10月 052014
 

shellshock

ここのところ色々と話題になっている Shell Shock 問題、顧客からの問い合わせで色々大変な思いをしているケースもあると思う。 特に今回の Shell Shock は一度のパッチですべてを解決できなかったこともあり、相当大変だったと思う。JPCERT の脆弱性情報も対応するパッチ情報で「以下」と「未満」を間違えていたりと、どれが正しいのかよく分からない状況だった。

そんな場合に問題になるのが、サポート対象外となってもリプレイスできない、リプレイスするためのリソースを割り当てられない CentOS 4.x の対応。

Continue reading »

5月 082013
 

 うちのメールサーバは若干厳し目にanti spam設定しているのだが、珍しくフィッシング系の spam が届いていた。

Return-Path: <autoinfo_jp@account.square-enix.com>
X-Original-To: xxx@xxxx.jp
Delivered-To: xxx@xxxx.jp
Received-SPF: spf-unknown
Received: from rcdchq.net (mail.highartland.com [211.155.129.5])
     by ulysses.dameningen.jp (Postfix) with ESMTP id 7EB863007EE
     for <xxx@xxxx.jp>; Tue, 7 May 2013 06:40:07 +0900 (JST)
Date: Tue, 7 May 2013 05:39:58 +0800
From: “autoinfo_jp” <autoinfo_jp@account.square-enix.com>
To: <xxx@xxxx.jp>
Subject: あなたのスクウェア・エニックスアカウントの異常
Message-ID: <20130507054010464027@account.square-enix.com>
X-Priority: 1 (Highest)
X-mailer: Foxmail 6, 13, 102, 15 [cn]

スクウェア・エニックスアカウント管理システム
あなたのスクウェア・エニックスアカウントの異常、ログインしてください:http://secure.square-enix.com/account/app/svc/Login.html?cont=account
商品やサービス側に関連するサポート情報
スクウェア・エニックスサポートセンター
http://secure.square-enix.com
※サイト、検索機能の様々な製品やサービスの利用
サポート情報は確認した。
スクウェア?エニックスサポートセンターのご意見やご要件、ご使用ください

 そもそも日本語が怪しいので、これを信じるヤツは相当情弱じゃないかというのが率直な感想。そして、未だに X-Mailer ヘッダで自己主張するパターンがあるのね……

Continue reading »

8月 042011
 

 過去2度にわたってウインズコミュニケーションズまたはビームの spam 配信システムについて触れてきた(mgameに登録したメールアドレスに(株)ウインズコミュニケーションズからspamが来る件, (株)ウインズコミュニケーションズ (*.wins-beam.net) からのメールをBANする)が、表向き別会社でも同様のメール配信サービスspam 配信サービスが稼動しているようだ。

 今回捕捉したのは以下7件。

Aug  3 12:15:23 ulysses postfix/smtpd[9105]: NOQUEUE: reject:
RCPT from unknown[180.222.51.40]: 450 4.7.1 Client host rejected:
cannot find your hostname, [180.222.51.40]; from=<rainbow+errnnn0
@gbc001.mag-r.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=
<r001-gbc001.mail-b.net>
Aug  3 12:22:42 ulysses postfix/smtpd[9105]: NOQUEUE: reject:
RCPT from unknown[180.222.51.165]: 450 4.7.1 Client host rejected:
cannot find your hostname, [180.222.51.165]; from=<rainbow+errnnn0
@gbc001.mag-r.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=
<r001-gbc001.mail-b.net>
Aug  3 12:23:52 ulysses postfix/smtpd[9105]: NOQUEUE: reject:
RCPT from unknown[180.222.51.215]: 450 4.7.1 Client host rejected:
cannot find your hostname, [180.222.51.215]; from=<rainbow+errnnn0
@gbc001.mag-r.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=
<r001-gbc001.mail-b.net>
Aug  3 12:25:59 ulysses postfix/smtpd[9105]: NOQUEUE: reject:
RCPT from unknown[180.222.51.240]: 450 4.7.1 Client host rejected:
cannot find your hostname, [180.222.51.240]; from=<rainbow+errnnn0
@gbc001.mag-r.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=
<r001-gbc001.mail-b.net>
Aug  3 12:31:26 ulysses postfix/smtpd[9105]: NOQUEUE: reject:
RCPT from unknown[180.222.51.65]: 450 4.7.1 Client host rejected:
cannot find your hostname, [180.222.51.65]; from=<rainbow+errnnn0
@gbc001.mag-r.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=
<r001-gbc001.mail-b.net>
Aug  3 14:39:36 ulysses postfix/smtpd[15063]: NOQUEUE: reject:
RCPT from unknown[180.222.51.215]: 450 4.7.1 Client host rejected:
cannot find your hostname, [180.222.51.215]; from=<rainbow+errnnn1
@gbc001.mag-r.net> to=<yyyy@yyyy.yy.jp> proto=ESMTP helo=
<r001-gbc001.mail-b.net>
Aug  3 14:50:50 ulysses postfix/smtpd[15063]: NOQUEUE: reject:
RCPT from unknown[180.222.51.190]: 450 4.7.1 Client host rejected:
cannot find your hostname, [180.222.51.190]; from=<rainbow+errnnn1
@gbc001.mag-r.net> to=<yyyy@yyyy.yy.jp> proto=ESMTP helo=
<r001-gbc001.mail-b.net>

