MaMac 書込み所
[ホームに戻る] [ツリー表示] [トピック表示] [留意事項] [ワード検索] [管理用]
お名前
Eメール
タイトル
メッセージ
参照先
イメージ   [イメージ参照]
暗証キー (英数字で8文字以内)
投稿キー (投稿時 投稿キー を入力してください)
文字色

おかげさまで復旧しました。 投稿者:mamac 投稿日:2005/10/24(Mon) 15:30 No.89   

penguin-19 さん、おかげさまで復旧しました。

Re: おかげさまで復旧しました。 - penguin-19 2005/10/24(Mon) 21:37 No.90 home
 CGIファイルのメモリ割り当てで解決したんですね。良かったです。

 掲示板のデータも復旧できたようで、すごいです。

Re: おかげさまで復旧しました。 - mamac 2005/10/27(Thu) 11:33 No.91
>掲示板のデータも復旧できたようで、すごいです。

いやー、保存してあったのを戻しただけです。
これより古い記事も復元したかったのですが、記事番号を修正して連結してもダメでした。

ログファイル文頭のIPアドレスの後にある「32XXX」から始まる数字に意味があるみたいです。

Re: おかげさまで復旧しました。 - penguin-19 2005/10/27(Thu) 23:08 No.92 home
> ログファイル文頭のIPアドレスの後にある「32XXX」から始まる数字に意味があるみたいです。
 それはたぶん最新発言の時間です。次のテストスクリプトででてきます。

$aaa = time;
print "$aaa\n";

 最新の発言の時間とこれが合わないといけないのかもしれないですね。CGIをよく見ていないのでわかりませんが。

Re: おかげさまで復旧しました。 - mamac 2005/10/29(Sat) 09:46 No.93
お早うです。

>それはたぶん最新発言の時間です。次のテストスクリプトででてきます。

実際のログは下記のようになっています。

27<>222.150.X.X<>3204269420<>
27<><>2005/07/15(Fri) 10:50<>--書込み情報省略--<>b43WfxXL8mNzY<>#800000<>dog.gif<>
26<><>2005/07/12(Tue) 10:41<>--書込み情報省略--<>DTBgPU7QO0SRw<>#0000FF<>zou.gif<>
25<><>2005/07/10(Sun) 21:01<>--書込み情報省略--<>kOSHRdd1l0ENc<>#0000FF<>zou.gif<>
24---以下省略---

「3204269420」の部分ですが、なにか ID のような気がしますです。

Re: おかげさまで復旧しました。 - penguin-19 2005/10/29(Sat) 21:02 No.94 home
 例えばこれを時間と仮定するとこうなります。

$time = "3204269420";
($sec, $min, $hour, $mday, $mon,$year, $wday) = localtime($time);
$year = $year + 1900; # 年を整える
$mon= $mon + 1; # 月を整える
$youbi = sprintf("%s", ("日", "月", "火", "水", "木", "金", "土")[$wday]);
print "[$year 年$mon月$mday日$hour時$min分$sec秒($youbi)]";
exit;

 実行結果
[2005 年7月15日10時50分20秒(金)]

> 27<><>2005/07/15(Fri) 10:50<>
 と見事に一致。

 ほんとは「localtime($time)」を「localtime(time)」という使い方をします。それで現在時刻を得られます。

 timeは1904 年1月1日0時0分0秒(MACの場合。UNIXやwinでは1970年1月1日 00:00:00)から何秒経ったか、という秒数なんすよ。

 で、それがわかったところで、データをうまく復原できない件との関連が不明ですけども(^_^;;;;

Re: おかげさまで復旧しました。 - mamac 2005/10/29(Sat) 23:24 No.95
> timeは1904 年1月1日0時0分0秒(MACの場合。UNIXやwinでは1970年1月1日 00:00:00)から何秒経ったか、という秒数なんすよ。

1904 年1月1日0時0分0秒からの経過時間だったんですね。
計算したら、101.6067167 年になりました。
mamac の勉強不足でした。う〜ん奥が深い。


また壊れました。 投稿者:mamac 投稿日:2005/10/23(Sun) 14:26 No.86   

penguin-19 さん、ゴメンなさい。
またログが表示できなくなってしまいました。
このトラブルは、ログファイルのサイズが大きくなると発生するようです。
表示できなくなったログファイルのサイズは 24K〜26Kbyte 程度です。

Mac Perl のメモリを増やしたり色々やってみましたがダメでした。
どうもMac 用に改造したのが不完全だったみたいです。
アドバイス頂けたら嬉しいです。

Re: また壊れました。 - penguin-19 2005/10/23(Sun) 22:32 No.87 home
> またログが表示できなくなってしまいました。
 ありゃー。そうですか。

> Mac Perl のメモリを増やしたり色々やってみましたがダメでした。
 MacPerlの場合、MacPerl本体のメモリ割り当てを増やすのではなく、cgiファイルの割り当てメモリを増やす必要がありますが、その辺は大丈夫でしょうか。

 で、ちょっとKENTさんのところからダウンロードしてきて見てみました。う〜ん、SJISを前提にして書かれていますね。

 これだとパターンマッチで失敗する可能性が大きいので、たとえばキーワード検索や登録禁止ワードの指定が効かない恐れがあります。できればEUC前提に改造した方がよさそう。

 ということで改造に着手してみましたけど、今日はすでに酔っぱらいすぎ(^_^; もうちょっと時間ください。

 あ、メモリ割り当てだけで解決したからいらない、ということでしたら、遠慮なくおっしゃってください。

Re: また壊れました。 - mamac 2005/10/24(Mon) 11:40 No.88
ご返事ありがとうです。

CGI のメモリは忘れていました。増やすと解決しそうです。ありがとうございました。これから掲示板の復元をしたいと思います。

文字コード(EUC)ですが、今のところ問題なさそうなのでこのまま使ってみようと思います。お気づかいありがとうございます。

QPQ あれこれ 投稿者:mamac 投稿日:2005/10/17(Mon) 01:14 No.70   

>QPQ1.02でSafari 1.xだとこんな感じです。

確かにエラーになってますね。


>2.13ではSafariでアクセスしても平気なのか、それともSafariのバージョンが違うからなのか、ちょっとわかんないですね。

mamac のところでは、全記録を見てもエラーになったものは一つもありませんので、Safari のバージョンの違いは関係なく、QPQ 2.13 は改善されているのかも知れませんね。


>後はちゃんとDeny指定で改善されるか様子見ですね。

土曜日に集中するヤツはシステムごと落ちるので、ログが残らず IP アドレスが ? なのです。 残念!


