このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

ログの解析

発言者:analog
( Date Tuesday, February 13, 2001 22:57:02 )


Webログの解析をする時に、domain名では無くて、X.Y.W.ZというIPアドレスが
記録されていると、これは何処から来たかと思います。JPNIC等で調べれば分かるのですが、
これをプログラムから(gethostbyaddrの様に)行う方法はないでしょうか?
何方か、お知恵拝借!

田中求之 さんからのコメント
( Friday, February 16, 2001 11:49:18 )

通常はホスト名で記録されるようにしていますか( Web サーバに逆引を行わせ
ている)?

普段は IP アドレスで記録されるようにしてあって、これをまとめて逆引
して、アクセスの状況を調べたいということでしたら、まさに analog に
そういう機能がありますが…

たまちゃん さんからのコメント
( Friday, February 16, 2001 11:54:06 )

>analog

で思い出しましたが,Analog にセキュリティホールが見つかった
ので,問題のないバージョンを使ってほしいという著者のコメント
があります。

→  Analog: Security warning

analog さんからのコメント
( Tuesday, February 27, 2001 22:22:18 )

田中先生。御回答ありがとうございます。

逆引きは分かりますが、それですべて解消出来ますか?
whoisで、そのセグメントが分かれば、CountryCodeは分かるのですが。

竹内 さんからのコメント
( Wednesday, February 28, 2001 14:04:13 )

田中先生じゃなくてすみません。
どのあたりを疑問に思われているのかがわかりかねますが、
Analogの場合ですと、analog.cfgに以下の2行を付け加えるだけです。

DNSFILE dnsfile.txt
DNS WRITE

analog さんからのコメント
( Wednesday, February 28, 2001 21:54:40 )

竹内様

御回答感謝しております。皆様に取っては常識なのか、余りレスいただけない所、ありがとうございます。
具体的に言います。202.104.200.10がログに記録されました。しかし、これをgethostbynameで引いても
domain nameは得られません。しかし、202.104.0.0 - 202.104.255.255が CHINANET Guangdong province network2で
、cnである事はwhoisで分かります。これをプログラムでやりたいのです。

田中求之 さんからのコメント
( Wednesday, February 28, 2001 22:13:36 )

>しかし、202.104.0.0 - 202.104.255.255が CHINANET Guangdong province network2で
>、cnである事はwhoisで分かります。これをプログラムでやりたいのです。

なるほど、単なる逆引ではなく、逆引できなかったホストの場合は、そのホストが
属するドメインを割り出したいということなんですね。

Analog ではできませんし、これを自動的に行うプログラムは、私は知りません。

また、単純に Class C の範囲でドメインをサーチすればよいというわけには
いきませんので(なにせ Class C を分割したドメインが主流とすら言える状況
ですので)、これを自動的に行うのは難しいのではないかとおもいます。

竹内 さんからのコメント
( Thursday, March 01, 2001 02:53:26 )

ああなるほど、もう1段階先の話をされていたのですね。
失礼いたしました。

「ある1ページに対するログ」という事であれば、CGI書きまくって無理やり実現することも
出来なくはないのかもしれませんが、きっと現実的ではないですよね。

#...もしかして、HUCのご訪問ですか?
#お察しいたします。

今泉克美 さんからのコメント
( Thursday, March 01, 2001 10:08:31 )

