日々ネタを模索する
会社でワーム騒ぎ。これで二回目。
気がついたのは、朝出てきて仕事用 PC を起ち上げると IP アドレスが取得できなかったので。とりあえず簡単に原因を追求するかぁと考えていたときはまだどうせ dhcpd が落ちただけだろうと、IP 静的に振ってサーバに ssh して、とりあえず dhcod を再起動しようとすると何やら「dhcpd.leases に書きこめませんよ旦那」というようなメッセージが出て起動しない。いろいろコマンド叩いていたら「容量が無い」みたいなメッセージが出るのに気づく(たぶんパイプで lv とかした時)。で、df すると / が 100% になっている。こりゃアカンわ。
何がそんなに容量喰ってるんだろう?と du -s -m /* とかすると /var/log 以下がえらく喰ってる。ls -al | lv したいけどできない。なんか適当なファイルを消してやる。で、確認すると syslog、kern.log、message などが 100M 超えてる。とりあえず kern.log を見ると内側のマシンが外の port 137 にパケット投げようとして引っかかってる ipchains の log が大量に。ほかのファイルも同じ。どうやら昨晩パケット投げまくりでログがパンクして dhcpd が止まってしまった模様。とりあえず echo > kern.log とかして容量空ける。
原因追求開始。とりあえず Windows なマシンのプロセスとか msconfig でスタートアップとかチェックして見覚えあるかマシンの持ち主に問い合わせる。すると Brasil.pif とかいうのが引っかかる。すかさず google すると案の定 Hit する。どうやら WORM_OPASERV.A が該当するらしい。駆除ツールを入手して全台チェック中。けど調べている中で netstat -M -n で外部の 137 と udp なものがリストアップされるのはナンかなっとくいかんな。ipchains で弾いているはずなのに。。。。マスカレードとフィルタの順序のかげんでこうなるのか。。。
しかしウイルスチェッカメーカの情報はなんで侵入経路情報があやふやで役に立たないんだ。可能性の高いと思われるものだけでも列挙しやがれ。
最近 137 を外から叩かれるのがえらく増大しているんだけど、これが原因なんか?
_ [FreeBSD-users-jp 71633] にも似たような事例が挙がってるし。。。。まさか自分がくらうとは。。。。
既に昼だ。朝からネットワーク復旧の対応で仕事してない(いや、それでなくても仕事せんけど(笑))。こういう対応の頻度が上がるならポリシーの変更が必要か?
現在は firewall ですべて NAT して、不要なパケットの侵入や、今回みたいに外向け 137:139 なんかはフィルタしているだけで、それ以外はすべてスルーだ。だからメールやブラウザ経由でワームとか持ちこまれると、内部ネットワークで長い間潜伏される可能性がある。(実際あったし)
しかし今回の様に感染してから感染経路を特定しようとしても、上記のウィルス情報などには手がかりがまったく無い場合が多い。こうなると具体的な対策が立てられんので「Outlook 使うな」とか「IE で javascript 全面禁止」とか強攻策に出られない。なので様子見となって現状維持となる。
やっぱり 80 と 25 と 110 は proxy にしてチェックかけるのが一番かなぁ。。。でも製品で運用する気力ないなぁ。。。
あえてファイルマネージャとは呼ばない(笑)。
Linux や FreeBSD ではシェルが賢いのであんまり必要性が高くないんだが、長いこと再インストールとかしてないと $HOME 以下が汚れて来たり、ソースやパッチをあっちこっちで展開したりすると、やっぱりファイラが欲しくなってきた。
基本的にはマウスなし(マウスでカチカチするとイライラする)で二画面でカスタマイズ(色とかも)できないとステとか要求が高いんだが、いまいち「カスタマイズしまくり」まで使いこむに至らない。
最近試したのでは gentoo (Not Gentoo Linux) だけどキーバインドを Configure な GUI でやると終了時に segmentation fault したりして設定ファイルを壊すのでやる気無くしたり。
他にも GUI なキーボート操作主体なファイラをいくつか試してみたけど、背景色が変更できなかったり(白いのは嫌い)、キーカスタマイズができなかったりと、なかなか「すぐに使える」のが見つからない。
ふと思い出して FDclone を試す。風の便りに二画面になるような話を耳にした気もするが、実際に試してみると確かに分割はされる。マニュアルを読むとソースでディスティネーションな操作もできるよう。が、上下分割だった。分割ウィンドウ間を行き来するとカーソルが上下に飛ぶのでちょっと辛い。が、実装方面から考えると「縦スクロール」なんかしなくても良くなるので利にかなってるかとか思ったり。
やっぱり CUI との親和性を確保するためには FDclone を使いこんだほうが幸せになれそうだな。GUI なヤツから CUI なエディタとか使うのどうすんだろう?。emacs 方面はなんか手段(gnuclient?)があるらしいんですが。。。。
3ju6FC <a href="http://ahwesqndbuqf.com/">ahwesqndbuqf</a>, [url=http://xqzxtzryilwj.com/]xqzxtzryilwj[/url], [link=http://cqmchfrruqfq.com/]cqmchfrruqfq[/link], http://qalayeisuhyk.com/