QPQ のもう一つの問題で、ウインドウズのブラウザ IE で、更新ボタンを押しても更新できないというものがありますが、ペンギンさん(略してゴメン)の QPQ はどうですか。


Re: QPQ あれこれ - penguin-19 2005/10/17(Mon) 13:29 No.71 home
> Safari のバージョンの違いは関係なく、QPQ 2.13 は改善されているのかも知れませんね。
 そうかも知れないですね。

> QPQ のもう一つの問題で、ウインドウズのブラウザ IE で、更新ボタンを押しても更新
> できないというものがありますが、ペンギンさん(略してゴメン)の QPQ はどうですか。
 QPQ1.02ではWindows/Macintosh両方のIEで大丈夫のようです。

 この話題、どこかで見たような気がして探してみました。
http://mtlab.ecn.fpu.ac.jp/WSM_2000/000922232144.html

 これと同じ症状ではないでしょうか。

Re: QPQ あれこれ - mamac 2005/10/19(Wed) 00:21 No.72
> この話題、どこかで見たような気がして探してみました。
http://mtlab.ecn.fpu.ac.jp/WSM_2000/000922232144.html
これと同じ症状ではないでしょうか。

その通りです。改善方法がないかと探したのですが、このバージョンはダメみたいです。

JAVAスクリプトで行う更新は問題ないみたいです。ところが、Macではこのスクリプトの更新が上手く動かないです(mamacの環境では)。

↓こちらのページで確かめられます。
http://mamac.go2.jp/mamac/speed.htnl


Re: QPQ あれこれ - mamac 2005/10/19(Wed) 07:20 No.73
URLがミスタイプでした。
http://mamac.go2.jp/mamac/speed.html

Re: QPQ あれこれ - penguin-19 2005/10/19(Wed) 19:58 No.74 home
> その通りです。改善方法がないかと探したのですが、このバージョンはダメみたいです。
 残念ですが、そうみたいですね。

> JAVAスクリプトで行う更新は問題ないみたいです。ところが、Macではこのスクリプトの
> 更新が上手く動かないです(mamacの環境では)。
[再測定]をクリックして、リロードされるかどうかですね? ちょっと試してみました。

 OS9/IEとOS X/IEではダメでした。ブラウザの再読み込みボタンでならリロードできました。

 OS X/FireFoxでは[再測定]でリロードされます。
 OS X/Safari 1.3.1では[再測定]でリロードされます。

 手持ちのブラウザではこんな感じでした。

Re: QPQ あれこれ - mamac 2005/10/20(Thu) 13:09 No.75
>[再測定]をクリックして、リロードされるかどうかですね? ちょっと試してみました。
 OS9/IEとOS X/IEではダメでした。ブラウザの再読み込みボタンでならリロードできました。
 OS X/FireFoxでは[再測定]でリロードされます。
 OS X/Safari 1.3.1では[再測定]でリロードされます。
 手持ちのブラウザではこんな感じでした。

ご協力ありがとうです。参考にさせて頂きます。


ところで、15日からQPQもシステムも落ちていませんです。疑いのあるアタックが止まっています。このまま終ってくれると良いのですが、、、。

Re: QPQ あれこれ - mamac 2005/10/20(Thu) 13:25 No.76
追伸 先ほどのダウンロード速度を測定するページで、その速度はどのくらいでしたか教えて下さい。

Re: QPQ あれこれ - penguin-19 2005/10/20(Thu) 19:51 No.77 home
> 追伸 先ほどのダウンロード速度を測定するページで、その速度はどのくらいでしたか
> 教えて下さい。
OS X/FireFox
ページダウンロード時間 14.925 秒
ページダウンロード速度 ( bps ) 648 Kbps/秒
ページダウンロード速度 ( byte ) 81.13 Kbyte/秒

OS X/Safari 1.31
ページダウンロード時間 16.573 秒
ページダウンロード速度 ( bps ) 584 Kbps/秒
ページダウンロード速度 ( byte ) 73.07 Kbyte/秒

OS X/IE 5.2.3
ページダウンロード時間 23.304 秒
ページダウンロード速度 ( bps ) 408 Kbps/秒
ページダウンロード速度 ( byte ) 51.96 Kbyte/秒

 こんな感じでした。自宅のYBB(8M)回線で計測しました。IEが遅いですねー。

> ところで、15日からQPQもシステムも落ちていませんです。疑いのあるアタックが
> 止まっています。このまま終ってくれると良いのですが、、、。
 おお、それはよかった。今しばらく様子見ですね。

 先日から80ポートを開けてセカンドサーバに流してログ取りしています。こんな感じです。
http://mizusawa.no-ip.info:8080/blogcgi/macintosh/116.html

Re: QPQ あれこれ - mamac 2005/10/22(Sat) 09:26 No.78
おはようです。

ダウンロード速度のデーターありがとうです。
結果をみますと、mamac が契約している ADSL 8M の上り実効速度ですね。
サーバーの性能をアップしても、接続速度をアップしないかぎり、ダウンロード速度(通信速度そのもの)のアップは期待できないでしょうね。

ちなみに LAN 内での速度は、1368 Kbps/秒 程度でした。


今日は土曜日ですが、サーバーを落とす恒例!のアタックがまだありません。


>先日から80ポートを開けてセカンドサーバに流してログ取りしています。こんな感じです。

ネタになってしまいましたね。記事にある「awstats.pl」にアタックは、mamac のところにもよく来ます。

サンプル↓
http://mamac.go2.jp/_data/awstats_pl.html

penguin-19 さんがアクセス解析を始めたとたん、変なアクセスは止まってしまったみたい。恐れをなして止めたのか(笑い)

それにしても、penguin-19 さんのサイトは情報豊富で詳しく解説され感心しています。


Re: QPQ あれこれ - penguin-19 2005/10/22(Sat) 19:17 No.79 home
> サーバーの性能をアップしても、接続速度をアップしないかぎり、ダウンロード速度
> (通信速度そのもの)のアップは期待できないでしょうね。
 ですねー。

