そして、私はそれも知りたいです。

>>358（訳）
はい私も。
私は知りません。
まさしくトムは、それが下がっていて、彼らがそれを固定したと私に言いました。
私は、後で見つけて、あなたに知らせるつもりです。

**マァヴ** ◆jxAYUMI09s · 2009/08/19(水) 18:58:33

>>339
あ(^_^;)それおいらにか
んでわ対処しますー
どっかで勝手にリブート入るはずー

**マァヴ** ◆jxAYUMI09s · 2009/08/19(水) 19:26:34

>>339
done(^_^;)

◆NAO/2MXDEk · 2009/08/19(水) 19:53:43

>>363
メールの方もよろしくお願いします

♪ ◆/y.Ychk2JQ · 2009/08/19(水) 23:15:14

幼女にて。。。

【芋】芋ほり用正規表現リスト係5
http://qb5.2ch.net/test/read.cgi/operate/1250690843/

**NAO ★** · 2009/08/20(木) 01:24:48

>>363-364
結論から入ると、何も変わってないです
# だって、元々無視する設定のはずなのだもの

どういう作業がされたのか、詳細を

**NAO ★** · 2009/08/20(木) 01:31:17

# むしろ、悪化しているような

**NAO ★** · 2009/08/20(木) 01:56:48

http://www.maido3.com/server/zousan/nikki118.html

---以下引用---
maido3.comで提供しているT-Bananaサーバでは、以下の項目を設定しています。

security.bsd.see_other_uids=0
net.inet.tcp.rfc3042=1
net.inet.tcp.rfc3390=1
net.inet.tcp.sack.enable=0
net.inet.icmp.icmplim=3000
net.inet.icmp.icmplim_output=0
net.link.ether.inet.log_arp_wrong_iface=0
---引用ここまで---

● ◆SUAMA.Cbav5m **＠SUAMA ★** · 2009/08/20(木) 21:58:41

･･･直ってないように見えた。なんでだろ？
# まさか、もう(禁則事項)されてしまったのか。

◆NAO/2MXDEk · 2009/08/20(木) 22:07:51

さて、どうしまひょ

# IPFilterモジュールの再組込を考える時期だったりするのかな

◆??? · 2009/08/21(金) 01:04:27

たとえばiptablesみたいなそんなやつで弾いたりしてへんの?
cとかkとか

◆NAO/2MXDEk · 2009/08/21(金) 01:06:31

>>372
そういうのじゃ無いんすよね・・・

うーん

◆NAO/2MXDEk · 2009/08/22(土) 11:34:45

スレに書いても、メールを送っても音沙汰なしとはこれいかに
(´・ω・｀)

♪ ◆/y.Ychk2JQ · 2009/08/22(土) 14:49:41

かの人への想いが足りないのですよ

◆??? · 2009/08/22(土) 15:03:44

すあま妹への想い?

◆NAO/2MXDEk · 2009/08/22(土) 17:25:09

もう、スレ上で話し進めてもいいのかしら

♪ ◆/y.Ychk2JQ · 2009/08/22(土) 20:54:29

>>377
対策はなされたんですか？

◆NAO/2MXDEk · 2009/08/23(日) 00:18:34

>>378
何をすれば対策したことになるのやら

むしろ、その設定をつめていくべきなのかも

今の処済んでいる所
・icmp redirectを無視する設定　　　　　　　　　　　┐
・arpテーブル変更メッセージを無視する設定　　.┴マァヴさん曰く、>>363-364で終わっている、らしい
・telnet 停止

◆NAO/2MXDEk · 2009/08/23(日) 00:20:18

で、実際に私も設定ファイルを読んで、無視設定になっていることを確認していたり
# しかし、前々から無視設定は入っていたはずだし、その後も無視設定は入っているっぽい

しかし、実際には無視されずに流れ込んできている現状

♪ ◆/y.Ychk2JQ · 2009/08/23(日) 20:54:38

ちょっとNAOさんにめるしてみた。

で、その内容があっているのなら、ある意味対応完了ではありますね。

◆NAO/2MXDEk · 2009/08/23(日) 21:12:01

読んだ読んだ

今から調べてくるー

◆NAO/2MXDEk · 2009/08/23(日) 21:42:16

>>381
RC.CONF(5)

icmp_log_redirect
　(ブール値) デフォルトで NO にセットされています。
　YES にセットすると、ICMP REDIRECT パケットを、カーネルが記録するようになります。
　ログメッセージの速度制限はありませんので、あなたのネットワーク内の問題解決にのみ使用すべきです。

