MaMac 書込み所
[リストに戻る] [ホームに戻る] [新規投稿] [スレッド表示] [ツリー表示] [留意事項] [ワード検索] [管理用]
掲示板のログが壊れました - mamac 2005/10/07(Fri) 02:56 No.56
 ├ Re: 掲示板のログが壊れました - mamac 2005/10/07(Fri) 03:17 No.57
 ├ Re: 掲示板のログが壊れました - penguin-19 2005/10/07(Fri) 19:44 No.58
 ├ Re: 掲示板のログが壊れました - mamac 2005/10/08(Sat) 09:35 No.59
 ├ Re: 掲示板のログが壊れました - penguin-19 2005/10/09(Sun) 13:23 No.60
 ├ Re: 掲示板のログが壊れました - mamac 2005/10/10(Mon) 10:45 No.61
 ├ Re: 掲示板のログが壊れました - penguin-19 2005/10/11(Tue) 14:56 No.62
 ├ Re: 掲示板のログが壊れました - mamac 2005/10/14(Fri) 01:13 No.63
 ├ Re: 掲示板のログが壊れました - mamac 2005/10/14(Fri) 09:35 No.64
 ├ Re: 掲示板のログが壊れました - mamac 2005/10/14(Fri) 09:44 No.65
 ├ Re: 掲示板のログが壊れました - penguin-19 2005/10/14(Fri) 12:52 No.66
 ├ Re: 掲示板のログが壊れました - mamac 2005/10/14(Fri) 17:04 No.67
 ├ Re: 掲示板のログが壊れました - penguin-19 2005/10/14(Fri) 20:11 No.68
 └ Re: 掲示板のログが壊れました - mamac 2005/10/17(Mon) 00:48 No.69

掲示板のログが壊れました 投稿者:mamac 投稿日:2005/10/07(Fri) 02:56 No.56
掲示板のログが壊れました。何か不整合が生じているようです。上手く表示できなくなってしまいました。

これまで投稿して頂いた、ヘイゴさん、まひとさん、penguin-19さん、ごめんなさい。これにこりずに宜しくお願い致します。

penguin-19さんとのお話は続けたいので、最後の投稿を再生させて頂き再掲載いたしました。宜しくお願い致します。


penguin-19さんの再掲載記事-----

> なんか色々すみません。
 いや、こちらこそウソ書いちゃって<(_ _)>

> penguin-19さんのQPQが比較的安定している秘けつを探っているのです
> が、前薗さんの「Code Red Killer Plug-in」が効いているのかな〜?
 うちのQPQ 1.02でこのプラグインが効いているのは間違いないです。が、mamacさんのところはQPQ 2.13ですから、バッファオーバーフローを狙った長いリクエストがあっても平気なはず。あのプラグインはあくまで1.xxのセキュリティホールを塞ぐものですから、2.xxでは意味がないはずです。

> 先に6月始めからQPQが落ち始めたとお話しましたが、この原因になる怪し気なアタックが
> 始まると、それ以前にアタックしてきた、
> /default.ida 328 GET XXXXXXXXXXXXXXXXXXXXXXXXXX---省略
> という長文のリクエストがぱたっと止まりました。
 ふーむ、アタックの方法が変わったわけですか。
 問題解決の順序として、どんなアクセスで落ちるのか、まずはそこを確認してはどうでしょうか。QPQが落ちてログがとれないということですから、一時的にサーバをweb共有に差し替えてみるとか。

 カウンタやSSIは使えなくなりますし、CGIのスピードも若干落ちますが、攻撃には強いです。2、3日がまんして、ログの中に妙なものが見つかったら、それが怪しいと。ログさえとれればそこから対応策が見えるかもしれません。

 もし、アドレスが固定ならDenyに指定しちゃえばいいですし。

 今のところ思いつくのはそれくらいです。

------おわり

Re: 掲示板のログが壊れました 投稿者:mamac 投稿日:2005/10/07(Fri) 03:17 No.57
penguin-19さんへ

> 問題解決の順序として、どんなアクセスで落ちるのか、まずはそこを確認してはどうでしょうか。QPQが落ちてログがとれないということですから、一時的にサーバをweb共有に差し替えてみるとか。

実は、Web 共有とMacHTTPでアクセスデーターを集めていました。
MacHTTPでは入口で遮断しているのか不正なアタックは記録されておりませんでした。興味があったのは、Web 共有のデーターでした。

Web 共有のアクセス記録で、6月以前には無かった、パターンのアクセスが残されていました。それがQPQを落としているアクセスと思われます。


それは下記のようなパターンです。

その1
219.249.230.212 - - [20/JUL/2005:19:10:07 +0900] - 400 375
219.249.230.212 - - [20/JUL/2005:19:10:07 +0900] - 400 375