> 今日は土曜日ですが、サーバーを落とす恒例!のアタックがまだありません。
 おお、よかったよかった。遮断したIPが効いたのかも。

> 記事にある「awstats.pl」にアタックは、mamac のところにもよく来ます。
 ですかー。やっぱり今の流行なんですね。これを探るアタックはしつこいのが特徴ですねー。延々探っていく。

 しかし、ログを見ていると、なんか罠にかかってじたばたしている虫を見ているような気分になってきますね、だんだん(^_^;

 そろそろ80ポートは閉めるつもりです。飽きてきたし。

Re: QPQ あれこれ - mamac 2005/10/23(Sun) 12:21 No.80
>> 今日は土曜日ですが、サーバーを落とす恒例!のアタックがまだありません。
> おお、よかったよかった。遮断したIPが効いたのかも。

と思っていたら、午後2時35分に、QPQ のみ落ちました。

その遮断ですが、QPQ の Deny に、219.126.*.* とセットしても何故か通ってしまい遮断できませんです。何故だろう?
LAN 内でテストしてみると遮断は機能しています。

Re: QPQ あれこれ - penguin-19 2005/10/24(Mon) 21:43 No.81 home
> その遮断ですが、QPQ の Deny に、219.126.*.* とセットしても何故か通ってしまい
> 遮断できませんです。何故だろう?
> LAN 内でテストしてみると遮断は機能しています。
 う〜ん、これは困った。LAN内ではOKでWANからはダメってなんでだろう(?_?) ちょっと僕にもわかんないです<(_ _)>

 後はルーターに頼るか、ファイヤーウォールソフトを導入するか(Classic OSで走るヤツがあるのかどうかわかんないですが)ですね。

Re: QPQ あれこれ - mamac 2005/10/25(Tue) 09:23 No.82
ご返事ありがとうございます。

QPQの遮断で通過してしまうのは怪奇ですね。
言われる通り、ルーターでも遮断できるので心配はないですね。

15日以後、不正なアタックは1件だけで、このまま安定してくれれば遮断も必要ないかも知れませんね。できることなら遮断しないほうがベストですしね。

アドレス拒否は - ヘイゴ 2005/10/25(Tue) 11:51 No.83 home
219.126..*
とすればよいかもしれません。
(間違っていたらすみません)
アスタリスの前にドットが一つ必要だったと記憶してます。

Documentationフォルダ内にQPQ User's Manual.pdfがありますが、その50ページに
Allow 192.160.31..*という記述があります
アスタリスの前にドットが一つ余分にありますし
Allow .*.edu
(.eduを含むドメイン全て)
という記述でも.*と記述してあるのでアスタリスの前には1つドットが必要なようです。

Re: QPQ あれこれ - mamac 2005/10/25(Tue) 18:19 No.84
あ、どうもヘイゴさんこんばんわ。

QPQ の取説PDF は何処かなと思ったら、QPQ プラスに同梱されていたんですね。確認しました。さっそく試してみます。

しかし面白いですね。LAN内での動作では、
219.126.*.* でも
219.126 だけでも遮断しています。

アドバイスありがとうございました。

追伸 QPQ は落ちなくなりました。15日から今日までに1回だけ落ちました(QPQ のみ)。


Re: QPQ あれこれ - penguin-19 2005/10/25(Tue) 23:53 No.85 home
 おお、なるほど。局所的な正規表現なんですね。

 これは気がつかなかったなぁ。勉強になりました<(_ _)>

掲示板のログが壊れました 投稿者:mamac 投稿日:2005/10/07(Fri) 02:56 No.56   

掲示板のログが壊れました。何か不整合が生じているようです。上手く表示できなくなってしまいました。

これまで投稿して頂いた、ヘイゴさん、まひとさん、penguin-19さん、ごめんなさい。これにこりずに宜しくお願い致します。

penguin-19さんとのお話は続けたいので、最後の投稿を再生させて頂き再掲載いたしました。宜しくお願い致します。


penguin-19さんの再掲載記事-----

> なんか色々すみません。
 いや、こちらこそウソ書いちゃって<(_ _)>

> penguin-19さんのQPQが比較的安定している秘けつを探っているのです
> が、前薗さんの「Code Red Killer Plug-in」が効いているのかな〜?
 うちのQPQ 1.02でこのプラグインが効いているのは間違いないです。が、mamacさんのところはQPQ 2.13ですから、バッファオーバーフローを狙った長いリクエストがあっても平気なはず。あのプラグインはあくまで1.xxのセキュリティホールを塞ぐものですから、2.xxでは意味がないはずです。

> 先に6月始めからQPQが落ち始めたとお話しましたが、この原因になる怪し気なアタックが
> 始まると、それ以前にアタックしてきた、
> /default.ida 328 GET XXXXXXXXXXXXXXXXXXXXXXXXXX---省略
> という長文のリクエストがぱたっと止まりました。
 ふーむ、アタックの方法が変わったわけですか。
 問題解決の順序として、どんなアクセスで落ちるのか、まずはそこを確認してはどうでしょうか。QPQが落ちてログがとれないということですから、一時的にサーバをweb共有に差し替えてみるとか。

 カウンタやSSIは使えなくなりますし、CGIのスピードも若干落ちますが、攻撃には強いです。2、3日がまんして、ログの中に妙なものが見つかったら、それが怪しいと。ログさえとれればそこから対応策が見えるかもしれません。

 もし、アドレスが固定ならDenyに指定しちゃえばいいですし。

 今のところ思いつくのはそれくらいです。

------おわり


Re: 掲示板のログが壊れました - mamac 2005/10/07(Fri) 03:17 No.57
penguin-19さんへ

> 問題解決の順序として、どんなアクセスで落ちるのか、まずはそこを確認してはどうでしょうか。QPQが落ちてログがとれないということですから、一時的にサーバをweb共有に差し替えてみるとか。

実は、Web 共有とMacHTTPでアクセスデーターを集めていました。
MacHTTPでは入口で遮断しているのか不正なアタックは記録されておりませんでした。興味があったのは、Web 共有のデーターでした。

