アミクッスコム」カテゴリーアーカイブ

アミックスからの手紙

封書の表に重要と赤い判が押された手紙が届きました。
>海外からの不正な掲示板への連続投稿について
と題された手紙で私の設置したcgiを使い連続投稿が行われたので、
cgiを停止(パーミッシンを0にしてありました。)したとの連絡でした。

このcgiは、ホームページデザイナーの講座の課題として作成したページをアミックスにアップロードした物でした。
使用していたものでも無いので該当cgiは、削除しました。
攻撃のIPは、ロシアからのものと手紙に記載が有りましたが、
掲示板は日本語で、トップページにリンクが有る訳でも無いのによく利用出来た物だと思いました。

この時のログをダウンロードして、自宅のサーバで動作させた画像です。

ギガパック

料金が安くなるとの事で、メガパック100からギガパックに契約を変更しました。
ルータ(BHR-4GRV2)とハブ(GS105v5)をギガビット対応の物を購入して更新しました。
料金が安くなった分の1年分くらいで購入出来ました。安くなったものですね。
ケーブルは、CAT5e,6を使っていたのでCAT4を使っていた部分と交換しただけで済みました。
ルータは、同じメーカなので設定を変更しなくても大丈夫だと思いましたがいろいろ作業が必要でした。
IPアドレスが192.168.11.1から192.168.12.1になっていたので
192.168.11.1に変更し固定IPの設定を移行しました。
syslogの転送も変更になっていました。

sudo tcpdump -X port 514
17:49:30.307146 IP .syslog > 192.168.11.4.syslog: SYSLOG local0.info, length: 45
	0x0000:  4500 0049 2c36 0000 4011 b718 c0a8 0b01  E..I,6..@.......
	0x0010:  c0a8 0b04 0202 0202 0035 e069 3c31 3334  .........5.i<134
	0x0020:  3e20 4242 522d 3448 475b 3338 365d 3a31  >.BBR-4HG[386]:1
	0x0030:  3932 2e31 3638 2e31 312e 3420 6c6f 6769  92.168.11.4.logi
	0x0040:  6e20 7375 6363 6573 73a1 3554 43         n.success.5TC

13:10:07.000277 IP 192.168.11.1.58658 > 192.168.11.5.syslog: SYSLOG user.info, length: 72
	0x0000:  4500 0064 0000 4000 4011 a332 c0a8 0b01  E..d..@.@..2....
	0x0010:  c0a8 0b05 e522 0202 0050 922b 3c31 343e  ....."...P.+<14>
	0x0020:  4665 6220 3232 2031 333a 3130 3a30 3620  Feb.22.13:10:06.
	0x0030:  7379 736c 6f67 3a20 5b41 5554 4820 4164  syslog:.[AUTH.Ad
	0x0040:  6d69 6e20 6c6f 6769 6e20 6672 6f6d 2073  min.login.from.s
	0x0050:  6f75                                     ou

< と >で囲まれた中の数字を「8」で割ります
134/8=16.75
14/8=1.75
小数点以下はとりあえず置いといて「16,1」という数字がファシリティになります。
1 user-level messages
16 local use 0 (local0)

ファシリティが変わっているので
/etc/syslog.conf
/etc/newsyslog.conf
を変更して、syslogdを再起動し無事ログがとれるようになりました。

ログを見ると外部からpingが来ていました。
Mar 3 12:51:38 192.168.11.1 : [778872.050000] [FIREWALL Block Ping from Internet from 23.210.202.72:n/a to 123.103.136.90:n/a (eth0)]
Mar 3 12:51:46 192.168.11.1 : [778880.060000] [FIREWALL Block Ping from Internet from 104.74.70.46:n/a to 123.103.136.90:n/a (eth0)]
Mar 3 12:51:46 192.168.11.1 : [778880.280000] [FIREWALL Block Ping from Internet from 23.32.3.159:n/a to 123.103.136.90:n/a (eth0)]

ping以外にも
Mar 2 03:28:06 192.168.11.1 : [658659.330000] [FIREWALL Reject IDENT requests from 107.170.255.71:47884 to 123.103.136.90:113 (eth0)]
も有りました。

http://netspeed5beta.studio-radish.com/index.html
の測定で、通信速度も700Mbps以上出ていました。

jcode.pl

ほとんど手を付けていなかったhttp://iso.enat.jp/を修正しました。
ブログのurlが変更になったのを修正しました。
掲示板が動作しなくなっていました。
ローカルにダウンロードして確認したところ

[iso-ena/cgi-bin/bbs1]/usr/bin/perl -v
This is perl, v5.8.8 built for darwin-thread-multi-2level
こちらは動きました。
[iso-ena/cgi-bin/bbs1]perl -v
This is perl 5, version 24, subversion 1 (v5.24.1) built for darwin-thread-multi-2level
こちらはエラーになります。
perl ./aska.cgi | nkf -w
Can’t use ‘defined(%hash)’ (Maybe you should just omit the defined()?) at ./jcode.pl line 693.

