2004-05-03
[ツッコミを入れる]
個人的なメモを記していくためのページです。
> cdrecord dev=8,0,0 -audio -dao -pad *.wavとすればカレントのwavファイルが書かれると思ったらあれトラック数が少ない。 それが650MB近辺だったものだらから、あぁそうかと
> cdrecord dev=8,0,0 -audio -dao -pad -overburn *.wavとしてもダメ。ファイル名に日本語があるとダメ?とか長いファイル名はダメ?とか 試行していたのだが結局 track_nn.WAVのように大文字の拡張子が書かれて いないだけだった。Unix上ならファイル名の大文字小文字は当然意識していがWindows上なので ぜんぜん頭に浮かばなかった。
2004-5-3 戸越にて
lV. 連絡先の決定
(1) サイトへ直接連絡する場合
サイトへ直接連絡する場合に使用できる連絡先としては、おおむね以下の連
絡先が考えられます。
(a) インターネットレジストリに登録されている連絡先
(b) ホストまたはドメインを管理するポストマスタ (postmaster@〜)
(c) RFC 2142 で紹介されているメールアドレス (ABUSE, NOC, SECURITY 等)
(d) ホストの管理用アカウント (root@〜, Administrator@〜 等)
(e) DNS の SOA レコードに登録されたメールアドレス
にあるメールアドレスに連絡する。メールが使えない、信用でき
ない状況にあるときは電話。その組織のwebの情報が
参考になることもあるが他の手段によって確認の取れない情報は信用しない方がよい。
電話番号ならばその電話番号自身を
検索するなどして他のサイトでも確かめたりNTTの番号案内で確認。
$ ls |wc
445 445 1672
$ echo `egrep -L "voila(\.|%2E)fr" *` # このパターンを含まないファイルを表示
419 434 # 2つ以外はこのパターンを含む。
本文はランダムな英単語で、あるドメインへのリンクがある点で共通している。
これは同一人物か同一組織の仕業だと思われる。ただしエラーメールに含まれるオリジナルメールのヘッダ
を見ても発信元がばらばら。主にヨーロッパ方面で発信されているが
いつくか.bbtec.netや.ne.jpのアドレスが見受けられる。どういう仕掛けで発信しているのだろう。
* 私が受信しているのはbounce mailなので元のメールに関して信頼できる情報が得られるわけではない。
どこに文句をいっていいのか調べるのは手間だ。
* WIDE Universityなんて試みがあるの知らなかった。
:0B: * .*voila%2Efr tmp2/.というレシピを追加。これでtmp2というフォルダに問題のメールは分離できる。
#!/usr/local/bin/perl
while(<>){
next unless (/^Received/ );
chomp;
foreach $i ( ($h) = /(([\w\.\-]+\.)+[a-zA-Z]{2,3})($|[^.\w])/ ){
# print "$i\n" if( $i );
}
foreach $i( /([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)/g){
print "$i\n";
}
}
というスクリプトでreceivedからIPアドレスとドメイン名を抜き出しても1箇所からじゃない。
$ /usr/bin/perl ~/foo.pl * |sort | uniq -c | sort -n | tail -n 20
21 221.29.132.95
21 mwinf3104.me.freeserve.com
21 mwinf3111.me.freeserve.com
22 67.11.199.220
23 193.252.22.156
23 213.180.234.250
24 213.171.219.240
24 217.12.12.192
24 5.0.2195.6713
24 mwinf3107.me.freeserve.com
25 68.201.153.163
27 195.50.106.135
29 193.252.22.158
30 24.95.59.194
32 server219-spam240.livedns.org.uk
65 193.252.22.157
198 mx.***.co.jp
315 mail.****.co.jp
513 **.***.**.**
547 127.0.0.1
$ perl ~/foo.pl * | tr -cs a-zA-Z0-9 '\n'|sort | uniq -c | sort -n | tail -n 20
34 org
36 ox
55 c
58 client
78 24
78 comcast
78 rr
123 ac
198 ****
265 ukl
265 yahoo
298 uk
304 net
360 me
362 freeserve
514 ***
533 jp
620 co
627 ****
853 com
jpドメインを偽装したspam (2004-5-6)これだ。ウチの会社に来て困ってるやつ。
この連休中からFrom: に jpドメインのメールアドレスを偽装したspamが大量に発生しています。FreeTeenMovies.exeをダウンさせようとするものです。
$ grep X-Originating-IP *|wc -l
534
$ grep -h X-Originating-IP *| sort | uniq -c | sort -nr
すると