Web 共有のアクセス記録で、6月以前には無かった、パターンのアクセスが残されていました。それがQPQを落としているアクセスと思われます。


それは下記のようなパターンです。

その1
219.249.230.212 - - [20/JUL/2005:19:10:07 +0900] - 400 375
219.249.230.212 - - [20/JUL/2005:19:10:07 +0900] - 400 375

その2
219.90.85.227 - - [23/JUL/2005:08:29:31 +0900] - 400 375
219.90.85.227 - - [23/JUL/2005:08:29:50 +0900] - 400 375

ご覧のとおり、2回の連続でアクセスされています。その2回の間隔も1秒以内で分離できないほど近いものと、19秒も離れているものがあります。

QPQが落ちるタイミングは、この連続したアクセスの後の方のタイミングで落ちるようです。その根拠は、QPQが落ちた場合、5秒程度で再起動完了して通常動作に復帰しますが、落ちた後、5秒以上経過の10秒とか15秒とかに再び落ちた記録は一切ないのです。このような経緯から連続した後の方でQPQが落ちると考えています。

一方、この状態をQPQのアクセス記録で見ると下記のようになっています。

07/08/2005 14:31:29 OK 219.232.120.12 0 1 200 Configuration
!!LOG_FORMAT DATE TIME RESULT HOSTNAME URL BYTES_SENT・・・省略

これの1行目が落ちる前のアクセスで、2行目が落ちて再起動後のセットされた状態です。また、1行目でエラーになっていないのも理解できないところです(Web 共有ではエラーになっている)。

ここまでお話した状態はQPQのみが落ちる場合です。QPQが落ちると同時にシステムがエラーになる時はアクセス記録が残っていません。Web 共有やMacHTTPにもそれらしい記録はありません。

不正なアタックのIPアドレスを特定して遮断したらどうかというご提案がありましたが、一つだけ集中するアドレスがありますが、後は分散して沢山の数のアドレスです。ちなみに現在73個のアドレスを把握しています。

ざぁーとこんなとことです。長文失礼しました。

追伸 ちょっと説明不足のところがありました。
>ちなみに現在73個のアドレスを把握しています。
という部分ですが、これは、
IPアドレスの4段に分類された数字の内、先頭から2段までを抜き出して集めたのが73個(種類)です。
219.249.X.X
219.90.X.X
のようになります。X=無視

Re: 掲示板のログが壊れました - penguin-19 2005/10/07(Fri) 19:44 No.58 home
 ログが壊れたとのこと、御愁傷様までした<(_ _)>

 400番エラーですか。つーことはもろにBad Requestですね。
http://www.studyinghttp.net/status_code

 変な構文でサーバが理解できなかったときに返されるエラーだということですから、なんか、やはりハック用ツールか、変なロボット臭い感じがしますね。入り込めるかどうか試している、みたいな。

> IPアドレスの4段に分類された数字の内、先頭から2段までを抜き出して集めたのが73個(種類)です。
> 219.249.X.X
> 219.90.X.X
 これが400番を吐き出すIPなのであれば、QPQは確かdenyとしてワイルドカードが使えた気がするので試してみてはどうでしょうか。

 Allow/Denyの設定で、DenyのIPアドレス指定で上のXのところをアスタリスク*にしちゃう方法です。
219.249.*.*
 って感じで指定すると「219.249.」で始まるIPをはねることができるはず。ちょっと多すぎな気もしますが(^_^;

 話変わって、うちのサーバ、web共有に戻しました。web共有は外部CSSや.jsファイルの送り出しに問題があったんですが、これを修正できたみたいなんで、テストもかねてしばらくweb共有でいきます。詳細はこちら。
http://mizusawa.no-ip.info:8080/html2/web_sharing.html

Re: 掲示板のログが壊れました - mamac 2005/10/08(Sat) 09:35 No.59
> 変な構文でサーバが理解できなかったときに返されるエラーだということですから、なんか、やはりハック用ツールか、変なロボット臭い感じがしますね。入り込めるかどうか試している、みたいな。

ハックなんでしょうかね? 怪しいアドレスは、penguin-19 さんのアドバイスのように QPQ の Deny と、ルーターの IP フィルターに根気よく追加してみます。


>テストもかねてしばらくweb共有でいきます。

web共有は安定性に問題ないし、速度も速い部類に入るし、良いと思います。

外部CSSや.jsファイルに対し問題があったのですか。しかし、penguin-19 さんは素晴らしい、プログラム書いて解決してしまうから。

mamac では、オールドマックと QPQ サーバーを売りにヤフーに登録したのでしばらくこのまま存在していきます。



Re: 掲示板のログが壊れました - penguin-19 2005/10/09(Sun) 13:23 No.60 home
> ハックなんでしょうかね? 怪しいアドレスは、penguin-19 さんのアドバイスのように QPQ の
> Deny と、ルーターの IP フィルターに根気よく追加してみます。
 感染していることに気づかないマシンからウイルスがアタックをかけているのかも。その辺りはわかんないですねぇ。

 ちょっと大変そうですけど、がんばってください。

Re: 掲示板のログが壊れました - mamac 2005/10/10(Mon) 10:45 No.61
> 感染していることに気づかないマシンからウイルスがアタックをかけているのかも。その辺りはわかんないですねぇ。

IPドメインサーチサービスで調べてみるとみんな正体不明ばかりです。土曜日にシステムまで落とすアタックが集中します。8日は9回ありました。その前の土曜日は何故かゼロ回。先月24日は20回でしたね。

IPアドレス遮断は、取り合えずQPQに回数の比較的多いもの9件をセットしました。

それにしても不思議なのは、penguin-19 さんの QPQ がこのようなアタックに影響受けていない事です。今度、penguin-19 さんと同じ構成で試してみたいと思います。



Re: 掲示板のログが壊れました - penguin-19 2005/10/11(Tue) 14:56 No.62
> IPアドレス遮断は、取り合えずQPQに回数の比較的多いもの9件をセットしました。
 400エラーについて、ログを見ていて気がつきました。

 特になーんもおかしなことをしていなくても、ブラウザでフツーにページを見ているだけで400番エラーとなることがあるようです。

 自分で自分のサーバにアクセスしてこのエラーが出ているケースを発見(^^; おかしなことは何もしてないんですが。ブラウザがサーバに理解できないアクセスするってどーゆーことだろうとちょっと不思議な気もしますが。

