Tsukiji Systems
RSS1.0
トップ 最新 追記

googleで
サイト内検索
このブログ
を検索!   help

巻き戻し中。
2010年
1月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

2010-01-29(金) 追い込み [長年日記] この日を編集

_ PC ネタ調査

某巨大掲示板で、リアルタイムに変化を見ていたりする。。。

102 :45:2010/01/29(金) 19:42:06 
>> >>94 
沖○情報 
ジェイ・●●・メタル 
漢方 コ●●シ薬局 
以上whoisよりめるぽしました。 
 
> > 崩壊中 
ひょっとして管理者とクラッカーの上書き合戦だったりして。。。

_ 噴いたw

改ざんVS上書き復旧て・・・おい!

その前にftpパス変更したりサイト停止したりしろよw

_ テスト

ちょっと不具合確認用にダミーの文書ファイル作成。

他の人が確認に使えるように送ってあげたのだが、「メーカに確認するのに送れませんw」と来た。

さすがに内容が「ちょwwwwwwなんぷらーw」じゃまずいわな。

だから、社内のテスト用だってばw

送る前に気付いて良かったね!*1

*1 あぁ、以前にも「にょろ〜ん」ってメールで困らせたかも、さーせん、さーせんw

_ 飲み 今日は今日とて

飲んだわけですが。。。。(゜Д゜ )ナニカ?その格好で一升瓶持ってるおにゃのこも素敵ではあるw

いやね、先行した人に聞いた場所に行ったら看板がこれって・・・・

実は入り口違いだったのだけど、ネタなのか、おいらが釣られているのか心配だったりした。。。

[ツッコミを入れる]

2010-01-28(木) こりゃ? [長年日記] この日を編集

_ 飲み 予定通り

ですた。

最後は3人で終電近かったけど。

_ 資料

そろそろ目鼻が付いたけど、正直誰が話してもこんなオチにしかならないって所が辛い。

え?何かって?

わしの名前でggrks。。。orz

[ツッコミを入れる]

2010-01-27(水) やっと [長年日記] この日を編集

_ 懸案の

資料まとめに入ったら、トラブル対応で日中動けず。

瞬発力な対応の仕事も好きなんだが、今は勘弁してくだしぁw

資料使うのは来週月曜。

明日の朝には目鼻が付きそうなところまで追い上げた。

_ PC UDP

全く別の案件だが、偶然にも内部のActiveDireatoryがらみと外部のDNSでUDP故の問題に当たったぽい。

アプリケーション側でフォローがなければ、廃棄やフラグメントで順番狂うとアウト。(´Д`)

そりゃそうだ。

特に外部は経路上のどこでポイされたか後から知ったり再現するの難しす。

(´-ω-`)

[ツッコミを入れる]

2010-01-26(火) おっと [長年日記] この日を編集

_ 飲み あぶねぇ

先週、二日酔いの原因になったメンバーと。

さすがに今日は慎重だぜw

しかし、木曜日も飲みが決定してるから明日こそ普通に帰らないと。*1

*1 毎回言っている希ガス

[ツッコミを入れる]

2010-01-25(月) 今週も [長年日記] この日を編集

_ 月曜日から

飛ばしすぎ。

結構疲れた上に、自分の資料*1作成進まず。

あー、現実逃避してーw

*1 かなり無茶振りされたプレゼン

[ツッコミを入れる]

2010-01-24(日) 鯖で [長年日記] この日を編集

_ PC 試しに

mod_securityでちょろっと拡散防止の保険と、一部対策。

「SecResponseBodyAccess On」にして、以下のルールを作成してinclude。*1

読み込む順番は、先の方が良いね。

後ろの方だとエラーになったり挙動が変わる。

POSTされてくる内容やファイル、Referrerも一応確認。

手口は内部からftpアカウント盗んでだから、まともに外から来る可能性は低いが念のため406。

RESPONSE_BODYも見ているので、万一変なファイル置かれても、他人様が読んじゃう前に415で止める。

まぁ、こんな感じ。。。(「/*C●DE1*/」を含むhtmlファイルを置いてみた)

でもなぁ、ftpアカウント取られた時点でこの程度のルールぐらい書き換えられちゃってもおかしくないよね。。。

「気は心」程度かな。

*1 例によって自爆しないよう、「*」を全角にしてるお(^ω^)

SecRule REQUEST_HEADERS|ARGS "/\*L●PL\*/"\
 "status:406,phase:2,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
SecRule RESPONSE_BODY "/\*L●PL\*/"\
 "status:415,phase:4,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
 
SecRule REQUEST_HEADERS|ARGS "/\*CO●E1\*/"\
 "status:406,phase:2,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
SecRule RESPONSE_BODY "/\*CO●E1\*/"\
 "status:415,phase:4,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
 
SecRule REQUEST_HEADERS|ARGS "/\*G●U GPL\*/"\
 "status:406,phase:2,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
SecRule RESPONSE_BODY "/\*G●U GPL\*/"\
 "status:415,phase:4,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
 
SecRule REQUEST_HEADERS|ARGS "/\*Ex●eption\*/"\
 "status:406,phase:2,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"
SecRule RESPONSE_BODY "/\*Ex●eption\*/"\
 "status:415,phase:4,t:none,log,deny,msg:'It includes suspicious keyword such as Gumblar',severity:2"

_ PC RESPONSE_BODY

そう言えば、この項目がなかなかフィルタされずに半日悩んだ。

RESPONSE_BODYの項目を読むと「SecResponseBodyAccess On」と「MIMEタイプ設定*1してね」ぐらいしかマニュアルに書いていないのだが、SecResponseBodyAccessには、



Dependencies/Notes:


This directive is required if you plan to inspect HTML responses.