HUC...以下、プロバイダからもらった情報です。
2月初頭からの、改竄騒動に関するものでしょうか。

−−引用開始−−
H.U.C.(Honker Union of China)が日本に対して
 2 月 16 日に犯行声明を出しました。 当初の内容
では 1 週間の期限付だったのですが、 その後「三
菱パジェロリコール隠し問題」、「教科書問題」が
絡み現在(2/28)も続いています。 また最近の掲示
板では、中国女子留学生の惨殺事件や、 森総理の「
毛沢東」騒動も批判対象として上がっているようで、
 当分収束の見込はありません。 H.U.C. 自体はそれ
程技術力が高いと思えませんが、 Lion というハン
ドル名の首謀者はレベルが高いようで、 オリジナル
クラッキングツールの開発も含み、かなり活発な活
動をしています。 今回の一連の事件も Lion が中心
となって指示しているとの情報があり、 対象は教育
機関と政府関連機関に絞られたとの未確認情報も入っ
ています。 
また H.U.C. に触発されたかのように、諸外国からも
日本を狙ったクラックが発生しており、 2/28 のレポ
ートでは国内からも模倣犯が現れた模様です。 また 
3/1 のレポートでは「財団法人」が数ヶ所クラックさ
れており、 対象を絞り込んだ攻撃に移っています。 
−−引用終了−−


analog さんからのコメント
( Thursday, March 01, 2001 22:02:33 )

やっと、真意が伝わりました。例が悪かった様です。
HUCの話まで出てしまいましたが、この話は初耳でした。

しかし、無理ですか。

Junnama さんからのコメント
( Thursday, March 01, 2001 22:43:51 )

便乗というか、本題なのかどうかわかりませんが、

> H.U.C.(Honker Union of China)が日本に対して

Lion というハンドル名で書き換えられたのを目の当たりにしました。
サーバーはNT4.0です(昨日の夜のことです)。

身近なところで起ったことで驚くというか緊張しています。

私が直接管理しているサーバーでは無いのですが、何か手がかりがあれば知りた
いのです。手口等について御存じの方がいらっしゃいましたら情報を下さいませ
んでしょうか。

ここ数日の間にLinuxマシンのネームサーバーが狙われたようですし、別の知り
合いのところにも不審なアクセスが続いている様です。
→取り急ぎ、BINDのアップデートをしました。

※Macサーバーは現在のところ安泰です。

たまちゃん さんからのコメント
( Thursday, March 01, 2001 23:08:46 )

いろいろと情報源はありますが,小島さんの以下のサイトからたど
っていくといいかもしれません。

→  .jp 集中 crack 関連

しあわせのツボ さんからのコメント
( Friday, March 02, 2001 00:04:30 )

OS Xにしたら、これらの穴と付き合っていかないといけないのですね。
ちょっと気が重いです。
# こういうのを見ると、NT系サーバだけは面倒見たくないと思います。

ルータのsyslogを見ていると、137はともかく111も減る気配がなく、
最近は8080なんかを叩いてくるものが増えてます。
他はともかく、ASIPのメールサービスを開けているので心配です。

<!--
個人的には、ひとつHUCに暴れてもらって、国会議員諸氏や
hogehogeをつくる会やらが目を覚ましてくれる方が嬉しいのですが(爆)
-->

田中求之 さんからのコメント
( Friday, March 02, 2001 00:33:45 )

>手口等について御存じの方がいらっしゃいましたら情報を下さいませ
>んでしょうか。

Microsoft の Web Server (IIS) のセキュリティ・ホールを突いたアタック
のようです。このサーバは、とにかく次々とセキュリティ・ホールが見つかって
いますので、最新の情報を毎日チェックして、パッチを必ずあてる必要が
あります。以下の Microsoft のページは必読。

→  Web コンテンツの改ざんに対する防御策についての説明

Junnama さんからのコメント
( Friday, March 02, 2001 00:46:59 )

>Microsoft の Web Server (IIS) のセキュリティ・ホールを突いたアタック

ありがとうございます。
さて、どこかに足跡は残るものなのでしょうか。

>このサーバは、とにかく次々とセキュリティ・ホールが見つかって

確かにそうなんですが、やはりサポートがどうとか保証がどうとかいってこのサ
ーバーを勧める会社が増えてきましたね。
サポートや保証のある(本当か?)メーカーのサーバー+ほったらかしの管理と、
サポートや保証の無い(自己責任!)サーバーできちんと管理者が見ているサー
バーと、どっちが安全か、考えてみればわかるでしょうに。

