Tsukiji Systems
RSS1.0
トップ «前の日記(2009-01-30(金)) 最新 次の日記(2009-02-01(日))» 編集

googleで
サイト内検索
このブログ
を検索!   help

巻き戻し中。
2009年
1月
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

2009-01-31(土) 備忘録 [長年日記]

_ 最近

ここも鯖缶*1の備忘録になってきてるな。

まぁ、次に何かやるときには大抵忘れているわけで、こういうデータベースが残っていると自分で嬉しい。

ちゃんと検索できるし。

てなわけで、今日も遠隔からボツボツと細かい仕上げ。

来週以降は長期出張になろうが基本は自律運転。

最悪は遠隔からシリアルコンソールで突入可能と。。。

*1 システム管理w

_ PC シリアル

コンソールってば、9600bpsじゃ遅すぐる。。。

両方使えるように「-Dh」で起動しているから、rcスクリプトは必ずシリアルコンソールにメッセージが出ちゃう。

ipfwを数百行も読み込むと、文字が流れるのをスクリプトが待ってしまう。

それだけで2分ぐらい。。

仕方がないので自動防御機能が蓄積したブラックリストや固定の「お断り」な国のリストは、それぞれshellに書き出してrc.localから呼び出し。

実行時は「>/dev/null 2>&1」で表示しなくした。

これで起動が随分速くなったぞ。

しかし、ttyをちゃんとvt100にしないと、viが化けて使い物にならない。。

_ PC SVR4

一応コンパチ入れてたけど、このところ使っていなかった。

久々にkernelでリンク掛けてみたらBOINCがバタバタと死亡。

あそ、メモリ割り付け辺りでよろしくないんだろうねぇ。

特に使ってないし、さっさとSVR4は外しましたわ。

_ PC ログ

namedの設定やらログやら監視してたら、会社鯖のログ吐いてない。

あぁ、Bind8から設定変えてなかったわ。

ちゃんとlogの設定をおいら鯖から移植したが出てこない。

何だぁ?と思ったら「/*」「*/」でコメントアウトしている中に追加していた。

もうね、紛らわしいからこれ禁止にしたい。

行頭に「//」だけにしようよ。。。

_ PC ツール

また作成。

ログ見ていたらDNS向けDDoSが結構来てる。

「31-Jan-2009 22:09:52.806 security: info: client 168.75.65.203#52090: query (cache) './NS/IN' denied」

こんなやつ。

おかげでファイルがすぐにturnoverしちゃう。

仕方がないので気が向いたらルーターで止めてもらうとして、その警告と情報を自動検出にした。

これで引数を通知先のメールアドレスにしてcronに10分ごとで仕掛ける。

トータルが10分前よりも増えていて、20回越えていればメールが飛ぶ。

本当は自動でipfwに追加しても良いんだけど、どの程度来るのか見てからにしようと思う。

【DNS攻撃検知ツール】

#!/bin/sh
GREPPATH="/usr/bin/grep"
AWKPATH="/usr/bin/awk"
SORTPATH="/usr/bin/sort"
MAIL="/usr/bin/mail"
CATPATH="/bin/cat"
DIFFPATH="/usr/bin/diff"
 
LOGNAME="/var/log/named.log"
SUMMARY="/var/tmp/dns_attack_cnount"
MSG_BODY="/var/tmp/dns_attack_msg"
MAILBODY="/var/tmp/dns_attack_mail"
 
THRESHOLD="20"
MAILTO=`echo $1`
 
if [ "$1" = "" ];then
        echo "Usage: dns_attack.sh [valid mail address]"
        exit 1
fi
 
/usr/bin/touch $SUMMARY
/bin/mv $SUMMARY $SUMMARY.prev
 
$GREPPATH security $LOGNAME | $GREPPATH denied | $AWKPATH '{print $6}' | $AWKPATH -F# '{print $1}' \
        | $SORTPATH -u | $AWKPATH -v LOG=$LOGNAME '{system("echo -n "$1": ;grep -c "$1" "LOG)}' >$SUMMARY
 
$DIFFPATH $SUMMARY $SUMMARY.prev >/dev/null 2>&1
if [ "$?" != "0" ];then
        $AWKPATH -v TH=$THRESHOLD -F: '{ if ($2 > TH) print $0}' $SUMMARY >$MSG_BODY
        $GREPPATH ":" $MSG_BODY >/dev/null 2>&1
        if [ "$?" = "0" ];then
                echo -n `hostname -s` > $MAILBODY
                echo " had detected DNS DDos attack from below" >> $MAILBODY
                $CATPATH $MSG_BODY >> $MAILBODY
                $MAIL -s "DNS DDos attack detected" $MAILTO < $MAILBODY
        fi
fi
exit 0
[ツッコミを入れる]

過去の写真!
良い感じに付いた(・∀・) 削るぜ! オリジナル(すり減ってる) バンジョーはあるんだがw
アクセスカウンター!
累計:
本日:
昨日:
最近のツッコミ

Generated by tDiary version 5.2.4
Powered by Ruby version 3.2.3-p157 with ruby-fcgi-ng