その2
219.90.85.227 - - [23/JUL/2005:08:29:31 +0900] - 400 375
219.90.85.227 - - [23/JUL/2005:08:29:50 +0900] - 400 375

ご覧のとおり、2回の連続でアクセスされています。その2回の間隔も1秒以内で分離できないほど近いものと、19秒も離れているものがあります。

QPQが落ちるタイミングは、この連続したアクセスの後の方のタイミングで落ちるようです。その根拠は、QPQが落ちた場合、5秒程度で再起動完了して通常動作に復帰しますが、落ちた後、5秒以上経過の10秒とか15秒とかに再び落ちた記録は一切ないのです。このような経緯から連続した後の方でQPQが落ちると考えています。

一方、この状態をQPQのアクセス記録で見ると下記のようになっています。

07/08/2005 14:31:29 OK 219.232.120.12 0 1 200 Configuration
!!LOG_FORMAT DATE TIME RESULT HOSTNAME URL BYTES_SENT・・・省略

これの1行目が落ちる前のアクセスで、2行目が落ちて再起動後のセットされた状態です。また、1行目でエラーになっていないのも理解できないところです(Web 共有ではエラーになっている)。

ここまでお話した状態はQPQのみが落ちる場合です。QPQが落ちると同時にシステムがエラーになる時はアクセス記録が残っていません。Web 共有やMacHTTPにもそれらしい記録はありません。

不正なアタックのIPアドレスを特定して遮断したらどうかというご提案がありましたが、一つだけ集中するアドレスがありますが、後は分散して沢山の数のアドレスです。ちなみに現在73個のアドレスを把握しています。

ざぁーとこんなとことです。長文失礼しました。

追伸 ちょっと説明不足のところがありました。
>ちなみに現在73個のアドレスを把握しています。
という部分ですが、これは、
IPアドレスの4段に分類された数字の内、先頭から2段までを抜き出して集めたのが73個(種類)です。
219.249.X.X
219.90.X.X
のようになります。X=無視

Re: 掲示板のログが壊れました 投稿者:penguin-19 投稿日:2005/10/07(Fri) 19:44 No.58 home
 ログが壊れたとのこと、御愁傷様までした<(_ _)>

 400番エラーですか。つーことはもろにBad Requestですね。
http://www.studyinghttp.net/status_code

 変な構文でサーバが理解できなかったときに返されるエラーだということですから、なんか、やはりハック用ツールか、変なロボット臭い感じがしますね。入り込めるかどうか試している、みたいな。

> IPアドレスの4段に分類された数字の内、先頭から2段までを抜き出して集めたのが73個(種類)です。
> 219.249.X.X
> 219.90.X.X
 これが400番を吐き出すIPなのであれば、QPQは確かdenyとしてワイルドカードが使えた気がするので試してみてはどうでしょうか。

 Allow/Denyの設定で、DenyのIPアドレス指定で上のXのところをアスタリスク*にしちゃう方法です。
219.249.*.*
 って感じで指定すると「219.249.」で始まるIPをはねることができるはず。ちょっと多すぎな気もしますが(^_^;

 話変わって、うちのサーバ、web共有に戻しました。web共有は外部CSSや.jsファイルの送り出しに問題があったんですが、これを修正できたみたいなんで、テストもかねてしばらくweb共有でいきます。詳細はこちら。
http://mizusawa.no-ip.info:8080/html2/web_sharing.html

Re: 掲示板のログが壊れました 投稿者:mamac 投稿日:2005/10/08(Sat) 09:35 No.59
> 変な構文でサーバが理解できなかったときに返されるエラーだということですから、なんか、やはりハック用ツールか、変なロボット臭い感じがしますね。入り込めるかどうか試している、みたいな。

ハックなんでしょうかね? 怪しいアドレスは、penguin-19 さんのアドバイスのように QPQ の Deny と、ルーターの IP フィルターに根気よく追加してみます。


>テストもかねてしばらくweb共有でいきます。

web共有は安定性に問題ないし、速度も速い部類に入るし、良いと思います。

外部CSSや.jsファイルに対し問題があったのですか。しかし、penguin-19 さんは素晴らしい、プログラム書いて解決してしまうから。

mamac では、オールドマックと QPQ サーバーを売りにヤフーに登録したのでしばらくこのまま存在していきます。


Re: 掲示板のログが壊れました 投稿者:penguin-19 投稿日:2005/10/09(Sun) 13:23 No.60 home
> ハックなんでしょうかね? 怪しいアドレスは、penguin-19 さんのアドバイスのように QPQ の
> Deny と、ルーターの IP フィルターに根気よく追加してみます。
 感染していることに気づかないマシンからウイルスがアタックをかけているのかも。その辺りはわかんないですねぇ。