 よって、しつこく400番エラーを出してくるところはシャットアウトし、単発は放っておく、という処置は正しいと思います。

 それにしても土曜日だけというのが不思議ですねぇ。

 QPQの設定について、こちらのページに情報を追加しました。
http://mizusawa.no-ip.info:8080/html2/qpq_memo.html

Re: 掲示板のログが壊れました - mamac 2005/10/14(Fri) 01:13 No.63
> 自分で自分のサーバにアクセスしてこのエラーが出ているケースを発見(^^; おかしなことは何もしてないんですが。ブラウザがサーバに理解できないアクセスするってどーゆーことだろうとちょっと不思議な気もしますが。

mamac の QPQ では、400番のエラーは絶対表示されないのです。Web 共有で400番になっているものは、QPQ では 200番です。これが落ちる要因の現れと思います。その他に400番台のエラーは、401、404、405 のみです。128 というエラーもあります。

「自分で自分のサーバにアクセスして・・・」とは、プロキシ経由ですか。


>それにしても土曜日だけというのが不思議ですねぇ。

下記は 8日(土)のシステムダウンログです。
A System error (1) occurred on 05.10.8 at 7:57 AM -1
A System error (1) occurred on 05.10.8 at 9:32 AM -2
A System error (1) occurred on 05.10.8 at 9:42 AM -3
A System error (1) occurred on 05.10.8 at 10:47 AM -4
A System error (1) occurred on 05.10.8 at 3:30 PM -5
A System error (1) occurred on 05.10.8 at 4:40 PM -6
A System error (1) occurred on 05.10.8 at 5:43 PM -7
A System error (1) occurred on 05.10.8 at 6:11 PM -8
A System error (1) occurred on 05.10.8 at 8:21 PM -9

一体なにをやっているんでしょうね? 悪質な実験?

Re: 掲示板のログが壊れました - mamac 2005/10/14(Fri) 09:35 No.64
追伸です。

http://mizusawa.no-ip.info:8080/html2/qpq_memo.html
を参考にさせて頂いて、

MAX Connections を 32
Timeout を 20
にしました。


Re: 掲示板のログが壊れました - mamac 2005/10/14(Fri) 09:44 No.65
またまた追伸です。

http://mizusawa.no-ip.info:8080/html2/qpq_memo.html
の説明で、

「 HTML1ページには、さまざまな部品が埋め込まれています。例えば画像、外部JAVAscriptファイル、CSSファイルなどです。ブラウザはHTMLを読み込み、そこに書かれているこれらの部品を送ってくれーとリクエストしてきます。

 そのリクエスト一つ一つがコネクションです。つまりHTMLの中で画像が10個使ってあれば、HTML×1と画像×10の、合計11のコネクションが発生します。」

ということは、同時に同じページに2人が接続していたら22のコネクションになるのでしょうね。そう考えると、
MAX Connections 32 は少ないと思い 64 にしました。
mamac のページが画像が多いから、、、


Re: 掲示板のログが壊れました - penguin-19 2005/10/14(Fri) 12:52 No.66 home
> mamac の QPQ では、400番のエラーは絶対表示されないのです。Web 共有で400番になっているものは、QPQ では 200番です。
 げ。これは知りませんでした。128番エラーってなんでしょうね。う〜ん(?_?)

>「自分で自分のサーバにアクセスして・・・」とは、プロキシ経由ですか。
 あ、いや、これはLAN内からアクセスしたり仕事場からアクセスしたりということです。

> 一体なにをやっているんでしょうね? 悪質な実験?
 う〜ん、土曜だけコンピュータをいじっている人とか(すると土曜だけウイルスが悪さを始める)、土曜だけ活動するウイルスとか。そんなのあるかな、という気もしますが(^^;

> ということは、同時に同じページに2人が接続していたら22のコネクションになるのでしょうね。
 QPQのウインドウを観察しながらアクセスしてみるとわかりますが、200番で無事に送り出しが完了するとコネクションは端から切れていきますので、トータルで22個のコネクションにはなっても、同時に22個というのはあんまりないと思います。

 このあたりはサーバの処理スピードのこともありますし、観察しながらだいたいこんなもんでいいだろうというのを決めていく物みたいです。

 うちの場合はSafari 1.xがちゃんとコネクションを切ってくれない対策のために64個に設定しています。
 →QPQを観察しながらSafari 1.xでアクセスすると、コネクションがたまっていく一方なのがわかると思います。うちはまだPantherなので2.xでどうなっているのか未確認です。

 実はこれがいやでSafariからFireFoxに乗り換えたんですよ。で、web共有で.cssや.jsのファイルヘッダがおかしいことが発覚したわけで(^^;;;

Re: 掲示板のログが壊れました - mamac 2005/10/14(Fri) 17:04 No.67
>げ。これは知りませんでした。128番エラーってなんでしょうね。う〜ん(?_?)

良く見たら画像のリンクだけに発生しているようです。

下記は128番エラーの一例です。
06/17/2005 09:34:33 ERR! 221.250.175.138 /mamac/images/link_mail.gif 678 Mozilla/5.0 (Windows; U; Windows NT 5.1; ja-JP; rv:1.7.8) Gecko/20050511 Firefox/1.0.4 GET http://mamac.go2.jp/mamac/ 178 mamac.go2.jp 128 Configuration


>土曜だけ活動するウイルスとか。そんなのあるかな、という気もしますが(^^;

お休みの土曜日もあるので、人為的というか、人の都合とか気紛れとか感じます。


>観察しながらだいたいこんなもんでいいだろうというのを決めていく物みたいです。

そうなるとmamacではアクセス数も多くないので、感じとして18で良いみたいです。


mamac は、OS X 持っていないので、Safariを確かめられないのですが、下記はSafariのアクセス例です。
06/09/2005 16:33:50 OK 222.150.179.30 /mamac/index.html 9381 Mozilla/5.0 (Macintosh; U; PPC Mac OS X; ja-jp) AppleWebKit/312.1 (KHTML, like Gecko) Safari/312 GET http://zanei.biz/Link.html 9 mamac.go2.jp 200 Configuration

