[過去ログ] 2ch特化型サーバ・ロケーション構築作戦 Part20 (1001レス)
1-
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
743(1): root▲ ★ 2006/03/20(月) 23:35:52 ID:???0 AAS
おはようございます。

過去ログ部分のrsyncをゆっくりにして(rsyncの系統を分ける)、
>>742 のような策も入れてみようかと。
744: 動け動けウゴウゴ2ちゃんねる 2006/03/20(月) 23:43:08 ID:4MqdJb6z0(1)調 AAS
鯖に関して外部との共同作業ってのは、初めてかもしれないな
745: 動け動けウゴウゴ2ちゃんねる 2006/03/21(火) 01:11:05 ID:+mO7md5D0(1)調 AAS
系統を分けるんなら負荷の低いときには早めに同期するとかしてほしいなあ
746: ◆Reffiz2Zh. 2006/03/21(火) 01:20:13 ID:yoz+wfO50(1)調 AAS
いつの間にか出てたようです。

squid-2.5.STABLE13
外部リンク[html]:www.squid-cache.org
747(2): 動け動けウゴウゴ2ちゃんねる 2006/03/21(火) 10:51:03 ID:8MeS4SLs0(1/2)調 AAS
740なこといいましたが、本当にrsyncのファイルアクセスのせいかわからないので、
メモリに余裕があるのなら、まずは、 kern.maxvnodes=200000ぐらいにして
リソース待ちが発生しないかためしてみるのがよいのかも。
748(2): root▲ ★ 2006/03/21(火) 11:54:06 ID:???0 BE AAS
rsync がいなくてもリソース待ちが起こったのを確認しました。

で、これが効くといいかなと。

【団子】負荷監視所_20060319
2chスレ:liveplus

168 名前: ◆MUMUMUhnYI [sage] 投稿日:2006/03/21(火) 11:51:03.36 ID:iMM5RZdi0 ?#
>>163 >>166
Apache status を見ると、L が死ぬほどありました。
つまり、ログを書くところで詰まりまくり。

Scoreboard Key:
"_" Waiting for Connection, "S" Starting up, "R" Reading Request,
"W" Sending Reply, "K" Keepalive (read), "D" DNS Lookup,
"C" Closing connection, "L" Logging, "G" Gracefully finishing,
"I" Idle cleanup of worker, "." Open slot with no current process

TransferLogしているのも原因かも。

いずれにせよlive22でPVとる必要も意味もないので、
この部分コメントにしたです。
749(1): root▲ ★ 2006/03/21(火) 11:55:45 ID:???0 BE AAS
>>747
>>748 を見てから、ってかんじですかね。
それでも起こるようなら、入れる感じで。
750(1): 動け動けウゴウゴ2ちゃんねる 2006/03/21(火) 12:42:59 ID:8MeS4SLs0(2/2)調 AAS
>>749 乙です。
vfs.numvnodesが余裕あるようでしたら、
必要ないのかなと思います。
# こいつの解放タイミングがわからないので、
# 通常は低いんですかね。
751(1): 株価【】◆cZfSunOs.U 2006/03/21(火) 12:44:57 ID:EGGvOWyW0(1)調 AAS
>>748 乙です.なるほど,logbuffer ってやつですか.
それでまた一歩前進になるのかな.

# >>717 もちょっと気にかかりますが.
752(2): root▲ ★ 2006/03/21(火) 16:32:58 ID:???0 BE AAS
live22x1 でも、

em1: RX overrun

が。

で、live22 は httpd が signal 10 でダウンしたりした模様。

フロントもPREEMPTIONなし、DEVICE_POLLINGありにするかんじかなと。
あと、ex14も。
753(1): root▲ ★ 2006/03/21(火) 16:33:26 ID:???0 BE AAS
で、Apache status のログをあとで観察してみる。
754(3): root▲ ★ 2006/03/21(火) 17:07:14 ID:???0 BE AAS
外部リンク[html]:mumumu.mu

また、32bitカウンタがあふれたです。< BG3
2分に1回だから、携帯系のフロント <=> バックの間300Mbpsぐらい出たのか。
なんかみんなすごいな。
755(1): root▲ ★ 2006/03/21(火) 17:08:51 ID:???0 BE AAS
雪だるま(mrtgs)同様、1分に1回に。>>754
756: root▲ ★ 2006/03/21(火) 17:12:12 ID:???0 BE AAS
>>754-755
ヒット率が落ちなかったので、まだBG3/4は生き延びられるのかな。
外部リンク[html]:mumumu.mu

しかし、次の瞬間には・・・。
757: 動け動けウゴウゴ2ちゃんねる 2006/03/21(火) 17:14:06 ID:POrVUVF+0(1)調 AAS
あれ、VIP落ちてませんか?
外部リンク[html]:ch2.ath.cx
758: 動け動けウゴウゴ2ちゃんねる 2006/03/21(火) 17:17:54 ID:EX/sKDGu0(1)調 AAS
寿命です
759(1): root▲ ★ 2006/03/21(火) 18:03:18 ID:???0 BE AAS
>>752
> PREEMPTIONなし、DEVICE_POLLINGありにするかんじかなと。
> あと、ex14も。

ex14 done.
760: root▲ ★ 2006/03/21(火) 18:09:25 ID:???0 BE AAS
あと作業としては、

・live22x[1-3], ex14: apache2.2 + patches に入れ替え、libthr に再変更
・matd がめいっぱいかどうか検証 >>751
>>753
>>752
>>740 >>747 >>750
>>742-743
・RELENG_6_1 が来たら更新
761(1): root▲ ★ 2006/03/21(火) 18:17:04 ID:???0 BE AAS
で、ロケーション系では、