と言うことなので、NOに設定変更で試してみます。
どもです、どもです

◆NAO/2MXDEk · 2009/08/23(日) 21:47:30

要請経由で依頼を送りました

**動け動けウゴウゴ２ちゃんねる** · 2009/08/23(日) 22:06:39

あいであのなかとみのかまたりっていわれます

◆NAO/2MXDEk · 2009/08/23(日) 22:42:39

>>381
返信したー

---

依頼のお返事もキタキタ

---以下転載---
以下サーバーの設定変更及び再起動の件、承りました。

　　　(中略)

明日午前１０時以降に、tiger3523の設定変更作業を行ないます。
サーバーの設定変更が完了次第、再起動を行ないます。
作業が完了次第、改めまして担当の者より再度ご連絡いたします。
今暫くお待ち下さい。

今後ともBIG-server.comをよろしくお願いいたします。
---転載ここまで---

# 依頼出した後、私の母艦が不具合でて再起動が出来ずに苦しんでたのは内緒

● ◆SUAMA.Cbav5m · 2009/08/23(日) 22:51:34

わくわく。

◆NAO/2MXDEk · 2009/08/23(日) 22:53:03

arpの方は、カーネル再構築が要る予感
こっちは半ば諦め

**動け動けウゴウゴ２ちゃんねる** · 2009/08/23(日) 22:57:03

arpテブルがアレでコレでボボンであぼんした格好だってこと?

**trick ★** · 2009/08/23(日) 22:58:27

メールは見ましたが、わたしゃ力になれそうにありましぇん。
正座しときまーす。

♪ ◆/y.Ychk2JQ · 2009/08/23(日) 23:15:20

というか今回お借りしているサーバって2ｃｈセッティングなんですよね？
だとすれば、他の（rootなし）サーバと同じなわけで、特に気にする必要はないと思うんですけど。
あんど、同様のサーバを触ったことがあるであろうむむむさんに聞いてみるのもいいんじゃないかなって。

ちなみに過去スレ（よくわからないので参考程度に貼ってみる）

2ch特化型スペシャルサーバ構築大作戦
http://qb.2ch.net/test/read.cgi/operate/1052923573/836

2ch特化型サーバ構築作戦 Part2
http://qb3.2ch.net/test/read.cgi/operate/1062137886/6

**動け動けウゴウゴ２ちゃんねる** · 2009/08/24(月) 01:31:39

どもっすゝ
このスレ参考になりますね
専門知識はないので、さっぱりわかりませんが、
http://qb5.2ch.net/test/read.cgi/sec2chd/1249914523/5の
ように、芋ほりの後の集計くらいは入れられるようになりたいなと
思いました。

◆NAO/2MXDEk · 2009/08/24(月) 12:41:19

>>386
再起堂と設定完了のメールきたきた

---

# なんか最近、.70.kgなメールアカウント、まともに動いてくれない orz
# なんだろうなぁ

◆SUAMA.Cbav5m · 2009/08/24(月) 16:44:44

>>393
困ったなあ(´･ω･`)
# だから以下略

● ◆SUAMA.Cbav5m **＠SUAMA ★** · 2009/08/24(月) 23:44:26

見た感じ、ICMPうんたらは出なくなったっぽい。

◆NAO/2MXDEk · 2009/08/29(土) 01:09:11

メールのほうもチョコチョコ調べてみた

結論から言うと、今のところでは.70.kgのメールの仕様に問題がある希ガス

◆NAO/2MXDEk · 2009/08/29(土) 15:29:53

popでの受信が先に行われないと、smtpでの送信をキックされるのかな
あと、smtp通した後のヘッダーが臭いかも

**動け動けウゴウゴ２ちゃんねる** · 2009/08/29(土) 16:35:28

POP before SMTPってやつ?