Re: 掲示板のログが壊れました - penguin-19 2005/10/14(Fri) 20:11 No.68 home
> お休みの土曜日もあるので、人為的というか、人の都合とか気紛れとか感じます。
 後はちゃんとDeny指定で改善されるか様子見ですね。

 Safariのログ、ありがとうございます。

 QPQ1.02でSafari 1.xだとこんな感じです。LAN内からアクセスしたものです。QPQ1.02側ではタイムアウトまでコネクトしたままなのでERR!で記録されますが、Safariではちゃんと表示されているんですよ。ブツブツ。
10/14/5 19:54:19 ERR! 192.168.1.x /blogcgi/index.html 2077 Mozilla/5.0 (Macintosh; U; PPC Mac OS X; ja-jp) AppleWebKit/312.5.1 (KHTML, like Gecko) Safari/312.3.1 GET http://mizusawa.no-ip.info:8080/index.html 3206

 2.13ではSafariでアクセスしても平気なのか、それともSafariのバージョンが違うからなのか、ちょっとわかんないですね。Safari2.xもってないから(^_^;

 でもって、今気がつきました(^_^;;;; QPQ1.02ではステータスコードが記録されないみたいです。オーマイガ!

 ログフォーマット欄では全部にチェック入れてあります。でもOKかERR!というシンプルなもの。うーむ。

Re: 掲示板のログが壊れました - mamac 2005/10/17(Mon) 00:48 No.69
こんばんは。ちょっと、ログが長くなりましたので、新しく「QPQ あれこれ」のタイトルで立てました。

小ネタいろいろ 投稿者:penguin-19 投稿日:2005/09/30(Fri) 00:20 No.40   

 こんにちは。penguin-19です。

●QPQの不正な長文リクエストをカットするプラグインについて
 前薗 健一さんが作成された「Code Red Killer Plug-in」の入手ができないからQPQ2.xxをお使いだとのこと。

 実は「Code Red Killer Plug-in」にかわる「qpqcg-plugin」というものがありまして、こちらで配布されています。
http://www.zone0.ne.jp/classicmacos/webserver01.html

 僕自身は試していないのでアレですが、情報だけ(^_^;

●msearch.cgiの改造について
 すみません。一つ発見しました。

 「Step 1 「msearch.cgi」ファイルの変更」の2番、変更前が「require './fold.pl';」で変更後が「require 'jcode.pl';」となってます。正しくは変更後は「require 'fold.pl';」です。

 以上です。

 いやー、それにしても思ったより速いスピードでmsearchが動きますねー。いいなー。

 こちらにはMacPerlスクリプトを5分で終了しないようにする裏技があります。
http://zanei.biz/MacServer012.html

 掲示板のアイコンにペンギンがないですねー(;_;)

Re: 小ネタいろいろ - mamac 2005/10/01(Sat) 01:01 No.41 home
書込みありがとうです。

「qpqcg-plugin」は、QPQ バージョン1.2で試しましたが、一部でしか有効でありませんでした。バージョン2.13では、あってもなくても同じでした。

「require 'jcode.pl';」はそのとおりでした。ご指摘ありがとうです。さっそく直しました。

msearch ・・・速いですか。 msearch は、本当にマシンに負荷をかけないですね。軽く動作しているのが QPQ のアクセスグラフィックウインドウで分ります。

MacPerlスクリプトを5分で終了させないのは存じております。当ページでは、カウンタの CGI で紹介しています。
この「終了させない」情報源はもちろん「残映」さんです。

ペンギンアイコンですか〜〜
penguin-19 さん 秘蔵のがあったら一つください。
動物アイコンは貰いものなのですが、このシリーズは四つ足ほ乳類だけみたいです。

ところで、penguin-19 さんの自宅サーバーのサーバーアプリは何ですか?




Re: 小ネタいろいろ - penguin-19 2005/10/01(Sat) 10:43 No.42
> 「qpqcg-plugin」は、QPQ バージョン1.2で試しましたが、一部でしか有効でありませんで
> した。バージョン2.13では、あってもなくても同じでした。
 う〜ん、効かないケースがあるんですかぁ、残念です。

> MacPerlスクリプトを5分で終了させないのは存じております。当ページでは、カウンタの
> CGI で紹介しています。
 そうでしたか。失礼しました。

> ところで、penguin-19 さんの自宅サーバーのサーバーアプリは何ですか?
 うちのはweb共有とQPQ1.02です。なんせ実験サーバなもんで、不定期に切り替えたりして遊んでます(^^;

Re: 小ネタいろいろ - mamac 2005/10/01(Sat) 16:56 No.43 home
>うちのはweb共有とQPQ1.02です。なんせ実験サーバなもんで、不定期に切り替えたりして遊んでます(^^;

その QPQ ですが、6月始め頃から急に落ち始めたのですが、penguin-19 さんのところではどうですか。システムも巻き込まれてフリーズする場合があります。

下記は、先月24日のシステム再起動状況です。
A System error (1) occurred on 05.9.24 at 8:09 AM -1
A System error (1) occurred on 05.9.24 at 8:27 AM - 2
A System error (1) occurred on 05.9.24 at 9:08 AM - 3
A System error (1) occurred on 05.9.24 at 9:23 AM - 4
A System error (1) occurred on 05.9.24 at 9:40 AM - 5
A System error (1) occurred on 05.9.24 at 10:21 AM - 6
A System error (1) occurred on 05.9.24 at 10:26 AM - 7
A System error (1) occurred on 05.9.24 at 11:24 AM - 8
A System error (1) occurred on 05.9.24 at 0:02 PM - 9
A System error (1) occurred on 05.9.24 at 0:04 PM - 10
A System error (1) occurred on 05.9.24 at 0:18 PM - 11
A System error (1) occurred on 05.9.24 at 2:26 PM - 12
A System error (1) occurred on 05.9.24 at 2:37 PM - 13
A System error (1) occurred on 05.9.24 at 2:41 PM - 14
A System error (1) occurred on 05.9.24 at 4:09 PM - 15
A System error (1) occurred on 05.9.24 at 4:58 PM - 16
A System error (1) occurred on 05.9.24 at 5:10 PM - 17
A System error (1) occurred on 05.9.24 at 7:24 PM - 18
A System error (1) occurred on 05.9.24 at 8:16 PM - 19
A System error (1) occurred on 05.9.24 at 9:56 PM - 20
今までの最高記録です。