 ちょっと大変そうですけど、がんばってください。

Re: 掲示板のログが壊れました 投稿者:mamac 投稿日:2005/10/10(Mon) 10:45 No.61
> 感染していることに気づかないマシンからウイルスがアタックをかけているのかも。その辺りはわかんないですねぇ。

IPドメインサーチサービスで調べてみるとみんな正体不明ばかりです。土曜日にシステムまで落とすアタックが集中します。8日は9回ありました。その前の土曜日は何故かゼロ回。先月24日は20回でしたね。

IPアドレス遮断は、取り合えずQPQに回数の比較的多いもの9件をセットしました。

それにしても不思議なのは、penguin-19 さんの QPQ がこのようなアタックに影響受けていない事です。今度、penguin-19 さんと同じ構成で試してみたいと思います。


Re: 掲示板のログが壊れました 投稿者:penguin-19 投稿日:2005/10/11(Tue) 14:56 No.62
> IPアドレス遮断は、取り合えずQPQに回数の比較的多いもの9件をセットしました。
 400エラーについて、ログを見ていて気がつきました。

 特になーんもおかしなことをしていなくても、ブラウザでフツーにページを見ているだけで400番エラーとなることがあるようです。

 自分で自分のサーバにアクセスしてこのエラーが出ているケースを発見(^^; おかしなことは何もしてないんですが。ブラウザがサーバに理解できないアクセスするってどーゆーことだろうとちょっと不思議な気もしますが。

 よって、しつこく400番エラーを出してくるところはシャットアウトし、単発は放っておく、という処置は正しいと思います。

 それにしても土曜日だけというのが不思議ですねぇ。

 QPQの設定について、こちらのページに情報を追加しました。
http://mizusawa.no-ip.info:8080/html2/qpq_memo.html

Re: 掲示板のログが壊れました 投稿者:mamac 投稿日:2005/10/14(Fri) 01:13 No.63
> 自分で自分のサーバにアクセスしてこのエラーが出ているケースを発見(^^; おかしなことは何もしてないんですが。ブラウザがサーバに理解できないアクセスするってどーゆーことだろうとちょっと不思議な気もしますが。

mamac の QPQ では、400番のエラーは絶対表示されないのです。Web 共有で400番になっているものは、QPQ では 200番です。これが落ちる要因の現れと思います。その他に400番台のエラーは、401、404、405 のみです。128 というエラーもあります。

「自分で自分のサーバにアクセスして・・・」とは、プロキシ経由ですか。


>それにしても土曜日だけというのが不思議ですねぇ。

下記は 8日(土)のシステムダウンログです。
A System error (1) occurred on 05.10.8 at 7:57 AM -1
A System error (1) occurred on 05.10.8 at 9:32 AM -2
A System error (1) occurred on 05.10.8 at 9:42 AM -3
A System error (1) occurred on 05.10.8 at 10:47 AM -4
A System error (1) occurred on 05.10.8 at 3:30 PM -5
A System error (1) occurred on 05.10.8 at 4:40 PM -6
A System error (1) occurred on 05.10.8 at 5:43 PM -7
A System error (1) occurred on 05.10.8 at 6:11 PM -8
A System error (1) occurred on 05.10.8 at 8:21 PM -9

一体なにをやっているんでしょうね? 悪質な実験?

Re: 掲示板のログが壊れました 投稿者:mamac 投稿日:2005/10/14(Fri) 09:35 No.64
追伸です。

http://mizusawa.no-ip.info:8080/html2/qpq_memo.html
を参考にさせて頂いて、

MAX Connections を 32
Timeout を 20
にしました。

Re: 掲示板のログが壊れました 投稿者:mamac 投稿日:2005/10/14(Fri) 09:44 No.65
またまた追伸です。

http://mizusawa.no-ip.info:8080/html2/qpq_memo.html
の説明で、

「 HTML1ページには、さまざまな部品が埋め込まれています。例えば画像、外部JAVAscriptファイル、CSSファイルなどです。ブラウザはHTMLを読み込み、そこに書かれているこれらの部品を送ってくれーとリクエストしてきます。

 そのリクエスト一つ一つがコネクションです。つまりHTMLの中で画像が10個使ってあれば、HTML×1と画像×10の、合計11のコネクションが発生します。」

ということは、同時に同じページに2人が接続していたら22のコネクションになるのでしょうね。そう考えると、
MAX Connections 32 は少ないと思い 64 にしました。
mamac のページが画像が多いから、、、

Re: 掲示板のログが壊れました 投稿者:penguin-19 投稿日:2005/10/14(Fri) 12:52 No.66 home
> mamac の QPQ では、400番のエラーは絶対表示されないのです。Web 共有で400番になっているものは、QPQ では 200番です。
 げ。これは知りませんでした。128番エラーってなんでしょうね。う〜ん(?_?)