・game10 news19 hobby7 BBQ 移動手配
・その後フロント、バック増設

あと、フロント増設時に1台を過去ログ専用にして、
過去ログのrsyncはそこだけにして、他はmod_proxyでとばしてみるとか。
762(1): ◆TWARamEjuA 2006/03/22(水) 00:15:47 ID:i1mDfWyo0(1)調 BE AAS
黒やぎさんのhttpdを触っている?・・・ってないですよね?
httpだけお返事がないみたいです。。。

外部リンク[cgi]:sv2ch.baila6.jp
763(1): 動け動けウゴウゴ2ちゃんねる 2006/03/22(水) 12:24:12 ID:7LE2Hpw30(1)調 AAS
>>754
bsnmpdなら64bitカウンター使えるんですがねー
UCD-SNMP-MIBが使えない・・・
764: root▲ ★ 2006/03/22(水) 21:09:50 ID:???0 AAS
BG4はカーネルパニックか。

%cat info.1
Dump header from device /dev/da0s1b
Architecture: i386
Architecture Version: 2
Dump Length: 2146500608B (2047 MB)
Blocksize: 512
Dumptime: Tue Mar 21 06:31:02 2006
Hostname: tiger512.maido3.com
Magic: FreeBSD Kernel Dump
Version String: FreeBSD 6.0-RELEASE-p2 #0: Fri Jan 13 10:22:04 PST 2006
root@tiger512.maido3.com:/var/src/sys/i386/compile/I386_TIGER_60_BLACKGOAT
Panic String: page fault
Dump Parity: 52599871
Bounds: 1
Dump Status: good

%kgdb /boot/kernel/kernel vmcore.1
[GDB will not be able to debug user-mode threads: /usr/lib/libthread_db.so: Undefined symbol "ps_pglobal_lookup"]
GNU gdb 6.1.1 [FreeBSD]
Copyright 2004 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB. Type "show warranty" for details.
This GDB was configured as "i386-marcel-freebsd".
(no debugging symbols found)...Attempt to extract a component of a value that is not a structure pointer.
(kgdb) where
#0 0xc0505f3e in doadump ()
#1 0xc06f9f60 in buf.0 ()
#2 0xf15f1b8c in ?? ()
#3 0xc0506429 in boot ()
Previous frame inner to this frame (corrupt stack?)
(kgdb) quit
765: root▲ ★ 2006/03/22(水) 21:11:43 ID:???0 AAS
>>762
今はアクセスできるような。
外部リンク[txt]:blackgoat4.2ch.net

>>763
お、標準のやつならできるのですか。
766: root▲ ★ 2006/03/22(水) 21:13:54 ID:???0 AAS
>>759
ex14 は PREEMPTION 無効のみでした。
767(1): ◆ANGLERlqvM 2006/03/23(木) 10:27:15 ID:axx25+fa0(1)調 BE AAS
Security Advisoryが3件出ますた。

外部リンク[asc]:ftp.freebsd.org
外部リンク[asc]:ftp.freebsd.org
外部リンク[asc]:ftp.freebsd.org
768: 動け動けウゴウゴ2ちゃんねる 2006/03/23(木) 11:15:09 ID:xWxnCIui0(1)調 AAS
>>767
2chで直接影響するものはなさそうですね・・・・
しいて言うならsendmailだろうけど、つかっていなさそうですし

いづれにせよroot先生のご判断しだいですが
769: 動け動けウゴウゴ2ちゃんねる 2006/03/23(木) 18:07:32 ID:ixynDoQk0(1)調 AAS
保守age
770(1): root▲ ★ 2006/03/24(金) 12:59:28 ID:???0 BE AAS
2chの動作報告はここで。 パート19
2chスレ:operate

ということで、特定のIPアドレスからの特定CGIの過激な起動を検知して、
例えば 403 エラーとか特定の URI とかを返すようなよい Apache モジュールって、
何があるのかしら。
771: root▲ ★ 2006/03/24(金) 12:59:56 ID:???0 BE AAS
…昔一時的に使ったdosなんちゃら(evasiveだっけ)とかかな。
772: root▲ ★ 2006/03/24(金) 13:03:08 ID:???0 BE AAS
名前変わったのね。

外部リンク:www.nuclearelephant.com
773: root▲ ★ 2006/03/24(金) 13:08:15 ID:???0 BE AAS
記憶をたどっていますが、
前にみた時には、<Files bbs.cgi> </Files> とかで囲むことができないから
いまいちだなぁって話を、確かしたですね。

【Project peko】2ch特化型サーバ・ロケーション構築作戦 Part15
2chスレ:operate
774(1): root▲ ★ 2006/03/24(金) 13:12:31 ID:???0 BE AAS
最近パワーアップしているらしい、これとかかな。

外部リンク[php]:netnice.org
775(1): 動け動けウゴウゴ2ちゃんねる 2006/03/25(土) 10:57:09 ID:hGMEs7kM0(1)調 AAS
今更ですが、>>655 >>659 について調べたので、一応報告しておきます。
結論から言いますと、apacheのソースを見る限り、workerにてkillでプロセスが終了しないのは正しい動きです。
workerの場合、1プロセスにつき、

main thread x 1
listener thread x 1
worker thread x ThreadsPerChild

というように、ThreadsPerChild + 2個のスレッドが立ち上がるのですが、
killコマンドでプロセスにSIGTERMを送信した場合、そのシグナルは main thread で受け取ります。
main thread は、親プロセスからのプロセス終了指令が来るまでひたすら待機しており、
SIGTERMを受信した時は、一時的に待機を中断するんですが、すぐまた元の待機状態に戻ります。
シグナルハンドラは、デフォルトのものから何もしない関数に変更されているので、終了はしません。
776: root▲ ★ 2006/03/25(土) 18:49:35 ID:???0 BE AAS
2006/03/25 18:00:01 LA= 6:00PM up 6 days, 4:31, 0 users, load averages: 209.71, 406.11, 460.26