24日は先週の土曜日ですが、今日(土曜日)は静かで、再起動は一度もありません。システムエラーはログが残らないので原因不明です。

penguin-19 さんの QPQ の状態、教えてください。


Re: 小ネタいろいろ - penguin-19 2005/10/01(Sat) 19:17 No.44
 なんか激しく再起動してますねぇ。

 うちの方はなんかサーバに障害がでていた場合はいちいちこちらに報告を上げてます。
http://mizusawa.no-ip.info:8080/easyBBS/bbs.acgi?r=room_2&BBS_MSG_050502211113.html#051001184822

 今見てみたら、QPQがというより、LAN内からのアクセス時におかしくなったり、自作のスクリプトを走らせているときに能力の限界こしちゃったりと、人災(僕の)の感じが強いです(^_^;

 ブレーカーを飛ばして止まった、なんてのもあります(^_^; この場合、サーバはPowerBookなんで生きてるんですが、モデムが…。

 しかし、月2〜3かいくらい飛ばしてますねー、僕。

 QPQは1日1回リスタートさせ、マシンは週に1回リスタートさせています。

 怪し気なアタックで飛ぶということはないようです。

Re: 小ネタいろいろ - mamac 2005/10/02(Sun) 12:23 No.45 home
「障害情報」、いいですね。参考になりました。

mamac サーバーでは、QOQ 以外のアプリで落ちるようなことは一度もありませんです。落ちるのはその「怪し気なアタック」なので、困ったもんです。まあ、再起動を自動化しているので、煩わしさないのですが・・・

penguin-19 さんの QPQ は比較的安定いますね。うらやましい〜〜。何でだろう。バージョンの違いではないと思うけど...

モデムの設定とか、QPQ の設定とか、QPQのプラグインとか、何か特別な仕掛けしていますか、情報ください。

あ、それと接続回線の種類とかもお願いします。

Re: 小ネタいろいろ - penguin-19 2005/10/02(Sun) 20:03 No.46
> モデムの設定とか、QPQ の設定とか、QPQのプラグインとか、何か特別な仕掛けしていますか、情報ください。
> あ、それと接続回線の種類とかもお願いします。
 QPQの設定ですが、前園さんのプラグインを入れた以外、特にかわったことはしていません。キャッシュを切っていることくらい。あ、Portを8080に変更してますね。
 他に、MIME設定のメモはこちら。
http://mizusawa.no-ip.info:8080/html2/qpq_memo.html

 でも、うちのQPQが安定している(ように見える)のは、アクセス数が1日20程度という非常にマイナーなページだからでしょう(^_^;

 回線はYahooBBの8Mで、モデムはYahooBBの貸与品、ルータはコレガ・BAR SW-4Pです。

 回線周りの詳細はこちら。
http://www1.kiwi-us.com/%7Emizusawa/penguin/html_hint/mac_server.shtml

 ルータ周りの詳細はこちら。80/8080以外のポートは塞いであります。
http://www1.kiwi-us.com/%7Emizusawa/penguin/html_hint/adsl.shtml

Re: 小ネタいろいろ - mamac 2005/10/03(Mon) 12:08 No.48 home
いやー色々参考になります。感謝!

Portが8080なのはYhooBBの関係ですね。
mamacもLAN側で8080に変換して動かしてみました。

MIME設定の「.js」ですが、mamacでは、
Suffix : .js
MIME Type : application/x-javascript
Action : TEXT
としているのですが、penguin-19さんの
Suffix : .js
MIME Type : text/javascript
Action : TEXT
の方が良いのでしょうか。この辺よく解らないです。

QPQのキャッシュはオフのこと。mamacではオンでサイズを増やしています。この方がスピードは上がるし、安定したように感じました。この辺もよく解らないです。penguin-19さんの経験でなにか明示的な現象はありましたか。



Re: 小ネタいろいろ - penguin-19 2005/10/03(Mon) 15:11 No.49
> Portが8080なのはYhooBBの関係ですね。
 あ、はい。そうです。言葉足らずですみません。今はYBBも80番を開放しているんで80にしてもいいんですが。

> MIME設定の「.js」ですが、mamacでは、
> Suffix : .js
> MIME Type : application/x-javascript
> Action : TEXT
> としているのですが、penguin-19さんの
> Suffix : .js
> MIME Type : text/javascript
> Action : TEXT
> の方が良いのでしょうか。この辺よく解らないです。
 どこで見たか忘れちゃったんですけども、僕の理解では以下のようなことらしいです。ホントかどうか確認していないんで鵜呑みにしないでくださいね<(_ _)>

 いろんな定義をやっているW3C自体があたふたしちゃったみたいで、W3Cの定義は「application/javascript(x-javascriptは過渡期的な処置らしい)」に落ち着いたんですが、それ以前にすでにブラウザの方が「text/javascript」を受け入れるようになっちゃってたようなんです。

 で、結局、文法的に正しいのは「application/javascript」で、互換性が高い(受け入れるブラウザが多い)のが「text/javascript」だと。が、ぶっちゃけた話、現状ではどっちの定義でも動作に支障なしと。こんな風に解釈してます。

 と、思ったら最近の記事でこんなのがありますね。上の僕の解説、全然勘違いしてる(?_?) あやふやですみません。
http://www.kanzaki.com/memo/2005/06/28-2

> QPQのキャッシュはオフのこと。mamacではオンでサイズを増やしています。
> この方がスピードは上がるし、安定したように感じました。この辺もよく解らな
> いです。penguin-19さんの経験でなにか明示的な現象はありましたか。
 QPQのバージョンが違うのでうちのケースがそのままあてはまらないと思いますが、うちの場合はキャッシュを切った方が心持ち安定度は上がったようです。

Re: 小ネタいろいろ - penguin-19 2005/10/03(Mon) 15:23 No.50
 なんか、心配になってもうちょっと調べてみました。W3Cの定義が「application/javascript」で落ち着いたというのはやっぱり僕の勘違いみたいです。

 「application/x-javascript」が過渡期的な処置というのも間違いのようです。「application/x-javascript」と「application/javascript」は同等である、というのが正しいみたい。