自己責任において使用するというのは、何かあっても責任とれないよ!というの
と同時に、あなたが責任を持つのなら使って下さいね! ということなんでしょ
うね。最近Linux+Apache+BIND+SendMailという構成でサーバーを立てているんで
すが、こちらの世界はその点ではいいですね。
責任を持ちながらこれを扱っている人が大勢いて、その人たちが安全性を高めて
いっているということを感じます。

ろばたろう さんからのコメント
( Friday, March 02, 2001 02:06:47 )

話題をそらせて申し訳ありません。

>確かにそうなんですが、やはりサポートがどうとか保証がどうとかいって

私も同様に感じます。
1年半ほど関連会社の仕事を手伝っておりました。
それは某協会の助成金を使ったアプリケーション開発で某大手電機メーカーの
持ち込み案件でした。
サーバーを立てる必要があったのですが、開発と直接関係ない
メンバー間連絡用のメールサーバーやDNSサーバー構築の養成が
私にあってあってmacと言ったら一発却下。

某メーカーは、もちろんIIS、exchange、SQLサーバーと定番のツール
でお出まし。ところがファイヤーウオールはなし。
DNSサーバーなし。
セキュリティ対策を含むバージョンアップはなし。
開発終了後は放置したまま。(高額な保守料)
OS単体でのフィルタリングは「できません」(驚愕!)

おまけに...
インターネット下の使用が前提なのにexchageにはoutlookでアクセスせよ。
postmaster@の意味が通じなかった。
dnsの定義を最後まで決定できなかった。
使用ポートの制限で何番を開け閉めするかを決定できなかった。

サポートはどうやら英語のようで解読に時間がかかっていました。

唖然としました。これでは、私も責任がとれないので
ドメインの登録担当者名から私の名前をはずしました。

どんなOS、アプリでもいいと思いますが某大手電機メーカーが
設計やサポート、危機対策においてこんな対応なら
アタックの被害が増えるのはあたりまえだとも思います。

竹内 さんからのコメント
( Friday, March 02, 2001 02:51:06 )

うう、お察しいたします...。

この会議室に来る方達でこの手の話を集めたら、
本が出来てしまうかも。
...結構売れたりして。(笑)

Junnama さんからのコメント
( Friday, March 02, 2001 03:11:31 )

>本が出来てしまうかも。
>...結構売れたりして。(笑)

本にするなら、Crackerを追い込んでスリリングな状況に展開させないと...
なんて言ってる場合でもないか?

#疲れてるのに...問題を起こしてくれるなよ...って感じです。

たまちゃん さんからのコメント
( Friday, March 02, 2001 09:47:28 )

>最近Linux+Apache+BIND+SendMailという構成でサーバーを立てているんで
>すが、こちらの世界はその点ではいいですね。

帰ってきたヨッパライではありませんが,「そんな甘いもんやおま
へんで」ですね。(^_^)

先日 BIND の大穴が見つかりましたが,Linux の distribution に
よってその対応の速さに差が出ました。いわんや sendmail につい
ては穴がずっとついてまわっていますから,四六時中神経をとがら
さないと大変です。

毎日毎日情報収集を怠らず,穴がみつかったら出来るだけ火急に対
応をとる,という点では NT であれ Linux であれかわりはないと
思います。

Mac OS X で sendmail なんて話がありますが,とんでもない話で
す(少なくとも新規にインストールするのは)。世に出回っている
「すぐ出来る!!Linux でインターネットサーバ」の類いの本は,
罪の深さでは NT,2000 のサーバと同じです。

導入が簡単で,メンテナンスも簡単だと売り込んでいる ASIP も
他人事ではありません。

今泉克美 さんからのコメント
( Friday, March 02, 2001 09:53:30 )

