2005/01/06 on Yano's digital garage

Firefoxにセキュリティホール

Thu, 06 Jan 2005 00:00:00 +0900

ダウンロードダイアログにおいてドメイン名の後ろが隠れてしまうという見せ方の問題で、download.microsoft.com.one.two.three.four.com 等という不自然に長いURLを使えば、サブドメインを別のドメインに見せかける事ができるという指摘だ。これによりユーザーの錯誤の上に悪質なプログラムをダウンロードさせる事が可能となるが、さほど深刻なものではない。日ごろからむやみにプログラムをダウンロードすることは戒めるべきだろう。

修正プログラムは無く、次期バージョンで改修されるという事だ。

Internet ExplorerではURLの前方が省略される為に問題は無いとされているが、Windows XP上のInternet ExplorerではFirefoxと同じように表示が.comで切られてしまうという話もあり、油断は禁物だ。

【参照】
●日経IT Pro http://itpro.nikkeibp.co.jp/
┗MozillaやFirefoxにダウンロード・ダイアログを偽装されるセキュリティ・ホール 2005年1月6日

SpamAssassinのRPMアップデート

Thu, 06 Jan 2005 00:00:00 +0900

Fedora Core の SpamAssassin がちょっとだけ古かったので、ソースのtar ballからrpmを作ってアップデート。

$ cd /usr/src/redhat/RPMS/i386/
$ wget http://sunsite.tus.ac.jp/pub/apache/spamassassin/Mail-SpamAssassin-3.0.2.tar.gz
$ sudo rpmbuild -tb ./Mail-SpamAssassin-3.0.2.tar.gz
:
書き込み中: /usr/src/redhat/RPMS/i386/spamassassin-3.0.2-1.i386.rpm
書き込み中: /usr/src/redhat/RPMS/i386/spamassassin-tools-3.0.2-1.i386.rpm
書き込み中: /usr/src/redhat/RPMS/i386/perl-Mail-SpamAssassin-3.0.2-1.i386.rpm
:
$ sudo rpm -Uvh spamassassin-3.0.2-1.i386.rpm perl-Mail-SpamAssassin-3.0.2-1.i386.rpm

spamassassin-toolsなるrpmパッケージは

エラー: Failed dependencies:
perl(Parse::Syslog) is needed by spamassassin-tools-3.0.2-1.i386
perl(Statistics::Distributions) is needed by spamassassin-tools-3.0.2-1.i386

というエラーになった。MCPANからParse::SyslogとStatistics::Distributionsもinstallしてやってみたのだが、状況は変らなかったので処分保留。

結果的にログ採取も multilog から syslog にしちゃったので、解析cronも日付抽出部分を修正。

syslogの巻

Thu, 06 Jan 2005 00:00:00 +0900

router で廃棄した迷惑パケットのログが採れてないなぁ？と思ったら、nx9030 の 514/udp ポートが開いてなかった。rオプションを付与する必要があるという事がわかり、/etc/sysconfig/syslog に

SYSLOGD_OPTIONS="-m 0 -r"

と記述してsyslogを再起動。

昨日の宿題、/var/log/messages に大量に残される

Jan 5 14:10:02 nx9030 crond(pam_unix)[14838]: session opened for user root by (uid=0)
Jan 5 14:10:02 nx9030 crond(pam_unix)[14836]: session closed for user root

という crond のログ。

4時間ほど地味に試行錯誤した結果、authファシリティのinfoプライオリティである事を突き止めたので、/var/log/messages から排除するよう /etc/syslog.conf を変更。

#*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.info;mail.none;authpriv.none;cron.none;auth.!=info /var/log/messages
auth.info /var/log/authinfo

取り敢えず /var/log/authinfo に記録するようにしておくが info なので捨ててもいいかも。

いちお、/etc/logrotate.d/syslog にも追加して

/var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/cron /var/log/authinfo {
sharedscripts
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
endscript
}

logrotate の対象に入れておく。

【参照】
●＠IT http://www.atmarkit.co.jp/ >> Linux管理者への道
┗第3回　システム管理の基礎 syslogdの設定をマスターしよう

静岡でサーバー乗っ取り

Thu, 06 Jan 2005 00:00:00 +0900

1/4 福岡市東区、筥崎宮にて

福岡は朝からしとしと雨。あ〜、うっとおしい。たまにはスカッと晴れませんか？

静岡新聞によると、昨年静岡県内の企画会社が運営するメールサーバーがハッキングされ、オーストラリアのオンラインバンキングを偽装したフィッシング詐欺に悪用されていた模様。国内のサーバーが悪用された事例が初めて公に報告されたという事で注目の記事だ。

Webサーバーとして使ってなくても、ハッキングで乗っ取られたら最後、Webサーバーだろうが何だろうが犯罪者の思うままに動かされてしまう。「ウチのような小さな会社なんて狙われるはずがない」等と思う事なかれ。ヤツラにとっては企業攻撃などではなく、タダの踏み台にしか過ぎないという事だ。

いくら不正アクセス禁止法を整備したとしても、外国からのハッキングに対して効力を発揮させるのは大変難しく、ネット社会で法律による保護は期待できそうもない。偽札も流行っているようだし、日ごろからヤツラの常套手段を知っておき、取り敢えず利用者側が疑ってかかる事が重要だ。

今回、静岡の企画会社は一切関知しないので不法に侵入された被害者でもあるのだが、そのうち「気付かなかった」では済まなくなるかもしれない。カギを付けたままで盗まれたクルマが事故を起こした場合のように…

【参照】
●静岡新聞 http://www.shizushin.com/
┗襲い来るサイバー犯罪（上）　フィッシング−「偽サイト」詐欺　狙われる「個人情報」 2005年1月3日