 で、あちこちの解説を見ると、受け入れるブラウザ(ユーザーエージェント)が多いのはやはり「text/javascript」のようです。

参照
http://suika.fam.cx/~wakaba/-temp/wiki/wiki?JavaScript%B4%D8%B7%B8%A4%CE%C7%DE%C2%CE%B7%BF

Re: 小ネタいろいろ - mamac 2005/10/04(Tue) 11:19 No.52 home
-----------
ご返事が遅れました。
クライアントにあるテストサーバーにこの掲示板を移植してあったのですが、そちらをmamacの掲示板と勘違いして、ご返事を書いてしました。今朝掲示板を見たら記事がないのでびっくりしたしだいです。ドジなmamacです。
-----------

なんか色々すみません。

参照のサイト、wikiさんの解説で大体わかりました。
「application/x-javascript」と「text/javascript」は、全く同じ働きで、どちらでもブラウザに問題なさそうですね。


>うちの場合はキャッシュを切った方が心持ち安定度は上がったようです。

そうでしたか。penguin-19さんのQPQが比較的安定している秘けつを探っているのですが、前薗さんの「Code Red Killer Plug-in」が効いているのかな〜?

先に6月始めからQPQが落ち始めたとお話しましたが、この原因になる怪し気なアタックが始まると、それ以前にアタックしてきた、
/default.ida 328 GET XXXXXXXXXXXXXXXXXXXXXXXXXX---省略
という長文のリクエストがぱたっと止まりました。
このような状況から「default.ida」と、今続いている不正なアタックは出所が同じようです。

Re: 小ネタいろいろ - penguin-19 2005/10/04(Tue) 15:02 No.53
> なんか色々すみません。
 いや、こちらこそウソ書いちゃって<(_ _)>

> penguin-19さんのQPQが比較的安定している秘けつを探っているのです
> が、前薗さんの「Code Red Killer Plug-in」が効いているのかな〜?
 うちのQPQ 1.02でこのプラグインが効いているのは間違いないです。が、mamacさんのところはQPQ 2.13ですから、バッファオーバーフローを狙った長いリクエストがあっても平気なはず。あのプラグインはあくまで1.xxのセキュリティホールを塞ぐものですから、2.xxでは意味がないはずです。

> 先に6月始めからQPQが落ち始めたとお話しましたが、この原因になる怪し気なアタックが
> 始まると、それ以前にアタックしてきた、
> /default.ida 328 GET XXXXXXXXXXXXXXXXXXXXXXXXXX---省略
> という長文のリクエストがぱたっと止まりました。
 ふーむ、アタックの方法が変わったわけですか。

 問題解決の順序として、どんなアクセスで落ちるのか、まずはそこを確認してはどうでしょうか。QPQが落ちてログがとれないということですから、一時的にサーバをweb共有に差し替えてみるとか。

 カウンタやSSIは使えなくなりますし、CGIのスピードも若干落ちますが、攻撃には強いです。2、3日がまんして、ログの中に妙なものが見つかったら、それが怪しいと。ログさえとれればそこから対応策が見えるかもしれません。

 もし、アドレスが固定ならDenyに指定しちゃえばいいですし。

 今のところ思いつくのはそれくらいです。

Re: 小ネタいろいろ - mamac 2005/10/06(Thu) 22:26 No.54 home
随分長いレスになりましたがもう少しお話させて下さい。

> 問題解決の順序として、どんなアクセスで落ちるのか、まずはそこを確認してはどうでしょうか。QPQが落ちてログがとれないということですから、一時的にサーバをweb共有に差し替えてみるとか。

実は、Web 共有とMacHTTPでアクセスデーターを集めていました。

MacHTTPでは入口で遮断しているのか不正なアタックは記録されておりませんでした。興味があったのは、Web 共有のデーターでした。

Web 共有のアクセス記録で、6月以前には無かった、パターンのアクセスが残されていました。それがQPQを落としているアクセスと思われます。


それは下記のようなパターンです。

その1
219.249.230.212 - - [20/JUL/2005:19:10:07 +0900] - 400 375
219.249.230.212 - - [20/JUL/2005:19:10:07 +0900] - 400 375

その2
219.90.85.227 - - [23/JUL/2005:08:29:31 +0900] - 400 375
219.90.85.227 - - [23/JUL/2005:08:29:50 +0900] - 400 375

ご覧のとおり、2回の連続でアクセスされています。その2回の間隔も1秒以内で分離できないほど近いものと、19秒も離れているものがあります。

QPQが落ちるタイミングは、この連続したアクセスの後の方のタイミングで落ちるようです。その根拠は、QPQが落ちた場合、5秒程度で再起動完了して通常動作に復帰しますが、落ちた後、5秒以上経過の10秒とか15秒とかに再び落ちた記録は一切ないのです。このような経緯から連続した後の方でQPQが落ちると考えています。

一方、この状態をQPQのアクセス記録で見ると下記のようになっています。

07/08/2005 14:31:29 OK 219.232.120.12 0 1 200 Configuration
!!LOG_FORMAT DATE TIME RESULT HOSTNAME URL BYTES_SENT・・・省略

これの1行目が落ちる前のアクセスで、2行目が落ちて再起動後のセットされた状態です。また、1行目でエラーになっていないのも理解できないところです(Web 共有ではエラーになっている)。

ここまでお話した状態はQPQのみが落ちる場合です。QPQが落ちると同時にシステムがエラーになる時はアクセス記録が残っていません。Web 共有やMacHTTPにもそれらしい記録はありません。

不正なアタックのIPアドレスを特定して遮断したらどうかというご提案がありましたが、一つだけ集中するアドレスがありますが、後は分散して沢山の数のアドレスです。ちなみに現在73個のアドレスを把握しています。

ざぁーとこんなとことです。長文失礼しました。


Re: 小ネタいろいろ - mamac 2005/10/06(Thu) 22:58 No.55 home
追伸 ちょっと説明不足のところがありました。

>ちなみに現在73個のアドレスを把握しています。
という部分ですが、これは、

IPアドレスの数字の4段に分類された内、先頭から2段までを分類したのが73個です。

219.249.X.X
219.90.X.X
のようになります。
X=無視




Page: | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | |

No. 暗証キー

- YY-BOARD - icon:MakiMaki