たまちゃん様からご紹介いただいたページを見てビックリ。
(ありがとうございます)
うちのサーバのIPが、H.U.Cの攻撃対象にのっている、、、
WebサーバはIISサーバでもないし、
DNSは信頼しているプロバイダによるLinuxサーバで
今回の情報にいち早く反応していてくれたので安心はしているのですが。

きになって、先月のアクセスログをみていたら
DNS関連などで、中国からポートスキャンされていました。
CHINANET Guangdong province network2
ではなかったですけど。まぁ踏み台をいくらでも使うでしょうから。
結構、中国の色々な学校からはいってきているのです。

Junnamaさんがおっしゃっていた
>ここ数日の間にLinuxマシンのネームサーバーが狙われたようですし、
>別の知り合いのところにも不審なアクセスが続いている様です。
がちょっと気になりますので、BIND関連の防御がどうなっているのか
念のためにプロバイダに確認をとってみることにしました。

皆様、貴重な情報ありがとうございました。

今泉克美 さんからのコメント
( Friday, March 02, 2001 10:22:21 )

以下、プロバイダとのやりとりです。

>は、私。

> 件名:「H.U.C赤い客」からのホームページ改竄の攻撃対象リストの件
> 
> 善意の警告のためのホームページ
> http://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/02-20.caution-mod1.html
> によれば
> 最近のWebサイト改竄攻撃は、
> 中国の「H.U.C赤い客」の犯行声明が出ている
> とのこと。
> 
> 同Webページにより、
> 彼ら、テロリストが発表している攻撃対象のIPアドレスのリストがわかります。
> 弊社のWebサーバのIPは、***.***.***.***ですので
> このリストに含まれています!!

はい、国内ほぼ全てのアドレスが対象になっています。

> さいわい、私どものサーバは、IISサーバでもありませんし、
> DNSサーバは、御社管理下にあるものですから、まずは
> 危険は少ないのかもしれませんが、やはり心配です。
> 
> なにかアドバイスがございましたら
> ご教示下さると幸です。

最近の傾向では H.U.C. は鳴りを潜め、代って SilverLoads とか
Newbies といわれるレベルの高いクラッカーが活躍しています。
H.U.C. も決して活動を止めたわけではないようなので注意が必要
なのは間違いありません。特に徐氏留学生殺害事件、森首相の毛
沢東発言でキレてるようですので・・・。

実際に昨日 1 日で 1,000 以上の不正アクセスパケットを記録して
います。

【今泉注;このプロバイダは大規模なものではありませんので1000というと
急に増えた感があります。2月全体で、約130サイトにて、17000件の
不正パケットを検出しているそうです。侵入元は28カ国。】

対策としては、
・運用しているサービスにセキュリティ情報が提供されていないか
  確認する。
・セキュリティパッチが上がっているようであれば至急当てる。
・ログ監視を定期的に行い、不審なものがあれば相談する。
のが地道ですが確実な手段と思われます。

あいにく弊社には MAC Expert がおりませんので、この辺りは **社
さんにご相談頂くしかないと思いますが・・・。

> また、彼らの手口がわかるような
> 資料はないものでしょうか?

色々あるにはあるのですが、彼らの本拠ですので、迂闊にアクセス
すると攻撃対象に加えられる可能性があります。あまり怪しいサイ
トへは(特に中国・デンマーク・ブラジル)アクセスされないよう
お願いします。

国内の状況については、http://people.site.ne.jp/ でクラック情
報が確認出来ます。

【今泉;以上です。】

今泉克美 さんからのコメント
( Friday, March 02, 2001 12:18:19 )

手口は不明なのですが。。。
過去1ヶ月の中国からのポートスキャンを
見ると

0/icmp.........さかんにPINGされてる。ブローブか。
79/finger......メアドを教える人いないと思うけど。
80/............http
8080/..........http-alt

が発生しておりました。

中南米からは
21/ftp
53/dns
がめだっています。

---------------------------
私どもではASIPですが
とりあえず、不急不要なPORTは
閉鎖しました。(ftpとtelnet)
このくらいしか思いつきません。

ろばたろう さんからのコメント
( Saturday, March 03, 2001 02:28:39 )

> たまちゃん様からご紹介いただいたページを見てビックリ。
私もひっくり!!。本家macメイドのネットワークがリストに載っている!!