以下の修正で動くようになりました。

[iso-ena/cgi-bin/bbs1]diff jcode.pl-2.13 jcode.pl
684c684
<     &init_z2h_euc unless defined %z2h_euc;
---
>     &init_z2h_euc unless %z2h_euc;
693c693
<     &init_z2h_sjis unless defined %z2h_sjis;
---
>     &init_z2h_sjis unless %z2h_sjis;

SPAM対策

ダッシュボード
設定、ディスカッション設定のコメントブラックリストにIPアドレスを列挙します。

ツール、インポートを選択して 
“必要なインポートツールが表示されていない場合は、プラグインディレクトリを検索してインポートツールがあるかどうかチェックしてみてください。”
の”プラグインディレクトリ”をクリックして、
spamで プラグインの検索を実行します。
好きなプラグインを選択して、”いますぐインストール”をクリックでインストールできます。
Spam protection FireWall, AntiSpam by CleanTalk
をインストールしてみました。

ブログの管理画面を開くとエラー

ブログの管理画面を開くとエラーが表示されるようになってしまいました。

Dashboard

ERROR: The themes directory is either empty or doesn’t exist. Please check your installation.
You are using WordPress 3.6.

こんなメッセージを出されてもタダのユーザでは何も出来ないので、
web経由でアミックスコムに問い合わせ中です。
相変わらず確認の電話をかけてきます。
電話を受ける側の都合とかを考えないのでしょうか?
電話で話さなければならない内容でしょうか?
私にはどちらもNoだと思えます。

問い合わせの受け付けメールが6:40
電話が10:21

いい加減WordPressのバージョンを上げてくれると良いのですが多分ダメなんでしょうね。

Postは出来るけど、ブログのアドレスからだと見えないようです。17:15

4月のトラブルの時も思いましたが、アミックスコムには自社のブログを使っている人はいないのでしょうか?
アミックスコムのwebページには、
2017年6月21日アミックスコムけーぶるGiRLS米須未来ブログ更新しました
このリンクをたどるとameblo.jpのブログページになります。
そもそもこのページ個人のページですよね。
アミックスコムのお知らせ乗せるのはおかしくないですか?
アミックスコムの公式の物なら自社のブログシステムを使うのが本当だと思います。
使い勝手等のフィードバックがかかって改善が期待出来るのでは思います。

今朝管理画面を開いたのはスパムを処理するためだったのですが、
1件もコメントが無かったのは、私のページにそもそもアクセス出来なかったのですね。

amitools契約自動更新されたばかりだから来年は契約の更新を考えないといけないですね。

7/5 5:00 エラーが出なくなっている事を確認
コメントをみると”2017年7月5日 00:27 に投稿”があるので、この時点では回復していたようです。

7/5 19:18 メールが有りました。
>お客様のWordPress領域内にあるwp-content/フォルダが消えていた為、
>初期の状態に戻して復旧いたしました。
だそうです。

7/6
メディアファイルが無くなっているようです。メディアで見るとメタ情報は残っています。
画像のリンクが
http://enat.jp/iso/wp-content/uploads/2017/06/170604-300×257.png
になっているので、wp-contentフォルダが無くなってみんな消えたようです。
バックアップとっていないので(方法が提供されていない?)どうしましょうか?
改めてメディアにアップロードするとフォルダ名に月が入るのでurlが変わってしまい、
使っているページの修正が必要になってしまいます。
リンクを張ってくれている人もいたので修正しないといけないとは思うのですが
最低画像ファイルは諦めてソースのzipファイルだけでも回復させる事を考えてみます。
wp-contentフォルダが消えた理由が説明されていないのでメディアにアップロードは不安なので方法を考えてみます。

この件をメールで問い合わせたところ返事が来ました。
>wp-content/の削除はお客様の操作に起因するものではなく脆弱性を海外のIPから攻撃された結果であると判明しました。
>現時点では該当のプログラムは修正済みですが、弊社側でwp-content/ 以下を復活することができませんでした。
>ブログ中にメディアライブラリのアイテムへのリンクがある場合も同様にリンク切れの状態になりますので、
>メディアライブラリへファイルの再登録と記事のリンク箇所の修正をしていただく必要があります。

「ami:tool障害のお知らせ」について

4/3にwebページに表題のお知らせが出ましたが、その経緯です。
自動返信メール
件名: お問い合わせを受付しました
日時: 2017年4月2日 9:48:40:JST
お問い合わせ項目 ami:tool
お問い合わせの内容
ブログが昨日の夕方位から回覧も修正も出来ません。自分以外のページも回覧できません。
いつ頃回復するのでしょうか?

4/2 17:31 TEL 障害を確認して対応中であることの連絡
4/3 13:24 TEL 復旧したことの報告

4/1 10:xx ブログのコメントのメールが有るのを確認しています。
問い合わせでは夕方としていますが4/1の午後の早い時点で障害が発生していたようです。

ブログの動作は、チェックされてなくてユーザの問い合わせで障害に気づくという状態は問題があると思います。
TELでの連絡でなくmailで報告して欲しいと思います。