«前の日記(2005-12-24) 最新 次の日記(2005-12-26)» 編集

おこたの国


2005-12-25

_ [tDiary] CONNECT アタック

10時あたりから、 CONNECT メソッドでどこかのメールサーバーへ継ごうとするリクエストが間欠的にやってくるようになった。 Proxy を ON にしてるわけじゃないので、 通常なら 405 Method not allowed が返んなきゃいけないんだけど、 apache では、Document_root に CGI を置いていた場合、 405 にはならずに CGI プログラムを起動してしまう。

あれこれググってみると、<Limit><LimitExcept> で弾く例が載っている。 どれどれっと、

<Limit GET POST>
   Order allow,deny
   Allow from all
   Deny from env=EVIL
</Limit>
<LimitExcept GET POST>
   Deny from all
</LimitExcept>

などと、Document_root な <Directory>ディレクティブ内に書いてみた。 試してみると、403 Forbidden が返ってしまう。それは嬉しくないぞ。

他には、<Limit GET POST> の中で Options +ExecCGI するなんて例もあった。 400 Bad request になるとあったが、 CGI スクリプトの中が読めちゃったりしそうで怖いぞ。 が、試してみると 200 が返ってきた。何の制限もできてない。 あれ? なんか間違えたかな? いや、405 を返したいんだから、これを採用はせんけどね。

つうことで、tDiary の index.rb 自体、 HEAD か否かを判別してるところに手を入れてしまった(パッチ)。 美しくない。 とりあえず、apache 側で 405 を返せるようになるまでの暫定策。

CONNECT アタックは、日が変って 0:30 頃におさまった。 すべてが、25番ポート狙い。 実際には、数分に一回くらいのアクセスだったので、 マシンやネットワークのリソースをどうのというレベルの話ではないのだが、 対策作業は休日のいい暇潰しになった。

うちのサイトを経由して狙われていたのは、 yahoo.com 下の数台と台湾方面のセグメント(こっちは絨毯爆撃っぽい)。 接続元は総計 40アドレスほどで、接続回数の多いところは 10アドレスほど。 きちんと見たわけではないが、ほとんど台湾からだった模様。 まぁ、ボットネットなんだろうね。 うちは、CONNECT メソッドに 200 を返していたので、 OpenProxy だと思われてたということか。 なので、まだしばらくはこの手のアクセスは消えんかな。やれやれ。

しかし、この手の迎撃作業をするときには、 どうしても脳内にウルトラ警備隊のワンダバな曲がフルリピートでかかってしまう。 こういう曲こそ、iTMS に置いてあるといいのになぁ。

本日のツッコミ(全1件) [ツッコミを入れる]
_ nonami (2006-01-17 09:33)

ワンダバな曲はウルトラ警備隊ではなく、MATです。


2002|10|
2003|10|12|
2004|01|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|05|07|08|09|10|11|12|
2009|02|06|08|09|
2010|02|08|
2011|08|
2012|07|
2013|01|06|09|10|
2019|07|10|
2020|07|