そういえば2月において
Q950+OS7.6.1JのQDNS2.2.×が突然終了していたこと1回
PM7600+OS8.6JのEIMS2.×がOSごとフリーズしたこと1回
やたらpingが多かった(ICMPloggerのビープ音がよく鳴った)

ルーターのポートをチェックしないといけないかも。
外(自宅利用のプロバイダー)から勤務先ネットワーク宛に再チェックの
ためにポートスキャンをかけたくなってきました。

macも他人事ではいられない...。


今泉克美 さんからのコメント
( Tuesday, March 06, 2001 20:04:32 )

不用なポートを閉鎖する場合に
特定のIPアドレスのみ許可不許可する設定が
必要であるならば、サーバ側ではなく、
別の筐体のファーアーウォールで
行ったほうがはるかに堅牢であるとのことです。
ここにいらっしゃる人には自明か、、、

HTTPまわりで、スクリプト系の穴から
クライアントを通じて
サーバのADMIN権限を奪われると
サーバで設定したIPアドレスごとの設定は
あっというまに書きかえられるとのこと。
私にはちんぷんかんぷん。

ろばたろう さんからのコメント
( Wednesday, March 07, 2001 00:02:19 )

>別の筐体のファーアーウォールで
>行ったほうがはるかに堅牢であるとのことです。

確かにその通りだと思います。
しかしながら月3万程度の常時接続回線のために高額なF/Wが必要と
いうことを金銭担当者にどう説明し理解してもらうかだと思います。

もっとももっとビジネスとして直接収益を上げることができれば
理解も得やすいと思います。

皆様のところではF/Wは導入されているのでしょうか?

>特定のIPアドレスのみ許可不許可する設定
はい。これだけでは十分な防御ではないと思います。
私の場合はIPアドレスは使わない設定にしています。

石津@RJC さんからのコメント
( Wednesday, March 07, 2001 10:13:33 )

F/Wそのものが必ずしも高額なわけではありません。
例えばセキュリティホールがいっぱい発見されることでも有名なFirewall-1は
動作ハード含めて1000万円以上のシステムになることもままありますが、Zyxel
社のFirewallはローカルルータ機能込みで実売4万円程度の1Boxタイプもあります。
プロバイダのサービスとしてのシェアが高いWatchGuardはIIJなどでも月間8万円
程度でレンタル&メンテナンスが受けられます。

どれくらいの規模の製品をどのようなコンセプトで導入するかで費用は全く変
わってしまいます。

F/Wは絶対に必要なのかという点については、絶対とは言えないと思います。
サーバ単位で的確なセキュリティが保証されているならば、あえてF/W製品を導入
してセキュリティホールが発生する可能性を増やす必要もないでしょう。
法人などの場合F/Wを入れたことだけで安心してしまう傾向がありますので、返っ
てよくないこともあるんじゃないかと思うくらいです。(もっともこれは導入し
た組織のリテラシーの問題でもありますが)

必要なことは自分がInternetに対して公開しているものが、どんな状況にあるの
か、安全な設定になっているのかを常にチェックし続ける姿勢なのだと思います。

岩井@仕事場 さんからのコメント
( Saturday, March 10, 2001 16:05:09 )

以下にクラッカー集団の情報が掲載されています。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/02-20.caution.txt

こちらでは、上記団体の仕業と思われる一部詳細が書かれています。
http://ar4.easyml.com/MLarchive//user/26603/html/msg000002028.php3

以上を踏まえて、マックサーバーを LCIII 以来久しぶりに立ち上げて、クラックされた後の準備をと思った次第です。久々にこのサイトに立ち寄らせて頂きました。LINUX・MS サーバーだと、イタチごっこの様な気もするので。LC III でもちゃんと以前動いていましたし。とりあえず安心です。(^-^!!)

