今日は天気雨でしたね 2008-06-06 (金) 01:36:25

<< 2024.4 >>
[竹千代日記]
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30        
このページは2008/06/06の日記です
一つ前は竹千代日記/20080602です
一つ後は竹千代日記/20080609です
最新の7件

つうことで

http://www3.ocn.ne.jp/~bunka/center/kabuki20.html

歌舞伎みにいってきます。
やっぱ一生に一回くらいは見とくべきかなーと。
見たことないんで楽しみです。

うーーん

http://www.sanspo.com/shakai/news/080602/sha0806021256009-n1.htm

偽装ラブホを風営法違反容疑で捜索

旅館の営業許可を受けながら、実態はラブホテルの「偽装ラブホテル」を営業したとして、
兵庫県警生活環境課などは2日、風営法違反(禁止地域営業)容疑で、
同県明石市二見町のホテル「ジョイ」や経営会社、建物を所有する不動産会社「タクミホーム」(同県姫路市)など
5カ所を家宅捜索した。

ラブホと普通のホテルの違いって、具体的になんだろう?

タクミホームは松岡広幸・姫路市議(41)が代表取締役を務めている。

先生、ダメでしょ(w

コレ、いいです。

2曲目の「ゆきこさん」が特にいいです。

「デストロイーーーーー!!!!」

合掌

http://www.asahi.com/obituaries/update/0603/TKY200806030038.html

天国で「どんと」さんとセッションしてください・・・

おそロシア

http://internet.watch.impress.co.jp/cda/news/2008/06/04/19812.html

攻撃による影響があったのは、さくらインターネットの「専用サーバ 10M スタンダード」
プランのサーバーのうち、IPアドレスが「219.94.145.0〜219.94.145.127」の範囲にあるサーバー。
これらのサーバーにWebでアクセスした場合に、Webページ中に不正なコードが埋め込まれ、
ウイルスなどをダウンロードさせられる可能性があった

どきっとしたのでウチもチェック

nslookup takechiyo.from.tv

Non-authoritative answer:
Name:    takechiyo.from.tv
Address:  219.94.162.168

セーフの模様。
しかし、こんなん防ぎようがないというか・・・
「ARPスプーフィング攻撃」って理論はしってたけど、ホントにできるんだなぁ・・・

ということで

ARPの書き換えを見張るスクリプトでも書いてみよう。
デフォルトゲートウェイのIPアドレスはこれでわかる。

%route get default
   route to: default
destination: default
       mask: default
    gateway: 219.94.aaa.bbb
  interface: em0
      flags: <UP,GATEWAY,DONE,STATIC>
 recvpipe  sendpipe  ssthresh  rtt,msec    rttvar  hopcount      mtu     expire
       0         0         0         0         0         0      1500         0

うちのサーバの場合、219.94.aaa.bbbみたいだ。
このサーバーの本来のMACアドレスを調べてみる(もっとも今日の今現在の時点でクラック済みなら知らないが・・)

%ping -c 3 219.94.aaa.bbb
PING 219.94.aaa.bbb (219.94.aaa.bbb): 56 data bytes
64 bytes from 219.94.aaa.bbb: icmp_seq=0 ttl=64 time=3.044 ms
64 bytes from 219.94.aaa.bbb: icmp_seq=1 ttl=64 time=2.488 ms
64 bytes from 219.94.aaa.bbb: icmp_seq=2 ttl=64 time=4.448 ms

--- 219.94.aaa.bbb ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 2.488/3.327/4.448/0.825 ms

%arp -a | grep 219.94.aaa.bbb > z
%cat z
? (219.94.aaa.bbb) at 12:23:34:00:01:12 on em0 [ethernet]

これでマックアドレスがわかります。
12:23:34:00:01:12ですね。
これを一定時間ごとにとって、前回のと比較して、もし違っていたら(本来違うもんじゃないはずなので)ARPのっとられたってことでしょう。
ためしに、ファイルzを手でコピーして、中身を適当に書き換えて比較してみます。

%diff z z1
1c1
< ? (219.94.aaa.bbb) at 12:23:34:00:01:12 on em0 [ethernet]
---
> ? (219.94.aaa.bbb) at 11:23:34:00:01:12 on em0 [ethernet]

こういうことをして、違ってたらメールでもよこすスクリプトを書いて、cronで一定間隔で動かすようにしたらいいわけです。(さくらはcronが使える)

%cat arpcheck.sh
#!/bin/sh
/sbin/ping -c 3 219.94.aaa.bbb
/usr/sbin/arp -a | grep 219.94.aaa.bbb > /home/myhomedirname/z
a=`diff z z1` 
if [ -n "$a" ];
then
    echo "Error "
    cat /home/myhomedirname/z /home/myhomedirname/z1 | mail -s "ARP spoofing!" mymailaddr@my.domain
else
    echo "OK!  "
fi
/bin/mv /home/myhomedirname/z /home/myhomedirname/z1

(IPとかホームディレクトリ名とかは随時書き換え必要) これをさくらのコンパネで適当な間隔で実行するように設定するだけ。
コンパネの説明にもあるけど、こんな感じで実行情報をnullに捨てるようにしないとメールが山ほどきて泣きます

/home/myhomedirname/arpcheck.sh  1> /dev/null

これで、ARPエントリが前と変わったら、メールが飛んでくるはずです。
(最初の一回目だけ比較データがないからメールが絶対来ますが)
とりあえず鯖に仕掛けて様子をみてみます。

一行コメント


コメント
書き込みモードの選択
(SPAM防止のために質問に答えてください)  [Q]なぐったね!?  [A]
     
コメント欄の使い方の説明(つかる画像一覧や質問の意味がわからない人はこちらを参考に)       カキコミの練習はこちらでどうぞ

このページは2008/06/06の日記です
一つ前のページは竹千代日記/20080602です
一つ後のページは竹千代日記/20080609です

ご意見ご感想とかあったらお気軽にください。
メールとかでも結構です
matudaira_takechiyo@takechiyo.from.tv

mixiで読んでいる人はメッセージでも結構です。

トップ   リロード   一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2022-08-24 (水) 09:37:47