Continue reading »

3月 202011
 

 3月11日、東北地方太平洋沖地震が発生した。我が家は都内とはいえ特に被害はなかったが、甚大な被害が発生している。犠牲になった方に深い哀悼の意を捧げるとともに、今後の復興を祈りたい。

 さて、以前、mgameに登録したら(株)ウィンズコミュニケーションズからspamが来るようになったと書いたが、mgameに関わらず家族のアドレスにも被弾するようになった。どうやら噂のB.E.A.M.はこのIPv4枯渇の時代に結構な数のアドレスブロックを持っているらしく、個別対応ではすり抜けてくるメールがそれなりにある。

Continue reading »

9月 072010
 

 私は、ネットショッピングも含めて各サイトに対してそのサイト固有のメールアドレスを登録するようにしている。例えば楽天なら rakuten@〜 だし、Amazon.co.jp なら amazon@〜 といった感じで、Postfixにバーチャルドメイン機能で @ 以前に何を書いても届くアドレスを作っておいて、それを巧く活用している。

 さて、以前誘われて数日くらい「LOST Online」というゲームをやっていた。内容は超劣化Diablo系といったところだろうか。このゲームの登録のときは、コンテンツプロバイダに合わせて mgame@〜 というアドレスを使っていたが、最近、このアドレスに spam が届くようになってきた。

 mgameに問い合わせても「漏洩の事実はありません」という木で鼻をくくったような返事しか返ってこなかった(しかも、From:が適切に設定されていなかった)が、mgameにしか開示していない、というよりmgameのためにできたアドレスなので、mgame経由で漏洩したかブルートフォース的なアプローチでたまたまヒットしたかのどちらかしかない。しかし、ブルートフォース的アプローチの場合、その手法を使った場合には大量のspamを受け取ることになるがそのような事実はないので、まず前者だろう。所詮Kの国の系列の会社なんてこんなものですよね。

 さて、そういうクソな情報管理について言うつもりはなくて、ここのところ出会い系spamが何件か立て続けに着弾した。その背後にspam配信ネットワークっぽいものがあったので書いてみる。

Continue reading »

8月 082010
 

 今日8月8日は妙にSSH辞書攻撃が多かった。20:41時点で333件検知しており、しかも日本からの攻撃が14件と非常に多くなっている。これまでの日本からの攻撃の検知は月平均2〜4回程度だったから爆発的と言っていいだろう。

 8月に入って普段と違うのは、どうやらSSH辞書攻撃を試みるボットネットが稼働しているっぽいこと。ボットネットを使ってアルファベット順に多数のホストから攻撃することで、こちら側で対処しづらいようにしているようだ。ログを追っていくと、最初はaから始まるIDだったのが今はtくらいまで来ている。個々のアクセスは別IPからなので一定条件を満たすとiptables -j DROPといった対応もできない。

Continue reading »