LAがすごいことになってたのね。

>>775
なるほど、おつです。
777(1): root▲ ★ 2006/03/25(土) 19:01:33 ID:???0 BE AAS
logbuffer を通さない形でのログとりを復活させよう。

これだと、何が起きたのかもわからないし、
仮に外から DoS られたりしても、何もわからない。
778: root▲ ★ 2006/03/25(土) 19:03:47 ID:???0 BE AAS
>>777 は live22 の話。
779(1): root▲ ★ 2006/03/25(土) 19:11:03 ID:???0 BE AAS
あと、live22 はもうひとつ問題があって、

%df /home
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/da1s1f 29633058 11180958 16081456 41% /home

既に HDD を4割以上、使っています。

どんどん書き込まれるから、ペースが速い。
遠からずいわゆる「リフレッシュ工事」が必要な状態に。

どうするのがいいのかなと。
780: root▲ ★ 2006/03/25(土) 19:12:52 ID:???0 BE AAS
今見たら、ex14もなかなかですね。

旧 ex10 の内容は消したのに(一度リフレッシュ工事している)、
もう7割以上か。

%df /home
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/da1s1d 34710178 22568858 9364506 71% /home
781(1): 株価【】◆cZfSunOs.U 2006/03/26(日) 20:37:19 ID:8afGRs720(1)調 AAS
>>770>>774 (mod_netnice) でできそうですね.

>>779>>761

>あと、フロント増設時に1台を過去ログ専用にして、
>過去ログのrsyncはそこだけにして、他はmod_proxyでとばしてみるとか。

というのを変形させて,過去ログ dat は全部 memories に転送して
live22 では過去ログを保持しないようにして,過去ログへのリクエストは
mod_proxy で memories に投げるようにするとか.
782(1): root▲ ★ 2006/03/26(日) 21:49:01 ID:???0 BE AAS
Mar 25 19:41:45 <12.3> tiger511 ntpd[552]: sendto(216.218.192.202): No route to host
Mar 25 19:42:13 <12.3> tiger511 ntpd[552]: sendto(209.51.161.238): No route to host
Mar 25 19:49:42 <12.3> tiger511 ntpd[552]: sendto(216.218.254.202): No route to host
Mar 25 19:58:48 <12.3> tiger511 ntpd[552]: sendto(216.218.192.202): No route to host
Mar 25 19:59:17 <12.3> tiger511 ntpd[552]: sendto(209.51.161.238): No route to host
...

ううむ、ネットワークカード(em)が虫を踏んだっぽい。< BG3

トラフィックが多いプライベート側はこけたら起き上がる仕掛けいれてあるけど、
パブリック側にも必要なのかも。
783(1): root▲ ★ 2006/03/26(日) 21:51:40 ID:???0 BE AAS
>>781 第一段落

日々、感染PCが増えてきている模様。なんだかなと。

>>781 第二段落
なるほど、
何らかの形で別サーバ(memoriesなど)に過去ログを送って、
mod_proxy でそこを参照させるというのが、一番有力そうですね。
784(1): root▲ ★ 2006/03/26(日) 22:35:28 ID:???0 BE AAS
>>782
プライベート側*も*、ダウンしていた模様。 < BG3
仕掛け(ifconfig downしてifconfig upする)が
動きまくった(けど復活しなかった)メールが、たくさんたくさん。

ううむ。
785(3): reffi@報告人 ★ 2006/03/26(日) 22:44:34 ID:???0 AAS
>783
沈静化したと思ったんですがまだ広がる気配があるのですか・・・
大量でしたら通報コースにしましょうか?
前回と違ってプロバイダも対応してくれると思います。
786(1): 水色@飛行石 ★ 2006/03/26(日) 22:46:33 ID:???0 AAS
>>785
私もそう思いますー。

とゆーか、感染しちゃう人は、別亜種もやっぱり拾って
感染しちゃうんじゃないですかねー。

作る方は、作って流すだけですからねー。
感染パソコンに何も出来ないって状態を打破しないと
駄目なんじゃないかなーと。
787(1): reffi@報告人 ★ 2006/03/26(日) 22:48:27 ID:???0 AAS
>785補足
通報対象を過剰にbbs.cgiをつついてる人に絞ればapacheのログ添付すればいい
ので簡単に作業できると思います。
(IPごとにログ抽出しないと行けないんですが)
788(1): root▲ ★ 2006/03/26(日) 23:40:38 ID:???0 AAS
>>785-787
ふむ。

今回、超高頻度なアクセス*そのもの*が問題になっています。
ようは、DoS攻撃を発生させるウイルスということになりますね。

単に通報案件にした場合、
地道なというか長丁場というか、永久に通報し続けなければならない予感がします。
つまりなんというか、その路線では幸せになれないような。

何とか、根本的な手だてはないものかなと。
789: root▲ ★ 2006/03/26(日) 23:55:20 ID:???0 BE AAS
今ざっとtmp6のアクセスログを見てみましたが、
22:00-23:00 の間のこのウイルスっぽいアクセスがあるIPアドレスは、
121 IPアドレスあった模様。
騒ぎが始まったときは 37 個(だったかな)だから、もう4倍近くに。

で、そのうちいちばんひどい一つからは、1時間で2万回近くのアクセスがあったと。
で、そういうのがそれこそ何十と。

そんなわけでtmp6は、今2ちゃんねるで最もアクセスされているサーバに。
外部リンク[cgi]:sabo2.kakiko.com
790(1): 水色@飛行石 ★ 2006/03/27(月) 01:21:53 ID:???0 AAS
>>788
>単に通報案件にした場合、
>地道なというか長丁場というか、永久に通報し続けなければならない予感がします。

