WebHint

htmlの書き方やCGIの作り方は別のページにまかせるとしてここでは あまり知られていないことについて単発コラム風に集めています。

経路について

よくお客さんから「パソコンからサーバーまでの経路」についての問い合わせが来るので、わかりやすい説明を書いてみました。ぜひご覧ください。

経路について(図解入りです。)


アタックのニュース

t-dialin.netのPPPユーザがいろいろなところに侵入をしようとしています。実際に3つのサイトに侵入に成功してサーバーをめちゃめちゃにされました。

TCPWrapperで防御しましょう

最近のUNIXはデフォルトTCPWrapperの機能がついていますので積極的に利用しましょう。
侵入を防ぐには /etc/hosts.allowがあったら(なかったらこの機能をつけるか新しいOSにバージョンアップ)
ALL : .dip.t-dialin.net : deny
ALL : ALL : allow
のようにするとよろしいでしょう。もちろんこうするとここからダイアルアップしている人がつなぎに来たときには拒絶されますので知人などがいましたらやらないでください。t-dialin.netはドイツ最大のプロバイダですから。

いろいろなところで問題になっているようですね。
http://www.health.ufl.edu/wss/mail-archives/unix-sec/2000/07/msg00002.html
http://www.mail-archive.com/cobalt-users@list.cobalt.com/msg15866.html

これらのニュースで参考としてあげている/etc/hosts.allowの例です。(私の設定も一部まぜています)
ALL: 217.0.0.0 - 217.255.255.255   : deny
ALL: 217.0.92.146 : deny
ALL: .dip.t-dialin.net : deny
ALL: .T-ONLINE.DE     : deny
ALL: .t-dialin.net    : deny
ALL: .viaginterkom.de   : deny
ALL: 62.158.206.181  : deny
ALL: 62.224.15.14    : deny
ALL: 62.156.0.0 - 62.156.63.255 : deny
ALL: 62.180.197.54  : deny
ALL: 62.226.229.107 : deny
ALL: f-54-197.cvx-dusseldorf.ipdial.viaginterkom.de : deny
ALL: p3EE2E56B.dip.t-dialin.net : deny
ALL: 62.225.192.0 - 62.227.255.255   : deny
ALL: 193.158.0.1 - 193.159.158.255 : deny
ALL: 209.164.192.0 - 209.164.223.255 : deny
ALL: 210.0.0.0 - 211.255.255.255 : deny
ALL: 217.1.32.220    : deny
ALL: 217.4.0.154    : deny
ALL: 217.0.0.0 - 217.5.127.255 : deny
ALL : club-internet.fr : deny
ALL : .ympatico.ca : deny
ALL : .mindspring.com : deny
ALL : arel-control.com : deny
ALL : 217.0.46. : deny
ALL : 217.1.144. : deny
ALL : 213.44.207. : deny
ALL : 217.80.90. : deny
FTP/Telnetで繋ぐのは日本からだけだという場合にはこう設定しても問題はないでしょう。 217.0.0.0 - 217.255.255.255 とはとてつもなく大きいブロックなので本当に運用するときには気をつけてください。過去に侵入された人は腹立ちまぎれにやるといいかもしれないですね。
もちろん何が起こっても無保証です ;-)

本来は指定されたところ以外の接続をしないという以下のような設定のほうが安全ですがレンタルサーバーやダイアルアップからつなぎにくる場合にはなかなか設定がむずかしいところです。

特定のところしか許可しない例は
ALL : .bikkuri.tv : allow
ALL : .hart.co.jp : allow
ALL : ALL : deny
などとします。

Hybrisウイルスが大蔓延

インターネットをやろうとダイアルアップでつないで見たら何もしていないのにモデムのランプが点滅してデータのやりとりがされているようだ、と思ったらあなたのWidowsマシンはウイルスに侵されているかもしれません。あなたは過去に、差し出し人が空のメールを受信して添付ファイルを実行してみたことはないですか?

Hybrisウイルスがすごい勢いで広がっているようです。当社には平均して1日1件くらい到着しています。Windowsの実行ファイルとしてメールに添付されてくるので差し出し人が空白( From: が空白 )のメールに実行ファイルが添付されていたら絶対に開かないでください。

リンク:新種ウイルス「W32/Hybris」に関する情報

送った人は送ったことすら気がつていないので注意をするにしても非難はしないようにしましょう。PPPでつないでいた場合メール自体から誰が送ったかを割り出すことはできませんがプロバイダのログを調べて接続していた人を割り出し注意することはできます。この例ではas01-ppp100.kobe.sannet.ne.jpから発信されています。
専用線でつないでいる人が発信したのであれば少なくともその組織に属している人が発信したわけですからその組織の管理者に連絡すれば注意することはできます。

発信人の使っているパソコンが日本語Windowsであるとここで説明したような内容になりますが、英語Windowsやフランス語Windowsなどであった場合別の形態をとります。詳細は上記リンクをご覧ください。

ログのデータが変だ

アクセスログを整理してみると index.html/lovelove/tokyo/aheahe.htmlなどと存在しないディレクトリやファイルへのアクセスが記録されていることがあります。ここはなぜそうなるかどうしたら防げるかについての説明です。

CGIでメールのサブジェクトが変だ

perlなどのCGIから日本語タイトルのメールを出すとおかしな文字となってしまいます。 フォームメールの漢字サブジェクト変換をご覧ください。

迷惑メールが多いな

最近迷惑メール(SPAM)が多くていやになっちゃいますね。 ここにはメールサーバーの設定方法の説明があります。サーバー管理者向き。

OutlookExpressのメール

OutlookExpressのメールは無料で機能が高いのですがちゃんと使わないと迷惑を かけることがあります。 ここにはその設定方法の説明があります。

ブラックリストに載っていませんか

あなたのメールサーバーはブラックリストに載っていませんか? ここにアドレスを入れるとブラックリストにのっているかを判定できます。なぜ載ったかについては 「迷惑メールが多いな」をご覧ください。

ポートスキャン

最近減りましたがまだまだポートスキャンというアタック(の前準備)があります。

smurf攻撃

ルーターの弱点をついた攻撃です。この攻撃から身を守るには。
Hart On the Web