This directive must be used along with the "phase:4"


processing phase action and RESPONSE_BODY variable/location.


If any of these 3 parts are not configured,


you will not be able to inspect the response bodies.

だと。

いや、ずっとphase:2でやっていて悩んでしまった。

ちなみにマニュアルのを見ると、本来「REQUEST_HEADERS」はPhase1っぽいが他の例を見てもPhase2になってる。

結局Phase2とPhase4で分けてみた。*2

ふーん( ´_ゝ`)

*1 「SecResponseBodyMimeType (null) text/html text/plain text/xml」してみた

*2 全部Phase4で一行にしてもちゃんと動くんだけど、それぞれ最適な場所で処理する方が良い気がするので

[ツッコミを入れる]

2010-01-23(土) 詐称 [長年日記] この日を編集

_ PC spam

このところSpamAssassinとClamAVでほぼ誤検知無しな環境な訳だが、思い出したように[spam]マーク付けたヤツをチェック。

ふむふむ、、、、

ヘッダを見たら「onvt.com (localhost [123.22.185.181] (may be forged)) by・・」だと。

涙ぐましく「localhost」に詐称しとるわと思ったら、「onvt.com」も偽装。



Daemon5# nslookup 123.22.185.181


Server:  Daemon5.uekusa-com.com


Address:  0.0.0.0


Name:    localhost


Address:  123.22.185.181

しかし、nslookupで「localhost」返してくるとはwwww

ちなみにwhoisしてみたがこいつはダミー



Domain Name: ONVT.COM


Administrative Contact:


Rae, Kathryn kathy@raemedia.com


Winfield


Lake Country, BC V4V 1Y3


CA


766-2500

で、IPでwhoisしたヴェトナムのこいつ!



inetnum:      123.22.0.0 - 123.22.255.255


netname:      VNPTinfrastructure-NET


country:      vn


descr:        Vietnam Posts and Telecommunications(VNPT)


admin-c:      NXC1-AP


tech-c:       KNH1-AP


status:       ASSIGNED NON-PORTABLE


changed:      hm-changed@vnnic.net.vn20081016 20081016


mnt-by:       MAINT-VN-VNPT


source:       APNIC

123.16/12*1って結構広大だな。

ちなみに123.16-123.31の間はどこを逆引きしても「localhost」ってspamウハウハ仕様です((´^ω^))ゥ,、ゥ,、

まぁ、一生ヴェトナムには用事がないので丸ごとバッサリでした。

つーか、( ゜Д゜)<氏ね!

*1 123.16.0.0 - 123.31.255.255

[ツッコミを入れる]

2010-01-22(金) 一応 [長年日記] この日を編集

_ 胃ガメラ?

午前中に無事完了。

相変わらず苦手だ。

「うぇっwwww」じゃなくて「うぇっおぇっ」って感じで。

もうね、メガネ外してるし涙目で、「ほら見える?」とか言われてもそれどころじゃねぇよ。

結果は「あー、キレイに治ってるねぇ」だそうで。

原因ねぇ。。。仕事も酒も大して変わっておらんですよ。

(´-ω-`)

[ツッコミを入れる]

2010-01-21(木) がんばる [長年日記] この日を編集

_ PC 今流行の

がんぷら*1じゃなくてGumblar。

総当たりで「ぁゃιぃ埋め込まれたIFRAME/SCRIPT」を検索するソフト発見(*゜Д゜) ムホムホ 。

一昨日から試してみようと思っていたのだが、忘れていた。

で、ローカルのネットワークからおいら鯖にスキャン掛けると若干取りこぼすので、待ち時間を入れる方が良いみたい。

パターンの追加変更も出来るし、動的ページもとことん追いかけてくれるので便利。

でも、cgiのパターンもリンクがあれば全部叩くだけに激しく時間と負荷がかかる。

まぁ、動的ページに埋め込まれていないという保証もないわけで、安全サイドから考えたら仕方が無いか。。。。

*1 いや、そりゃケロロ軍曹が大好きなヤツw

[ツッコミを入れる]

2010-01-20(水) 激しく? [長年日記] この日を編集

_ 飲み 連チャン

いやいや、大丈夫か?わしw

昨日はかなりチャンポンで、今日の昼まで頭痛。*1

今日も飲み会で迎え酒。*2

あー、明日こそ普通に帰らないと、金曜日は胃ガメラだw

*1 ここまで辛いの久しぶりだ

*2 それでも夕方には飲みたくなるんだからバカだな、オレ

[ツッコミを入れる]

過去の写真!
良い感じに付いた(・∀・) 削るぜ! オリジナル(すり減ってる) バンジョーはあるんだがw
アクセスカウンター!
累計:
本日:
昨日:
最近のツッコミ

Generated by tDiary version 5.3.0
Powered by Ruby version 3.2.4-p170 with ruby-fcgi-ng