えーと、その地道なものがやりにくいとゆーか、やれる仕組みがないなーと。
多分、鯖側の対応でも、永遠にやることになると思いますよー。
すでにもう半年以上戦ってるわけでー。

今回はDos攻撃みたいだから対応してくれてますがー、亜種はゴロゴロ
あるんですよねー。そちらは対応されてませんよねー。
すでにそれらはイタチごっこしてますー。

地道に焼くしかないんですがー、Rockすら出来ないと焼くことも
出来ないわけですよねー。
少なくとも今回のは、Rock&BBQでは対処不可能ですー。
791: root▲ ★ 2006/03/27(月) 01:56:11 ID:???0 AAS
>>790
うーむ、、、。

> 少なくとも今回のは、Rock&BBQでは対処不可能ですー。

ですね。
それはつまり、既存の仕組みではもはや対応できないと。

で、結局、
> えーと、その地道なものがやりにくいとゆーか、やれる仕組みがないなーと。

これなわけで。
つまりだとすると、この「仕組み」は、どうすれば作れるのかなと。
そこにポイントがあるような気がします。

これまで、Boo80/Samba24/BBQ/BBM/Rock54 etc. といった「しくみ」を
作ってきたわけで、新たな何かが必要になった、ということなのかなと。
792(1): root▲ ★ 2006/03/27(月) 02:02:43 ID:???0 AAS
新たな何か、か。

さて、どうするのがいいのか。

例えば、これかもなぁ、とか。
外部リンク[html]:sunos.saita.ma

とりあえず明日以降に備えて、今日のところはここまでかなと。
793(1): 株価【】◆cZfSunOs.U 2006/03/27(月) 02:03:25 ID:CnZazs6i0(1/7)調 AAS
tmp6 とかで mod_netnice を試してみるとかできないんでしょうか.
794(1): 株価【】◆cZfSunOs.U 2006/03/27(月) 02:05:57 ID:CnZazs6i0(2/7)調 AAS
>>792 乙です.mod_authz_iplist は DoS を自動検出する機能はないんで,
例えばバーボンで拒否ホスト数が増えた場合に使うとかなら有効かと.
795(1): root▲ ★ 2006/03/27(月) 02:07:57 ID:???0 BE AAS
>>793
tmp6 = banana340 は standard banana なので
(= 私はroot権限を持っていない)、
別途、調整等が必要になるですね。

もちろん、そういった調整を不可能だとは思っていませんです。
796(1): root▲ ★ 2006/03/27(月) 02:10:37 ID:???0 BE AAS
>>794
そういうことを考えています。

例えばバーボンを2系統にして、
フェータルバーボン(仮名)の場合、mod_authz_iplist に長期間期限で突っ込むとか。

で、フェータルになる要件を決めると。
(例えば、しつこくDoSってくるとか)

これのよさげなところは、従来のバーボンの仕組みを
拡張すれば、いけそうなところですかね。
797(3): root▲ ★ 2006/03/27(月) 02:17:31 ID:???0 BE AAS
で、ここに至るまでのこころは、

・deny で単にはじく負荷がばかにならない状況になってきた <= 今ここ
・よって、ここを軽くしたい
・カーネルレベルで deny する (例えばFreeBSD なら ipf とか)のは、まだとっておきたい
・root 権限なしサーバでもフレキシブルにdenyできるようにしたい(今の .htaccess っぽい手軽さ)
・うーん、なんとかならないかな

ってなかんじですね。
798(2): 株価【】◆cZfSunOs.U 2006/03/27(月) 02:23:52 ID:CnZazs6i0(3/7)調 AAS
>>795-797 なるほど.実のところ,ウィルスではないんですが
sunos.saita.ma/inspired/ でも性質の悪いクローラみたいなのが
度々やってきて猛烈に叩きまくるんで,DoS 自動検出・拒否の機能を
入れてるんですが,これは inspired が mod_cgidso 使ってるんで
直接その機能を埋め込んでもモジュールレベルで弾くのとほぼ同等の
軽さにできるんですよね.ただ bbs.cgi だとそういうわけにも
行かないでしょうし,さて......
799: root▲ ★ 2006/03/27(月) 02:28:20 ID:???0 BE AAS
>>798
bbs.cgi に mod_cgidso な「皮」をかぶせるとかすれば、できなくないのかしら。

DoS自動検出・拒否機能を持ったmod_cgidsoなbbs.cgiを準備し、
ユーザはそれを叩くようにして、そこでDoS検知・拒否だけして、
DoSじゃない場合にのみ、bbs-speedy.cgi(仮名)を普通にCGIとして実行するとか。
800(1): 株価【】◆cZfSunOs.U 2006/03/27(月) 02:31:09 ID:CnZazs6i0(4/7)調 AAS
>>798 DSO 版 bbs.cgi から internal redirect で bbs-speedy.cgi に振る
ってのはできそうですね.ただ,その bbs-speedy.cgi が直接外部から叩かれると
意味ないんで......そこをどうするかですね.
801(2): root▲ ★ 2006/03/27(月) 02:32:34 ID:???0 BE AAS
>>800
public_html の上に実態を置けるようにするとか。
これだと internal redirect はできないかもですが。
802: root▲ ★ 2006/03/27(月) 02:33:30 ID:???0 BE AAS
実態 => 実体 ですね。>>801
803: 株価【】◆cZfSunOs.U 2006/03/27(月) 02:36:20 ID:CnZazs6i0(5/7)調 AAS
>>801 そうすると......speedy プロセスを直接呼ぶとかいう感じですか.
ただ,worker MPM だと fork() とかやるといろいろ問題ありそうですし,
どうやるのがいいのか,う〜む......
804(1): 株価【】◆cZfSunOs.U 2006/03/27(月) 02:42:43 ID:CnZazs6i0(6/7)調 AAS
例えば

