« 2006年1月 | トップページ | 2006年3月 »

2006年2月

2006.02.11

同姓同名多すぎー2

私の名前はありふれたものなんで、自分の名前をgoogleで検索しても同姓同名の他人がヒットするばかりです。このことは、以前、「同姓同名多すぎー」に書きました。229番目なんて誰も見ないでしょう。

そんなわけで、google上位を目指すために自分のウェッブページを作ってみました。

「どんなことを書こう?」

「自己紹介と研究業績と、趣味とかインドでの体験とか書こうかなー」

「やっぱり、HTMLも正しい文法で書かないとかっこ悪いよなー」と、HTML & XHTML という本まで購入。やる気十分。

しかし、

やっぱり、そんな時間は無かったです。HTML4.01どころか、イイカゲンなHTMLですら書けていません。

現状では、私の名前だけ書かれたページが世界中に向けて公開されています。
(でも、多分、HTML4.01準拠です。意味無いけど。)

ところが、何となく google で私の名前を検索してみると、私の名前しか書いていないページがなんと 20番目に表示されるではないですか。逆に、これは恥ずかしい。

そのうち、(見栄えは悪いかも知れないけど)きちんとした内容のページを作ります。きっと。

| | コメント (0) | トラックバック (1)

セキュリティインシデント4

研究室のサーバが外部から不正侵入を受けた。サーバを止めてみると、いくつか見えてきたことが。

サーバを止めてしまうと、計算も出来ない、メールも受け取れないという困った状態になる。OSを再インストールし、それらを復旧させるのに1週間ほどかかってしまった。復旧作業を続けながらも、侵入方法を探してみる。というのも、侵入方法が分かれば、どこをしっかりと守れば良いのか考える参考になるから。利用者のパスワードが簡単すぎたのか? プログラムのセキュリティホールなのか? IPアドレスを偽装してうまく侵入したのか? 実は、これがなかなか分からなかった。仕方が無いので、あちこちガチガチに守った結果、新しいサーバは、利用者に使い勝手の悪いものになってしまった。

侵入方法が分からず、いつから侵入されていたのかも良く分からないので、まずは侵入者の痕跡を探してみた。侵入されてしまった以上、確かなことは何も言えないが、どうやら、侵入後、そのことが管理者に見つからないように偽装工作をしていたようだ。ネットワークの接続状況を表示するのに使う netstat というソフトが改竄されていた。また、今後は簡単に侵入できるように、アカウント管理などに用いるNISの設定が変えられ、sshdというサービスも改竄されていた。さらに、ネットワークカードの設定を盗聴モードに変更するようにもしてあった。他にも改竄されているところがあったかも知れない。最近は、このような不正侵入+偽装工作も簡単に行えるようにツールが配布されているらしい。まあ、初心者でも簡単にコンピュータが使えるようになったきたのだから、初心者でも簡単に不正侵入出来ても不思議ではない。さらに、侵入後、他のPCへ不正侵入を試みた痕跡もあった。これは、適当にパスワードを推測してログインするというものだった。このツールが eggdrop なのかも知れない。

肝心の侵入経路は、メールサーバの設定をしているときに分かった。メールサーバの設定方法を調べるのに、インターネットで検索していると、2年以上前のセキュリティホールの報告が目に付いた。この問題には対応したように記憶していたが、念のために調べてみた。すると、以前使っていたメールサービスは、この問題を抱えたものだった。

「あれ?」「この不具合は有名で、対応したと思うのだが....」とノートに記された管理ログをたどってみても修正の記録は無い。過去のメールを調べてみても、2年以上、ずっと問題のある古いプログラムを用いていたことが分かった。駄目ではないか!

改めて、ログをよく確認すると、普段は現れないメッセージが
rejecting connections on daemon MTA: load average: 12

これかも?
このメッセージ自体は、「負荷が大きいのでサボります」という意味だが、メールの流量は小さいので、普段はこのメッセージが現れることは滅多に無い。加えて、このログの時刻が、侵入されたと思われる時刻にとても近い。確証はないものの、そのような理由から、「メールサーバ経由の侵入」で、「侵入されたときにログが "rejecting ...."」なのかなと、個人的に思っている。
メールサーバ経由での侵入の手口を調べれば推測どおりなのか確認できるのだろうが、そこへ労力を注ぐ時間的な余裕がないので、追跡はここまでとした。

しかし、なぜ、修正したつもりになっていたのか?古い記憶と記録をだどってみると、どうやらこの時期、私はサーバの管理を後輩に引き継いで任せていたようだ。不具合を知ったときに、私の管理するコンピュータではすぐに対応し、研究室のサーバでも対応するように、後輩にメールしたり、口頭で何度か注意したりしていたのだが、そのままになっていた。

教訓: 身から出たさび

| | コメント (0) | トラックバック (0)

2006.02.04

セキュリティインシデント3

いつの間にか、研究室のサーバが外部から不正侵入されていた。通常なら、すぐに停止させるべきだ。しかし、このサーバを止めると、他の計算用PCも止まってしまう。修士論文のための研究で、計算させている学生もいる。どうする?

翌日、相談の上、しばらくの間、関係するPC(不正侵入を受けたサーバと、それに付随するPC)を隔離したLANに移して運用することになった。
「ネットワークからPCを隔離したことが引き金になって、PCを破壊するようなプログラムが動き出す」という危険性も一応考えたが、その可能性は十分低いだろうと判断した。隔離するとはいえ、サーバのOSは再インストールしてしまおう。付随するPCにも侵入の可能性はあるが、簡単にチェックして、侵入の痕跡が見つからなければそのまま運用してもよいだろう。これは、たとえ侵入されていても、隔離したネットワーク内では影響も小さいと考えたからだ。
そんなことを相談しているうちに、サーバで見慣れないプログラムが動作を始めた。"eggdrop" という名前のプログラムだった。これが、数個ほど、次々と動き出してきた。

カッコウは他の鳥の巣に卵を産んで、ヒナを育てされるらしい。
クリフォード・ストールの「カッコウはコンピュータに卵を産む」という小説では、コンピュータに産み落とされた不正なプログラムを見つけた作者が、その侵入者を追跡し、追い詰めていくものだった。

この"eggdrop"が、何をするものかは分からないが、この小説を思い出させるもので、ぞっとした。すぐにサーバや他のPCをネットワークから隔離させた。ただ、このときばかりは、さすがに慌てていたようだ。ネットワークから隔離させる際に、間違って別のネットワークケーブルをはずしてしまったのだ。その間違いに気づかないまま、"eggdrop"を確認すると、まだ何か処理を続けているようだし、その数も増えていた。ハードディスクへもアクセスがある。これでさらに慌ててしまい、きちんとした終了処理を行わずに、電源を落とすことでコンピュータを緊急停止させた。

次回、「侵入者を追跡」(無理(涙))

| | コメント (0) | トラックバック (0)

2006.02.02

血糖値低下

夜の9時ごろから、体が怠くなり、思考が停止気味になってきました。
「体調悪いなー」と思っていたのですが、よく考えると、今日は朝食を食べたまま、昼食摂るのを忘れていました。

| | コメント (0) | トラックバック (0)

« 2006年1月 | トップページ | 2006年3月 »