>「自分で自分のサーバにアクセスして・・・」とは、プロキシ経由ですか。
 あ、いや、これはLAN内からアクセスしたり仕事場からアクセスしたりということです。

> 一体なにをやっているんでしょうね? 悪質な実験?
 う〜ん、土曜だけコンピュータをいじっている人とか(すると土曜だけウイルスが悪さを始める)、土曜だけ活動するウイルスとか。そんなのあるかな、という気もしますが(^^;

> ということは、同時に同じページに2人が接続していたら22のコネクションになるのでしょうね。
 QPQのウインドウを観察しながらアクセスしてみるとわかりますが、200番で無事に送り出しが完了するとコネクションは端から切れていきますので、トータルで22個のコネクションにはなっても、同時に22個というのはあんまりないと思います。

 このあたりはサーバの処理スピードのこともありますし、観察しながらだいたいこんなもんでいいだろうというのを決めていく物みたいです。

 うちの場合はSafari 1.xがちゃんとコネクションを切ってくれない対策のために64個に設定しています。
 →QPQを観察しながらSafari 1.xでアクセスすると、コネクションがたまっていく一方なのがわかると思います。うちはまだPantherなので2.xでどうなっているのか未確認です。

 実はこれがいやでSafariからFireFoxに乗り換えたんですよ。で、web共有で.cssや.jsのファイルヘッダがおかしいことが発覚したわけで(^^;;;

Re: 掲示板のログが壊れました 投稿者:mamac 投稿日:2005/10/14(Fri) 17:04 No.67
>げ。これは知りませんでした。128番エラーってなんでしょうね。う〜ん(?_?)

良く見たら画像のリンクだけに発生しているようです。

下記は128番エラーの一例です。
06/17/2005 09:34:33 ERR! 221.250.175.138 /mamac/images/link_mail.gif 678 Mozilla/5.0 (Windows; U; Windows NT 5.1; ja-JP; rv:1.7.8) Gecko/20050511 Firefox/1.0.4 GET http://mamac.go2.jp/mamac/ 178 mamac.go2.jp 128 Configuration


>土曜だけ活動するウイルスとか。そんなのあるかな、という気もしますが(^^;

お休みの土曜日もあるので、人為的というか、人の都合とか気紛れとか感じます。


>観察しながらだいたいこんなもんでいいだろうというのを決めていく物みたいです。

そうなるとmamacではアクセス数も多くないので、感じとして18で良いみたいです。


mamac は、OS X 持っていないので、Safariを確かめられないのですが、下記はSafariのアクセス例です。
06/09/2005 16:33:50 OK 222.150.179.30 /mamac/index.html 9381 Mozilla/5.0 (Macintosh; U; PPC Mac OS X; ja-jp) AppleWebKit/312.1 (KHTML, like Gecko) Safari/312 GET http://zanei.biz/Link.html 9 mamac.go2.jp 200 Configuration

Re: 掲示板のログが壊れました 投稿者:penguin-19 投稿日:2005/10/14(Fri) 20:11 No.68 home
> お休みの土曜日もあるので、人為的というか、人の都合とか気紛れとか感じます。
 後はちゃんとDeny指定で改善されるか様子見ですね。

 Safariのログ、ありがとうございます。

 QPQ1.02でSafari 1.xだとこんな感じです。LAN内からアクセスしたものです。QPQ1.02側ではタイムアウトまでコネクトしたままなのでERR!で記録されますが、Safariではちゃんと表示されているんですよ。ブツブツ。
10/14/5 19:54:19 ERR! 192.168.1.x /blogcgi/index.html 2077 Mozilla/5.0 (Macintosh; U; PPC Mac OS X; ja-jp) AppleWebKit/312.5.1 (KHTML, like Gecko) Safari/312.3.1 GET http://mizusawa.no-ip.info:8080/index.html 3206

 2.13ではSafariでアクセスしても平気なのか、それともSafariのバージョンが違うからなのか、ちょっとわかんないですね。Safari2.xもってないから(^_^;

 でもって、今気がつきました(^_^;;;; QPQ1.02ではステータスコードが記録されないみたいです。オーマイガ!

 ログフォーマット欄では全部にチェック入れてあります。でもOKかERR!というシンプルなもの。うーむ。

Re: 掲示板のログが壊れました 投稿者:mamac 投稿日:2005/10/17(Mon) 00:48 No.69
こんばんは。ちょっと、ログが長くなりましたので、新しく「QPQ あれこれ」のタイトルで立てました。


- 返信フォーム

お名前
Eメール
タイトル
メッセージ
参照先
イメージ   [イメージ参照]
暗証キー (英数字で8文字以内)
投稿キー (投稿時 投稿キー を入力してください)
文字色

- 記事修正&削除フォーム
処理 No. 暗証キー