**動け動けウゴウゴ２ちゃんねる** · 2009/08/29(土) 16:43:46

これ？

http://www.maido3.com/server/option/mailadd.html
> BIG-server.com ではメールの送信方法に POP before SMTPを
> 採用しています。メール送信を行う前に必ずメール受信を行ってください。

http://www.maido3.com/server/support/port25/
http://www.maido3.com/server/support/submission.html

**動け動けウゴウゴ２ちゃんねる** · 2009/08/29(土) 19:54:09

SMTP-AUTHまだー。

◆NAO/2MXDEk · 2009/08/30(日) 03:56:14

なるほろ
qmail@MTAで構築されたsmtp経由してるから、receivedがいみふなのか

1982 RFC821
http://www.rfc-editor.org/rfc/rfc821.txt
　↓
2001 RFC2821
http://www.rfc-editor.org/rfc/rfc2821.txt
　↓
2008 RFC5321
http://www.rfc-editor.org/rfc/rfc5321.txt

# IMFについては省略

◆NAO/2MXDEk · 2009/08/30(日) 04:04:50

>>395
ほんとに出なくなってます？

◆NAO/2MXDEk · 2009/08/30(日) 04:26:22

なんだろう、なんかまだ問題がある気ががが

**名無しさん＠そうだ選挙に行こう** · 2009/08/30(日) 05:38:27

何となく力になれる話題っぽいけど何で困ってるのかがさっぱりわからないからどうしようもない

**名無しさん＠そうだ選挙に行こう** · 2009/08/30(日) 08:15:43

POP認証以外だと、SMTPのPort替えてることに気がついてないとか？

● ◆SUAMA.Cbav5m **＠SUAMA ★** · 2009/08/30(日) 22:00:34

>>402
最後にリブートしてからは。

◆NAO/2MXDEk · 2009/08/30(日) 22:03:32

>>406
いま、ためしてくだしあ

● ◆SUAMA.Cbav5m **＠SUAMA ★** · 2009/08/30(日) 22:06:33

>>407
今もいちど確認した結果が>>406だったのですががが

◆NAO/2MXDEk · 2009/08/30(日) 22:07:20

えー
他のアカウントで試してみます

● ◆SUAMA.Cbav5m **＠SUAMA ★** · 2009/08/30(日) 22:07:37

ああ、arpうんちゃらは出てますが、もうこれは以下略

◆NAO/2MXDEk · 2009/08/30(日) 22:09:54

他の垢で(無断で)適当にdmesgしてきましたが、
icmp redirectにどれもこれも以下略されてます。

● ◆SUAMA.Cbav5m **＠SUAMA ★** · 2009/08/30(日) 22:12:34

つ【リングバッファ】

最新のRebooting...の後からを(ｒｙ

◆NAO/2MXDEk · 2009/08/30(日) 22:14:59

おおう

さーせん

◆NAO/2MXDEk · 2009/08/30(日) 22:16:26

arpに関して、前よりアレな気が

● ◆SUAMA.Cbav5m **＠SUAMA ★** · 2009/08/30(日) 22:16:41

古いとこを見てもあんまり意味ないですよー。

● ◆SUAMA.Cbav5m · 2009/08/30(日) 22:18:44

>>414
キャンペーン期間につき増量中(当社比)

なんで増えてんだ、これ

◆NAO/2MXDEk · 2009/08/30(日) 22:22:59

# icmp redirect loggingお断りの設定が効いている今なら、rebootで消えるのかな？

---

>>416
えーっと、なんでしょうねぇ

# 汚染？

● ◆SUAMA.Cbav5m · 2009/08/30(日) 22:28:05

> # icmp redirect loggingお断りの設定が効いている今なら、rebootで消えるのかな？
多分そうかと。とりあえず表示には出なくなりますた。