<Files bbs-speedy.cgi>
    Deny from all
    Allow from env=doschecked
</Files>

とかやって,bbs.cgi では doschecked という環境変数を設定する
とかすれば外から直接叩けず internal redirect だけ Ok ってできるかな......
805: root▲ ★ 2006/03/27(月) 02:45:15 ID:???0 AAS
>>804
なるほど。悪くないかも。
806(2): root▲ ★ 2006/03/27(月) 02:47:02 ID:???0 AAS
…ちと本日は、限界来ました。
PCたたんで寝床に移動するです。すんません。
807: 株価【】◆cZfSunOs.U 2006/03/27(月) 02:48:48 ID:CnZazs6i0(7/7)調 AAS
>>806 乙です.お休みなさい.
808: 動け動けウゴウゴ2ちゃんねる 2006/03/27(月) 02:54:27 ID:emc1bJcY0(1)調 AAS
>>806
乙!!。

>PCたたんで寝床に移動するです。すんません。
ノートでしょうか?w
809: ピロリ 2006/03/27(月) 04:27:05 ID:ElBjrGPT0(1)調 AAS
布団たたんでPCに移動するです。
810: 動け動けウゴウゴ2ちゃんねる 2006/03/27(月) 05:34:43 ID:o6g8ZGMFO携(1/2)調 AAS
ファイヤーウォール

コネクション数規制

ファイヤーウォール鯖咬ます
811: 動け動けウゴウゴ2ちゃんねる 2006/03/27(月) 06:18:39 ID:PvjnwT0j0(1)調 AAS
スパムのフィルタリングに使われてるベイズフィルタとか使えない…か。
会話してるスレしか機能しなくなりそうだもんなぁ。
812: ◆TWARamEjuA 2006/03/27(月) 07:18:37 ID:zknSZflW0(1)調 BE AAS
bbs.cgiをBBQだけチェックするCプログラムにして、
通れば本体(documentrootの外に設置)を起動しちゃうとかとか。

自鯖のsmtpdは、spamを送りつけてきた発信元IPアドレスを拾ってtcprulesさせているんだけれどもども。。。
tcpserverが載っけられるといいのになぁ。。。
httpd -i は、Apache 1.*のみでしたっけ。
813(1): reffi@報告人 ★ 2006/03/27(月) 09:02:52 ID:???0 AAS
確かに100件オーバーだと通報では対応できる話ではありませんねぇ・・・・
(出来ないこともないですが連日続いたらさすがに持ちません)
暫定対策としてどうすればいいか考えてみたんですけどこんなのはどうでしょうか?
これで時間は稼げるとは思うんですが

・tmp6だけサーチエンジンから隠す
・その上でtmp6をtmp7に変更
814(1): 動け動けウゴウゴ2ちゃんねる 2006/03/27(月) 10:12:55 ID:pOdgYdGQO携(1/2)調 AAS
6を7に書き替える手間
くらいの時間はかせげそうですね(棒読み
815: reffi@報告人 ★ 2006/03/27(月) 10:25:28 ID:???0 AAS
>814
今回のウィルスはサーチエンジンを使っているので十分防御効果は期待出来ると
思います。
(サーチエンジン使っても見えなければ爆撃できない)
816(1): 水色@飛行石 ★ 2006/03/27(月) 10:34:47 ID:???0 AAS
>>813
プロバイダ毎にまとめられないですかねー。
多分、20プロバイダもないと思うんですー。
2〜3日に1回でもいいと思いますしー。

そーゆー情報の整理してくれるボランティアさんも要りますかねー。

>・その上でtmp6をtmp7に変更

前にbbsmenuを変更した途端に爆撃再開したって事がありましたー。
人が目で見て追えるものは、いくらでも自動化可能かとー。

あと、ウイルス探索して通報してくれるボランティアさんとか、
すでにやってくれてますけど、改めているのかなー。

高速型は上で対応考えてくれてるよーですけど、
足の遅い亜種もいろいろ出回ってますしねー。
817(1): reffi@報告人 ★ 2006/03/27(月) 10:38:38 ID:???0 AAS
>816
う〜む、どうしたものか
とりあえず作業可能かどうか見てみたいので1時間程度のサンプリングログを
抽出してもらえないでしょうか? >rootさん
818: 動け動けウゴウゴ2ちゃんねる 2006/03/27(月) 10:44:30 ID:pOdgYdGQO携(2/2)調 AAS
十分間くらいの防御効果は期待出来るかもしれないですね(棒読み
819: 動け動けウゴウゴ2ちゃんねる 2006/03/27(月) 10:47:37 ID:2DFnWcxl0(1)調 AAS
何処を縦読み?
820: 動け動けウゴウゴ2ちゃんねる 2006/03/27(月) 10:53:43 ID:tJbqryxt0(1)調 AAS
荒らし対策の投稿コードすら潜り抜ける荒らしスクリプトがあるぐらいだしなぁ
加害者になったウイルス被害者に法適用した前例ってあったっけ
821: 動け動けウゴウゴ2ちゃんねる 2006/03/27(月) 11:27:18 ID:o6g8ZGMFO携(2/2)調 AAS
目に見えない工夫か。