ろばたろう さんからのコメント
( Friday, March 30, 2001 21:23:51 )

ここ最近は、MacServerのある部屋にいる時間が多かったのですが、
Pingがやたら多いように感じます。
QDNS,EIMS,IPNRを別マシンで稼動させていましてすべてにICMPLoggerを
入れています。
BEEPの設定をしているので、うるさいくらいPingが来ます。
(あまりうるさいんで音量を下げてしまいました。本末転倒)
ちょうどこのくらいの時間帯御が盛んです。
pingの間隔も短かく連続でやってきます。

皆さんのほうではどんな感じでしょうか?

たまちゃん さんからのコメント
( Friday, March 30, 2001 23:24:22 )

>皆さんのほうではどんな感じでしょうか?

ping については stealth にしているので感じませんが,今年に
入ってから続いている H.U.C 関連だとか今週に入ってから増えて
いる韓国方面からのものではないでしょうか。

「24 時間常時接続メーリングリスト」

http://ar1.easyml.com/MLarchive/loginExecution.php3?form_mladdr=connect24h@c4.easyml.com

にも似たような話題が出ています。

ろばたろう さんからのコメント
( Saturday, March 31, 2001 01:04:15 )

>たまちゃん様

いつも多くの情報を提供いただいて大変たすかっています。
さっそくお教えいただきましたWEBを覗いてきました。
(別スレッドで書かせていただいた「W32/Hybris」情報もありました。)

相手先IPアドレスはわかるのですが、向こうがpingに反応しないケース、
数種類のアドレスからランダムにpingがあったりの状況です。

stealthは考えてはいるのですが、私自身のスキルの問題で
そうした場合の弊害が理解できておりません。

しかしながら、各macserverはいまのところ落ちることなく元気です。
3/31がどうなるかはわかりませんが...。



ろばたろう さんからのコメント
( Saturday, March 31, 2001 01:25:19 )

>石津様

ご返事が遅れました。F/Wの情報ありがとうございます。
前述の「W32/Hybris」をきっかけにWindowsクライアントの防御対策を
考えていく必要を感じたためでした。
Windowsでは「BlackICE Defender」というパーソナルF/Wがあるようで
す。しかしながら端末ごとにセッティングする手間、Windows利用者は
上司が多いのでそう簡単に操作しにくい事情もありまして根元で管理する
方法を模索していた次第です。

WIndowsクライアント防御対策はmacintoshのserverやクライアントよりは
項目が多いのでは?と感じております。

私もあまりマシンまかせなのは好きではないので、例えばICMPloggerが
ビンビン鳴っているようなリアルな状況こそが、
自らのチェック機能を怠らないことにもなるのかなというジレンマに
陥っております。

たまちゃん さんからのコメント
( Saturday, March 31, 2001 08:21:50 )

>Windowsでは「BlackICE Defender」というパーソナルF/Wがあるようで
>す。

私は ZoneAlarm というものを使っています。設定が簡単でかつ非常
に強力です。

以下のページにいろいろな製品の解説があります。

→  Firewall 製品別紹介

ろばたろう さんからのコメント
( Saturday, March 31, 2001 19:47:25 )

>たまちゃん様
より多くの情報ありがとうございます。
「BlackICE Defender」。なるほどこのソフトが著名な理由が理解できました。

アプリケーションF/WをWinNTなどで立ち上げてそれをWindowsクライントユーザー
用のdefaultGateWayにする方法もあるかなと考えていますが、
この場合はこのサーバーが世界に触れるのでこれまた未知のスキルに挑戦
する必要もあり悩んでいます。

夕べだけでICMPloggerが1500カウントほど上昇していました。
3/31ただいまの時刻は、たいへん静かなMacServerです。
嵐の前の静けさか?通り過ぎたのか?台風の渦の中か?でございます。