> # 汚染？
いったいどこの誰が(ｒｙ

◆NAO/2MXDEk · 2009/08/30(日) 23:04:18

ftpもお断りにしときます？

● ◆SUAMA.Cbav5m **＠SUAMA ★** · 2009/08/30(日) 23:06:04

おいらは構いませんが、他の人はどうなんでしょ

**trick ★** · 2009/08/30(日) 23:25:28

かまいませんぜー

◆NAO/2MXDEk · 2009/08/30(日) 23:34:00

了解です

ftpお断りの設定

/etc/inetd.conf の ftpの行をコメントアウト
面倒なので、そのまま再起動で

◆NAO/2MXDEk · 2009/08/30(日) 23:38:14

依頼してきたー

◆NAO/2MXDEk · 2009/08/31(月) 00:03:49

arpうんちゃらを再質問してみた

◆NAO/2MXDEk · 2009/08/31(月) 01:35:20

続きはまた明日以降で

**動け動けウゴウゴ２ちゃんねる** · 2009/08/31(月) 16:34:50

このスレ見てると、みんなを引っ張っていく人って重要なんだなあ。とつくづく思う。

◆NAO/2MXDEk · 2009/08/31(月) 21:42:31

あれ、dmesgの結果おかしい
なぜ1回の実行で3回もリピートした結果が

◆NAO/2MXDEk · 2009/08/31(月) 21:51:11

えっと、最後のログがここだから

2009/08/31 11:10:01 11:10AM up 7 mins, 1 user, load averages: 0.00, 0.11, 0.08
2009/08/31 11:00:01 11:00AM up 7 days, 59 mins, 1 user, load averages: 0.00, 0.00, 0.00

◆NAO/2MXDEk · 2009/08/31(月) 21:53:11

なるほど

前の前のデータ
前のデータ
今回のデータ

って繋がってるのね
# 普通繋がるものだっけ？

◆NAO/2MXDEk · 2009/08/31(月) 21:57:35

とりあえずここに置いておこう
まずかったら消そう。うん

http://happy.70.kg/text/dmesg_090831.txt

◆NAO/2MXDEk **＠NAO ★** · 2009/08/31(月) 21:58:13

>>430はdmesgの一部切り出し＠多分最新と思われる部分

◆NAO/2MXDEk · 2009/09/01(火) 00:10:49

書き込むの忘れてた
ftpは停止しました

**動け動けウゴウゴ２ちゃんねる** · 2009/09/01(火) 04:43:26

変なところ弄ってないよね？
ftp止める前と後の各種の設定ファイルを残してあるなら
比較してみると良いような気がする。

◆NAO/2MXDEk · 2009/09/01(火) 06:06:19

>>433
私は変な所(大切な所)を弄る権限貰ってないです

そして、変なことは前から彼是ー起きていたり

♪ ◆/y.Ychk2JQ · 2009/09/02(水) 19:16:01

ftp止まったんですね。

＞> # 汚染？
＞いったいどこの誰が(ｒｙ
自分が原因でないことを祈るばかりですが・・・

で、今現在というか経緯というか、どういうことが起きているのかとかとか。。。

◆NAO/2MXDEk · 2009/09/03(木) 02:40:50

正直に言えば、完全には分かってなかったり

返事待ち中ですね
中々来ないですが

◆NAO/2MXDEk · 2009/09/03(木) 23:50:51

とりあえずこっちで

・経緯
時系列は>>307参照
事の発端は、sasuke設置後、鯖の環境の再確認の為にdmesgを行った時に、
icmp redirectとarpテーブルの変更宣言でログが潰れてしまい、
読み込むことが不可能になっていたことに気付き、措置を取ろうと以下略

・今はどうなった？
マァヴさんに「このままで良いの？」的な質問メール　→　返事返ってこない

鯖屋さんに直接ｋｗｓｋ質問＠8/31　→　お問い合わせいただきました件につきまして、
　　　　　　　　　　　　　　　　　　　　　　　　明日以降サーバー管理者に確認の上、ご連絡いたします。
　　　　　　　　　　　　　　　　　　　　　　→　回答はまだなし

---

マァヴさんに「言っちゃダメ」とか、何も止められずに結構たってるので書いてみますが、
マァヴさん曰く

>現象：ネットワークに外部から侵入しようとしている奴がいる"らしい"
>
>対応：ICMP Redirect が原因でサーバーに繋がらなくなったという事例は無い。
>　　　　ICMP Redirect のログが気になる場合は、ログを取らないように出来る"らしい"
>　　　　変更しても良い場合は連絡ください。（再起動が必要かもしれません）

>PIEのネットワーク管理者からの回答（概略）
>侵入者が、経路指定テーブルを変更しようとして
>潜在的に ICMP Redirect を送り続けようとしている。

との事。
# 概略じゃなくて、ｋｗｓｋ知りたかったのですが、これ以降お返事もらえてません

---

んで、結論から言うと、外からいらん事してる人がいる、と。

対処としては、icmpの無視設定とログ無視設定、とarpの無視設定が入ってる(はず)