書き込みのシステムで書き込み画面を別ウインドウにして・・・・いやなんでもないです
822: 動け動けウゴウゴ2ちゃんねる 2006/03/27(月) 12:36:50 ID:nV5Sj1NN0(1)調 AAS
本サーバーに防御の処理をさせるのは痛いので、やはり前に振り分け専用機が欲しい感じですね
823: stream ◆PNstream2s 2006/03/27(月) 17:17:53 ID:uUQKvXhf0(1)調 BE AAS
読み込みバーボンの改造でいける気がするけどなあ。

んでhtaccessじゃなくてmod_authz_iplistを使えば完璧。
824: 外野ァァン 2006/03/27(月) 17:21:33 ID:/XC2wMgb0(1)調 AAS
とりあえず「フェータルバーボン」っていう小難しい名称には反対しておく
825: 動け動けウゴウゴ2ちゃんねる 2006/03/27(月) 17:37:49 ID:2epuFuQP0(1)調 AAS
んだんだ
テキーラとかスコッチとかがいい
826(1): ◆garnetGnNk 2006/03/27(月) 18:28:45 ID:OmqMAvep0(1)調 AAS
>800
mod_cgidsoで呼ぶプログラムでreturn DECLINED;すると後ろにあるモジュールで残りを処理
なんてのは出来ないんですかねぇ?
そんなことするならフィルターにした方が早いかなぁ。
827(1): 株価【】◆cZfSunOs.U 2006/03/28(火) 00:23:50 ID:eR5teIn80(1/3)調 AAS
モジュール追加できるんなら mod_netnice あたりが DoS には有効だろうと思います.
ただ >>797 を読むと,できるだけモジュール追加などせずに対処したいということなのかなぁと.

>>826 r->handler や r->filename などを変えて DECLINED するって感じですか.
mod_cgi(|d) が mod_cgidso より後ろに入ってくれないといけないのでその点注意が必要ですが.
828(1): root▲ ★ 2006/03/28(火) 00:29:24 ID:???0 AAS
>>827
んと、モジュールを追加しないでというか、
メンテナンスコスト低く、かつ有効な手段がいいかなと。

バーボン小改造 + mod_authz_iplist をまず試してみる感じかなと思っているです。
829(1): root▲ ★ 2006/03/28(火) 00:30:46 ID:???0 AAS
>>817
寝る前に、本件、別途メールします。
830: 株価【】◆cZfSunOs.U 2006/03/28(火) 00:34:36 ID:eR5teIn80(2/3)調 AAS
>>828 なるほど,そういうことですたか.
831: root▲ ★ 2006/03/28(火) 01:44:47 ID:???0 AAS
>>829 done.

本日はこのへんで。
832(1): root▲ ★ 2006/03/28(火) 01:53:27 ID:???0 BE AAS
c.2ch不具合報告総合スレ5
2chスレ:operate

734 名前:動け動けウゴウゴ2ちゃんねる[sage] 投稿日:2006/03/28(火) 01:41:15 ID:SNDroSCmO
負荷監視所見てきたけど携帯鯖はいつもと同じ
だがメモリーズの8.45が気になるね。
収容板はなんでしたっけ?

735 名前:root▲ ★[sage] 投稿日:2006/03/28(火) 01:45:42 ID:???0
>>734
これも、見ないとなぁ。
たぶん、read.cgi の暴走。

736 名前:root▲ ★[sage] 投稿日:2006/03/28(火) 01:47:56 ID:???0
で、暴走プロセスを見ようと思っても、

%gcore 60655
gcore: read from /proc/60655/mem: Bad address

gcore が FreeBSD/amd64 では正しく動かないというのが、なんとも。

737 名前:root▲ ★[sage] 投稿日:2006/03/28(火) 01:52:32 ID:???0
apache2limits_enable="YES"
apache2limits_args="-e -t 1800"

を入れてみた。< memories

というか、スレ違いか。
あっちに貼っておこう。
833(1): 株価【】◆cZfSunOs.U 2006/03/28(火) 06:24:23 ID:eR5teIn80(3/3)調 AAS
>>832 以前,主にメモリ節約の観点から「64-bit カーネル + 32-bit バイナリ」
のような話も出てましたが,gcore の問題もそれで解決したりとか......?

あと,mod_authz_iplist 使うとしたら,今のうちから root 権限なし鯖での
組み込みの手配をしておけば,後でスムーズに事が運ぶとか......?
834: root▲ ★ 2006/03/28(火) 11:52:42 ID:???0 BE AAS
>>833
> あと,mod_authz_iplist 使うとしたら,今のうちから root 権限なし鯖での
> 組み込みの手配をしておけば,後でスムーズに事が運ぶとか......?

たしかに。
まず、どっかのroot権限ありサーバで試してみます。
835(1): ◆garnetGnNk 2006/03/28(火) 16:48:41 ID:YX//mEvV0(1)調 AAS
>827
ap_hook_handler()の第4引数をAPR_HOOK_FIRSTにするとどうなんだろうとか。
mod_cgiではAPR_HOOK_MIDDLEになっているので、先に呼ばれるはず。
前にmod_cgidsoでDECLINEDできないので、ぷち改造したときにやったことがあるです。
836: 株価【】◆cZfSunOs.U 2006/03/29(水) 06:17:49 ID:U3dBI2kH0(1)調 AAS
>>835 順序指定するとなるとそんな感じでしょうね.
837: root▲ ★ 2006/03/29(水) 14:21:01 ID:???0 BE AAS
210.135.99/0/24 の逆引きの件:

p2.2ch.net不具合報告スレ Part10
2chスレ:operate

管理人とブラジルの中の人にメールで状況を報告しました。
で、ブラジルの中の人に 210.135.99.7 を epg.2ch.net に設定してもらいました。
これで本件は作業完了ということで。
838: root▲ ★ 2006/03/29(水) 20:18:05 ID:???0 BE AAS
「国内のDNSサーバーが攻撃の踏み台に,管理者は対策を」,JPCERT/CC
外部リンク:itpro.nikkeibp.co.jp

