KurosawaTsuyoshi のすべての投稿

不正ログイン拒否の検証状況

本日も不正アタックによる漏洩ニュースが流れました。

学研、Webサイトへの不正アクセスで最大2万2108人の情報が流出

つい最近も、いろいろとアタックを受けて流出しています。
いつ自サイトに来るかと恐々とする日が無くなるようにしていきたいです。

・バックアップサーバに不正アクセス、情報が漏洩 – ボートレース徳山

・法学部サイトに不正アクセス、CMSの脆弱性突かれる – 福岡大

なお、、、
本サイトも WordPress のログイン画面に不正侵入が見られてます…
下記ログの末尾に拒否した回数を出力しています。

イスラエルより
日本時間 4:38〜4:39(1分間)で、14回の不正ログイン試行。
2回の試行以降はすべてブロック。

213.8.97.6 - - [14/Jul/2015:04:38:56 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 200 1273 "http://www.google.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0" 4001 0 80 "<strong>ListAttack" "1"</strong>
:
213.8.97.6 - - [14/Jul/2015:04:39:02 +0900] "GET /wp-login.php HTTP/1.1" 200 1273 "http://www.google.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0" 4073 0 80 <strong>"DoSAttack" "12"</strong>

ベトナムより
日本時間 22:46〜22:52(6分間)に、191回の不正ログイン試行。
こちらも2回の試行以降はすべてブロック。

116.101.43.75 - - [14/Jul/2015:22:46:29 +0900] "POST /wordpress/wp-login.php HTTP/1.1" 200 1276 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" 4600 0 80 <strong>"ListAttack" "1"</strong>
:
116.101.43.75 - - [14/Jul/2015:22:52:12 +0900] "POST /wordpress/wp-login.php HTTP/1.1" 200 1276 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" 4152 0 80 <strong>"ListAttack" "189"</strong>

jamhelper

DoS/リストアタック回避のシステムができあがりつつあります。

主機能は

・リストアタック対策(ログインエラー回数によるアクセス禁止とログ出力)
・DoS対策(F5連投のアクセス遮断とログ出力)※サイト全体 or URL単位に設定可
・IP即遮断/即解除(ウェブサーバの再起動なしに複数サーバを一度に設定)
・アクセスの流入制限(URL単位で制限人数に到達で整理券を発行する仕組み)

この機能を、既存プログラムへ手を加えずに実現することができます。
Linux(Redhat系、Debian系)、Windows上のApacheで動作するようにしています。

 

負荷検証中。独自サイトも構築中。時間が足りない...です。

 

jamhelper.com
jamhelper.com

VMwareTools-9.9.0-2304977 on Linux 3.17.7-200.fc20.x86_64 compile errors

Fusion7上でFedora20を動作していたらVMWareToolsが動作していないことに気づきました。
再度、VMWareToolsをインストールしてみると、どうやらコンパイルに失敗していたようでした。

# VMWaraToolsのインストール中にツラツラと英語のコメントがでるのですが、
# 読まずにいいかげんに全部Enterで進めていたのがイケなかったようです。
# あたりまえですが、コメントはちゃんと読まないとダメですね…

hgfsを利用するには、inode.c にパッチが必要なようです。
巷にPatchファイルが転がっていなかったので、手動で修正して対応しました。

$ cd vmware-tools-distrib/lib/modules/source/
$ tar xvf ./vmhgfs.tar
$ cd ./vmhgfs-only/
$ chmod 644 inode.c
$ vi inode.c
 ----------------row:1925
   //d_alias) {
   d_u.d_alias) {
 ----------------
$ cd ../
$ cp -p vmhgfs.tar vmhgfs.tar_20150105
$ tar cvf vmhgfs.tar vmhgfs-only/
$ cd ~/vmware-tools-distrib
$ sudo ./vmware-install.pl
$ ps -ef | grep vmtoolsd

ブルートフォースアタック (Brute Force Attack/Brute Force Password Cracking. Brute Force)

本日はロシアからブルートフォースアタックを受けてました。
0:50~6:26までの約6時間、延々と1秒単位でクエリーしてくるんですね。
ログの最後にリクエスト回数を出力してますが、約3万2千回の試行がありました。
最初の3件以外、503で弾いているので、doshelper 結構、効果高いかもしれない…

82.146.38.59 - - [02/Nov/2014:00:50:06 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 503 323 "-" "-" 3056 0 PathAtacck 4
82.146.38.59 - - [02/Nov/2014:00:50:07 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 503 323 "-" "-" 2777 0 PathAtacck 5
82.146.38.59 - - [02/Nov/2014:00:50:08 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 503 323 "-" "-" 2623 0 PathAtacck 6
82.146.38.59 - - [02/Nov/2014:00:50:08 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 503 323 "-" "-" 2998 0 PathAtacck 7
82.146.38.59 - - [02/Nov/2014:00:50:09 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 503 323 "-" "-" 3959 0 PathAtacck 8
82.146.38.59 - - [02/Nov/2014:00:50:09 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 503 323 "-" "-" 2384 0 DoS 9
82.146.38.59 - - [02/Nov/2014:00:50:10 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 503 323 "-" "-" 2583 0 DoS 10
:
:
82.146.38.59 - - [02/Nov/2014:06:26:15 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 503 323 "-" "-" 1399 0 DoS 31887
82.146.38.59 - - [02/Nov/2014:06:26:16 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 503 323 "-" "-" 1187 0 DoS 31888
82.146.38.59 - - [02/Nov/2014:06:26:16 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 503 323 "-" "-" 1674 0 DoS 31889
82.146.38.59 - - [02/Nov/2014:06:26:17 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 503 323 "-" "-" 1480 0 DoS 31890
82.146.38.59 - - [02/Nov/2014:06:26:17 +0900] "POST /wordpress/wp-login.php HTTP/1.0" 503 323 "-" "-" 1490 0 DoS 31891