後、いらん事されてるかもとか言う回答の前に、勘と独断専行でtelnetの停止を依頼して、
おまけでftpも停止の依頼をしました。

---

telnetの危険性云々は、>>246で「そういえば(ry」で思い出して、
arpの汚染云々の件とあわせて、盗聴と権限上げによる権限奪取の可能性があるかもと判断しました。

# さあて、本当に書いてよかったのかな？
# ▲も覚悟でｋｗｓｋ書置き

◆NAO/2MXDEk · 2009/09/03(木) 23:52:12

あと、SYN floodについても対策済みになってる(た)

● ◆SUAMA.Cbav5m · 2009/09/03(木) 23:58:29

# おいらも誰かに聞こうと思ってたところだったんだけど、同じこと考えてたのねん

● ◆SUAMA.Cbav5m **＠SUAMA ★** · 2009/09/04(金) 00:04:10

ちと気になる点としては、「この鯖以外にもこんな状態な鯖があるのか？」だったり。

◆NAO/2MXDEk · 2009/09/04(金) 00:10:55

>>440
その場合、maido3な鯖を持っていて、尚且つ某巨大掲示板で鯔をしていて、
鯖の面倒を見てらっしゃる先輩方に聞きに行く事になりますねぇ

# すぐに思いつく人はあの方ですが

● ◆SUAMA.Cbav5m · 2009/09/04(金) 00:16:21

>>441
ですよねー。

# どうやって連絡を取ろうかと4時間くらい考えていたらしい。
# ・見ていそうなスレに書いてみる
# ・ぐるぐるnewsplus.jpなアドレスに送ってみる
# ・beメを送ってみる
# ・テレパシー

♪ ◆/y.Ychk2JQ · 2009/09/04(金) 00:22:51

>>437
詳しくどうも。

可能なら現状のサーバセッティングの情報もあったほうが外部の人にわかりやすい気がします。

＞# さあて、本当に書いてよかったのかな？
＞# ▲も覚悟でｋｗｓｋ書置き
個人的な見解ですが、、、
“書いちゃだめ”な脆弱性を残したままの設定であるほうが問題だと思います。
（応答がないのは実際には対策済みで危惧することではないからじゃないかなぁと思ってます）
対策済みであるなら、買い手も問題ではないですしね。

逆に脆弱性が残っていたとして、それはいずれ攻撃者にばれてしまうでしょうし対策を講じず放置しておくことの方が問題でもあるんじゃないかなと。
それだったら、情報開示して有識者の意見を聞いたほうが面白いと思います。。。

◆NAO/2MXDEk · 2009/09/04(金) 00:23:44

てれぱしー、つかえたらいいのにー

# 現実的なところだと、特化スレやら雪だるま辺りで質問か、メールですかね

◆NAO/2MXDEk · 2009/09/04(金) 00:24:43

>>443
>“書いちゃだめ”な脆弱性を残したままの設定であるほうが問題だと思います

まあ、それもですが、それだけでもなかったりな、私の深読みだったり

● ◆SUAMA.Cbav5m · 2009/09/04(金) 00:29:43

とりあえず、

1) おんなじ感じだよ♪
1-a) 対処してるよ♪
1-b) スルーしてるよ♪

2) そんなの見たことないよ♪

のどれかなはずだから、聞いてみたほうがいいのかも。

◆NAO/2MXDEk · 2009/09/04(金) 00:49:28

>>446
ですねぇ。
そちらの方は、おまかせしますた

**動け動けウゴウゴ２ちゃんねる** · 2009/09/04(金) 01:08:28

root居ないの？

**動け動けウゴウゴ２ちゃんねる** · 2009/09/04(金) 01:15:43

ごめん。root★居ないかな？

**動け動けウゴウゴ２ちゃんねる** · 2009/09/04(金) 01:26:03

技術者居ないならどうもありがとうございました。

● ◆SUAMA.Cbav5m **＠SUAMA ★** · 2009/09/04(金) 22:23:43

メール書き書き。
内容が纏まらない。

● ◆SUAMA.Cbav5m **＠SUAMA ★** · 2009/09/04(金) 22:46:51

めるしてみたです。

rootさんへ:
"つるのこもち＠わいびーびー.えぬいー.じぇいぴー"なアドレスから
メールが行ってると思います。
よろしくお願いします。

幸せサーバープロジェクト 「アイデア・技術のある人募集中」★4

幸せサーバープロジェクト　「アイデア・技術のある人募集中」★4