ようは「どこからでも再帰検索を受け付け可能なDNSキャッシュサーバは、
DoS攻撃の踏み台として悪用されるおそれがあるから、
各DNSキャッシュサーバの管理者は、ちゃんとアクセスコントロールの
設定をしなさい」、という注意喚起。

2ちゃんねるでは、BIG-serverのサーバ・root権限ありサーバともに
すべてdjbdns(dnscache)で、dnscache はデフォルトでは外部からの
再帰検索を一切受け付けない設定なので、踏み台になるリスクは
かなり小さいですが、そんなわけで改めてここでも注意喚起をば。

ちなみに BIND だとデフォルト設定では「どこからでも再帰検索可能」で、
まさにこれに該当するので、注意が必要。
839: 動け動けウゴウゴ2ちゃんねる 2006/03/29(水) 23:41:38 ID:KVofpdq/O携(1)調 AAS
俺はLANのなかしか返さないし全部鯖やってるけど馬鹿はハニーポットで報復攻撃
840(1): 動け動けウゴウゴ2ちゃんねる 2006/03/30(木) 22:54:19 ID:m0ILMzLf0(1)調 AAS
悲劇は繰り返される…
外部リンク[html]:lists.freebsd.org
841: root▲ ★ 2006/03/31(金) 00:36:41 ID:???0 BE AAS
>>840
うわあ、、、。

外部リンク[html]:lists.freebsd.org
> I can only say that as a FreeBSD user and small scale contributor I very very
> very much appreciate all the work you've done. I hope you reconsider. FreeBSD
> needs people like you (well, they also need people like me but not as hard).

「very3つ」の表現を初めて見た。
でも、はげしくどうい。

外部リンク[html]:lists.freebsd.org
> see above, I am in a bad mood, I don't know when I will return, wish you can
> work better without me, I beg pardon if some mistakes I made and some
> words I said here brought inconvince to you and all other people.

うーん、、、。
842: 動け動けウゴウゴ2ちゃんねる 2006/03/31(金) 00:56:40 ID:FlFaTq9L0(1)調 AAS
自己顕示欲の激しい人だね
843: 動け動けウゴウゴ2ちゃんねる 2006/03/31(金) 06:15:44 ID:v0uPgQvK0(1)調 AAS
アジア人的な礼儀やメンツを重視する価値観?
844: root▲ ★ 2006/03/32(土) 02:13:51 ID:???0 BE AAS
質問・雑談スレ219@運用情報板
2chスレ:operate

in /usr/src/lib/libc/stdtime/localtime.c:

#define _MUTEX_LOCK(x) if (__isthreaded) _pthread_mutex_lock(x)
#define _MUTEX_UNLOCK(x) if (__isthreaded) _pthread_mutex_unlock(x)

time_t
mktime(tmp)
struct tm * const tmp;
{
time_t mktime_return_value;
_MUTEX_LOCK(&lcl_mutex);
tzset_basic();
mktime_return_value = time1(tmp, localsub, 0L);
_MUTEX_UNLOCK(&lcl_mutex);
return(mktime_return_value);
}

そうか、マルチスレッドセーフにする時って、
きちんとそういうこと(mutex lock/unlock)をしないといけないのね。

…いや、単にそうなんだなぁと思っただけで。
845: 動け動けウゴウゴ2ちゃんねる 2006/03/32(土) 06:41:23 ID:2Y+gFs7v0(1)調 AAS
まあ、tzset_basic()はタイムゾーンを設定するために、
staticな配列にstrcpy()したりしますしね。

あと、tzset_basic()とtime1()の呼び出しの間に他のスレッドがtzset_basic()を呼び出して、
別のタイムゾーンを設定すると、mktime()の結果が変なものになっちゃいますので。
846(1): 株価【】◆cZfSunOs.U 2006/03/32(土) 12:00:00 ID:e2a7u/780(1)調 AAS
mktime() が本来のレンジ外の値も適切に処理してくれるおかげで
日付や時刻の加減算が容易に行えるんですよね.例えば
「何日後の日付」「何日前の日付」ってのを自力で計算するとなると
月や年への繰り上がり・繰り下がりなんかも考慮しなければならず
煩雑な処理になりますが,mktime() を使えば日の部分だけ
加減算して渡せばあとはよきに取り計らってくれますから.
847: root▲ ★ 2006/03/32(土) 16:31:11 ID:???0 BE AAS
>>846
確かに、そうですね。
こんな発言もあったり。

質問・雑談スレ219@運用情報板
2chスレ:operate
848(2): root▲ ★ 2006/04/03(月) 11:41:55 ID:???0 BE AAS
2ちゃんねる画像掲示板(g2)はじめますた2
2chスレ:operate

2テラバイトHDD搭載 NASU-Bananaサーバー
外部リンク:www.maido3.com
外部リンク[html]:www.maido3.com

ふむふむ。
849(1): 動け動けウゴウゴ2ちゃんねる 2006/04/03(月) 11:53:46 ID:OuzWmeR/0(1/2)調 AAS
>>848
bananaに

外部リンク[htm]:www.infrant.com

にちかいものを接続したんでしょうか?
850: 動け動けウゴウゴ2ちゃんねる 2006/04/03(月) 11:56:03 ID:OuzWmeR/0(2/2)調 AAS
>>849
物は示されていたんですね、スマソ

