掲示板お問い合わせランダムジャンプ

トップスペース
rss-reader.png taRgrey  削除ガイドライン  おしらせ  SPAM対策  専属DJのブログ  BOF  SPAM対策別館

2008年07月30日
使用しているDNSサーバの脆弱性チェック
IT Proの「DNS脆弱性,発見者の意図に反して詳細が明らかになった事情」で紹介されている、「自分のインターネット接続がDNSキャッシュポイズニングに対して脆弱かどうかを調べるツール」を試してみました。

http://www.doxpara.com/ こちらのサイトにある「DNS Checker」で「Check My DNS」ボタンを押すと、自分の接続しているネットワークのIPアドレスを管理しているDNSサーバのクエリーポートをチャックするようです。

既にアップデート済みのDNSサーバで試してみると、
---------------------------------
Your name server, at
***.***.***.***, appears to be
safe, but make sure the ports
listed below aren't following an
obvious pattern (:1001, :1002,
:1003, or :30000, :30020,
:30100...).

Requests seen for
d9785668362d.doxdns5.com:
***.***.***.***:41719 TXID=8627
***.***.***.***:3626 TXID=41841
***.***.***.***:4651 TXID=55547
***.***.***.***:10539 TXID=31253
***.***.***.***:21921 TXID=51467
---------------------------------

こんな感じで一安心。

でも、
but make sure the ports
listed below aren't following an
obvious pattern (:1001, :1002,
:1003, or :30000, :30020,
:30100...).
とあるような明らかなパターンのポートを使っているようならば危険。


一方、未対策のDNSサーバだと、

---------------------------------
Your name server, at
***.***.***.***, appears
vulnerable to DNS Cache
Poisoning.

All requests came from the
following source port: 3330

Due to events outside our control,
details of the vulnerability have
been leaked. Please consider using
a safe DNS server, such as
OpenDNS. Note: Comcast users
should not worry.

Requests seen for
d9785668362d.doxdns5.com:
***.***.***.***:3330 TXID=35976
***.***.***.***:3330 TXID=51174
***.***.***.***:3330 TXID=64674
***.***.***.***:3330 TXID=20383
***.***.***.***:3330 TXID=52391
---------------------------------
という感じで、source port: 3330 に固定されているので危険。




[ 投稿者:Cookie at 09:47 | セキュリティー | コメント(0) | トラックバック(0) ]

2008年07月28日
【注意!】 ジャニーズ「嵐」のリーダー関連トラックバック
ジャニーズ「嵐」のリーダーに関する報道の内容で、何件かトラックバックが入っていますが、記事に書かれている画像サイトや記事元と称するリンク先は、いわゆる「ツークリック詐欺」サイトです。

決して興味本位でクリックしないように!

もしクリックしてこんな画面が出たら絶対に「OK」を押さない!!

「ご契約ありがとうございました。 あなたの端末情報は以下の通りです。」といった文言で、利用料の請求画面が表示されます。

嵐1

嵐2

もしクリックしてしまった場合、「契約完了画面」などが出ても、以下を参考に慌てずに対処しましょう。

▼ワンクリック詐欺対策など
http://shinshu.fm/MHz/77.88/archives/0000174412.html

▼詐欺的なサイトにご注意
http://shinshu.fm/MHz/77.88/archives/0000187199.html

▼アダルトサイトでのツークリック認証に注意!
http://shinshu.fm/MHz/77.88/archives/0000185848.html
[ 投稿者:Cookie at 17:58 | お知らせ | コメント(0) | トラックバック(0) ]

2008年07月23日
86.59.118.117からの継続したDNSクエリ
BIND 9.4.2-P1のqueries.logをチェックしていたら「86.59.118.117」から繰り返し同じクエリーが届いている。

「86.59.118.117」でググって見ても何もヒットしません...

whois情報では「オーストリア」のIPアドレス。

inetnum: 86.59.118.96 - 86.59.118.127
netname: SIL-SYSTEMONE
descr: Erlerstrasse 1
descr: A-6020 Innsbruck
country: AT
admin-c: BH1354-RIPE
tech-c: SILR-RIPE
mnt-by: SIL-MNT
status: ASSIGNED PA
source: RIPE # Filtered