2ちゃんねる画像掲示板(g2)はじめますた2
2chスレ:operate

153 名前: ◆MUMUMUhnYI [sage] 投稿日:2006/03/31(金) 01:28:25 ID:s7r8W/F60 ?#
これかしら。

Polywell NetDisk 1004SA
外部リンク[php]:shop.polywell.com
. Hardware RAID 0, 1, and 5
. 4 Hot-plug 250GB SATA disks

154 名前:マァヴ ◆jxAYUMI09s [] 投稿日:2006/03/31(金) 04:23:32 ID:NxiKCHBK0 ?#

>153
ぴんぽーん(^_^;)正解です!
さすが。

155 名前: ◆MUMUMUhnYI [sage] 投稿日:2006/03/31(金) 04:33:22 ID:s7r8W/F60 ?#
>>154
うふふ。当たった。
851(1): ひろゆき@どうやら管理人 ★ 2006/04/03(月) 16:25:51 ID:???0 BE AAS
movie.2ch.netのCNAMEを2ch.n1e.jpに設定して欲しいですー。
852: ピロリ 2006/04/03(月) 16:27:34 ID:1VGziyJJ0(1/2)調 AAS
はいはいー

と、安請け合いしてみる。
853: 動け動けウゴウゴ2ちゃんねる 2006/04/03(月) 16:33:27 ID:yt9LMv6y0(1)調 AAS
なんだファイルマンファクトリーって
854(1): 動け動けウゴウゴ2ちゃんねる 2006/04/03(月) 17:08:58 ID:MWOoi2W/0(1/3)調 AAS
今度は何を天
855: 動け動けウゴウゴ2ちゃんねる 2006/04/03(月) 17:12:34 ID:MWOoi2W/0(2/3)調 AAS
今度は何を…ってファイルマンかい
856: 動け動けウゴウゴ2ちゃんねる 2006/04/03(月) 17:14:45 ID:ibSyIr+20(1)調 AAS
今度は何を…
857: 動け動けウゴウゴ2ちゃんねる 2006/04/03(月) 17:23:34 ID:MWOoi2W/0(3/3)調 AAS
ヽ( `Д´)ノ ウワーン
858: ピロリ 2006/04/03(月) 18:03:06 ID:1VGziyJJ0(2/2)調 AAS
DNS情報の登録を確認しました。
movie.2ch.net. 1D IN CNAME 2ch.n1e.jp.

>>851
done
859: 動け動けウゴウゴ2ちゃんねる 2006/04/03(月) 19:36:23 ID:Su1IwLtB0(1)調 AAS
今度は何を天麩羅にするのでしょう。。。

と予想。>>854
860: ◆TWARamEjuA 2006/04/03(月) 20:05:42 ID:3IV4rCOI0(1)調 BE AAS
Done @ 鯖監視係。
861(1): 通りすがりのシステム屋 2006/04/04(火) 09:46:06 ID:Pgzd6bMb0(1)調 AAS
>>797
遅レスですが、本気でやるならアクティブファイヤウォールでは無いでしょうか?
正式にはNetwork IDS+Firewallの組み合わせで動的に防御します。

用件次第ではありますが、サービス鯖が正常な動作をしている間に遮断できれば良いのであれば
Network IDSとか持ち出さなくても、10min毎にAccessLogチェックしてn回以上投げて来るIPをFWで
遮断するのはいかがでしょうか?(1weekとか1month等の一定期間で解除)

もう少し許容できるなら、検知周期を30min毎や1h毎で。
一瞬でサービス鯖が落とされるような環境では使用できませんが・・・。

いずれにしてもFW鯖を建てた方がよろしいかと思います。
レイヤが上がれば上がるほど防御能力が落ちてしまいますし、遮断役が過負荷で倒れると悲しいので。
切り札は、サービス鯖IPFW2/ipfという事で。

もし、FWに廻せるマシンが余っていれば・・・ですが。
862: 動け動けウゴウゴ2ちゃんねる 2006/04/04(火) 13:10:29 ID:01MUU3Y10(1)調 AAS
>>861
それ以前に現状の2chのシステム構成上、その方法が取れるのはlive22系だけかも
863(4): ひろゆき@どうやら管理人 ★ 2006/04/04(火) 15:44:00 ID:???0 BE AAS
is.2ch.netのAレコードを210.135.99.39に変更してほしいですー。
864(1): 動け動けウゴウゴ2ちゃんねる 2006/04/04(火) 15:55:38 ID:THAbM1qY0(1/2)調 AAS
>>863
雪だるまスレに転載しといた
865(1): 動け動けウゴウゴ2ちゃんねる 2006/04/04(火) 15:57:39 ID:Cvwps7DG0(1)調 AAS
>>863
もしかして雪だるまスレのアドレス知らないとか
866: P061198250191.ppp.prin.ne.jp 2006/04/04(火) 16:02:58 ID:wtzGfeE+0(1)調 AAS
>>864
ここに書いておけば、そのうち伝わるかと。
210.135.99.0/24ということは、新しいほうの村かしら。
867: 動け動けウゴウゴ2ちゃんねる 2006/04/04(火) 16:08:19 ID:DAa+8tmz0(1)調 AAS
>>865
2chスレ:operate
のため、ここに書いたんでしょう。

ちなみに知ってはいると思うよ(前来たから
868(2): ピロリ 2006/04/04(火) 16:13:23 ID:loybmcoL0(1/3)調 AAS
>>863
done

DNS情報の登録を確認しました。
movie.2ch.net. 1D IN CNAME 2ch.n1e.jp.
869: ピロリ 2006/04/04(火) 16:16:20 ID:loybmcoL0(2/3)調 AAS
あっ

なんか時空をストリップしていた

>>868 は無かったことにしてちょ
1-
あと 132 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ
ぬこの手 ぬこTOP 0.582s*