■queries.log

23-Jul-2008 12:17:44.918 queries: client 86.59.118.117#38956: query: . IN ANY +
23-Jul-2008 12:17:44.938 queries: client 86.59.118.117#49070: query: . IN ANY +
23-Jul-2008 12:17:45.893 queries: client 86.59.118.117#41990: query: . IN ANY +
23-Jul-2008 12:17:46.892 queries: client 86.59.118.117#14653: query: www.microsoft.com IN A +
23-Jul-2008 12:17:47.618 queries: client 86.59.118.117#55996: query: . IN ANY +
23-Jul-2008 12:17:47.696 queries: client 86.59.118.117#17691: query: www.microsoft.com IN A +
23-Jul-2008 12:17:48.402 queries: client 86.59.118.117#19644: query: www.microsoft.com IN A +
23-Jul-2008 12:17:48.570 queries: client 86.59.118.117#23183: query: www.microsoft.com IN A +
23-Jul-2008 12:17:48.753 queries: client 86.59.118.117#16456: query: www.microsoft.com IN A +
23-Jul-2008 12:17:48.975 queries: client 86.59.118.117#41288: query: . IN ANY +
23-Jul-2008 12:17:50.357 queries: client 86.59.118.117#50845: query: www.microsoft.com IN A +
23-Jul-2008 12:17:52.371 queries: client 86.59.118.117#27116: query: www.microsoft.com IN A +

自分の管理しているDNSサーバだけでなく、取引先のDNSでも同様のクエリーを観測しているので、広範囲にクエリーを投げている様子。

named.confに

acl deny_net {
86.59.118.117;
};
options {
allow-query {
!deny_net;
〜省略〜
};
allow-recursion {
!deny_net;
〜省略〜
} ;
allow-query-cache {
!deny_net;
〜省略〜
} ;

とかして、拒否してみました。

security.logには以下の様に記録されます。

23-Jul-2008 12:25:54.525 security: client 86.59.118.117#38786: query (cache) 'www.microsoft.com/A/IN' denied
23-Jul-2008 12:25:55.108 security: client 86.59.118.117#43552: query (cache) './ANY/IN' denied
23-Jul-2008 12:25:56.778 security: client 86.59.118.117#8900: query (cache) './ANY/IN' denied
23-Jul-2008 12:25:57.767 security: client 86.59.118.117#34871: query (cache) 'www.microsoft.com/A/IN' denied
23-Jul-2008 12:25:57.774 security: client 86.59.118.117#50558: query (cache) './ANY/IN' denied


他のDNSサーバはどうなんでしょうか?

追記:2008-07-24
このIPアドレスでググったらこんなのがヒットしましたが、やはり他でもこのクエリーが来てるようですね。
NS querys "www.microsoft.com" - linuxforen.de -- User helfen Usern

livedoor 翻訳によると

have a retrieval of an IP on my name server since today 14 o'clock per second. the retrieval is www.microsoft.com and ANY. What does this mean?

maybe prepares somebody of ne DDOS attack on your name server?! I simply would lock out the IP.

I heard this answer about the provider to her/it get the IP: Update: Stopped just, everything again normal.

こんな感じ。

追記:008-07-25
7月23日の21:19頃でこのクエリーは止まっているようです。

23-Jul-2008 21:19:30.915 security: client 86.59.118.117#58928: query (cache) './ANY/IN' denied
23-Jul-2008 21:19:32.257 security: client 86.59.118.117#33700: query (cache) './ANY/IN' denied
23-Jul-2008 21:19:32.355 security: client 86.59.118.117#28527: query (cache) './ANY/IN' denied
23-Jul-2008 21:19:33.132 security: client 86.59.118.117#29869: query (cache) './ANY/IN' denied

[ 投稿者:Cookie at 12:19 | サーバ設定 | コメント(0) | トラックバック(0) ]

2008年07月11日
リンクタグの隠蔽
最近アカウントを削除したブログの手口として、スタイルシートを細工して、リンクタグ<a href="">の表示サイズを非常に小さくし、見た目にはリンクタグ以外の文章のみが書かれているように見せている例があります。

検査エンジンからすればそのような見た目の文字の大きさに関係なく検索対象となりますので、SEO対策としては効果が見込めると思います。

しかし、信州FMではこの様なSEO対策のみを目的としたブログ(ましてや隠ぺい工作としか判断できない姑息な手段)に対しては、従来通りアカウント削除とさせて頂きます。

※追記
Aタグを隠蔽した記事を投稿しているユーザーの登録メールアドレスを調べると「s-kzy.com」ドメインの割合が多いことに気がつきました。

どんなドメインかを調べるため、
http://www.s-kzy.com/ や http://s-kzy.com/ へアクセスしてもページなし。
この時点で既に怪しいが、このドメイン名をググってみると、ペット関連のホームページが目につきます。

その中で、
ペット保険.com
アニコムのどうぶつ健保に加入してペットも安心!! 低料金で最大の保障⇒「アニコムのどうぶつ健保」. このサイトに関するお問い合わせ:web★s-kzy.com(スパム防止のため@を★に変えています). copyright ペット保険.com All Rights Reserverd. ...

「スパム防止のため」って、オタクのドメインで大量にsplogが登録されてるんですが怒グー
[ 投稿者:Cookie at 18:02 | 削除ガイドライン | コメント(0) | トラックバック(0) ]