11 X-Originating-IP: [66.252.164.226]
9 X-Originating-IP: [216.196.232.74]
8 X-Originating-IP: [67.11.199.220]
8 X-Originating-IP: [24.31.177.46]
6 X-Originating-IP: [68.198.203.127]
6 X-Originating-IP: [24.191.101.11]
6 X-Originating-IP: [24.189.27.184]
5 X-Originating-IP: [68.193.181.167]
5 X-Originating-IP: [68.170.213.153]
5 X-Originating-IP: [24.26.175.181]
5 X-Originating-IP: [24.176.154.144]
5 X-Originating-IP: [221.29.132.95]
5 X-Originating-IP: [211.187.219.25]
5 X-Originating-IP: [200.61.40.23]
5 X-Originating-IP: [194.174.226.242]
続き
のように非常にばらけたIPから出しているっぽい。abuse窓口を調べるのも手間だ。
$ ls | wc
1148 1148 4655
$ ~/exrec.pl * | ~/2gmt.pl | sort | uniq -c
件数 日付 時 (utc)
30 1900-01-00 00
1 1915-01-00 00
1 1922-01-00 00
1 2004-05-05 04
14 2004-05-05 09
26 2004-05-05 10
35 2004-05-05 11
36 2004-05-05 12
18 2004-05-05 13
14 2004-05-05 14
5 2004-05-05 15
2 2004-05-05 16
2 2004-05-05 17
1 2004-05-05 19
16 2004-05-05 20
18 2004-05-05 21
26 2004-05-05 22
21 2004-05-05 23
27 2004-05-06 00
11 2004-05-06 01
21 2004-05-06 02
19 2004-05-06 03
23 2004-05-06 04
18 2004-05-06 05
20 2004-05-06 06
16 2004-05-06 07
13 2004-05-06 08
9 2004-05-06 09
8 2004-05-06 10
2 2004-05-06 11
4 2004-05-06 12
3 2004-05-06 13
5 2004-05-06 14
5 2004-05-06 15
4 2004-05-06 16
6 2004-05-06 18
9 2004-05-06 19
6 2004-05-06 20
13 2004-05-06 21
9 2004-05-06 22
25 2004-05-06 23
21 2004-05-07 00
16 2004-05-07 01
19 2004-05-07 02
20 2004-05-07 03
16 2004-05-07 04
14 2004-05-07 05
21 2004-05-07 06
15 2004-05-07 07
17 2004-05-07 08
19 2004-05-07 09
14 2004-05-07 10
9 2004-05-07 11
16 2004-05-07 12
25 2004-05-07 13
20 2004-05-07 14
23 2004-05-07 15
31 2004-05-07 16
22 2004-05-07 17
22 2004-05-07 18
17 2004-05-07 19
20 2004-05-07 20
23 2004-05-07 21
23 2004-05-07 22
19 2004-05-07 23
29 2004-05-08 00
18 2004-05-08 01
27 2004-05-08 02
17 2004-05-08 03
14 2004-05-08 04
13 2004-05-08 05
7 2004-05-08 06
5 2004-05-08 07
4 2004-05-08 08
2 2004-05-08 10
1 2900-01-00 00
1 2906-01-00 00
1 2933-01-00 00
1 2977-01-00 00
1 2990-01-00 00
1 2991-01-00 00
* スパマーのスペル
spamerじゃなくてspammerが正しいようだ。間違った記述も恥さらしにそのまま。
* http://www.st.ryukoku.ac.jp/%7Ekjm/security/ml-archive/connect24h/2004.06/msg00043.html
ノートン・2001シリーズの延長キーの販売は、2003年10月11日を持ちまして終了致しました。 更新サービス(ウイルス定義ファイルのご提供)は2004年10月11日までとなります。あぁ。
会社で試そう。
http://www.geocities.jp/aoyoume/aotuv/ http://nyaochi.cocolog-nifty.com/audio/2004/03/modest_tuning_b.html http://www.rarewares.org/ogg.html http://www.rarewares.org/files/ogg/oggenc2.3GT3b2.zipmtb3で-q 5 で行こうかな。
ピープルウエア 第2版 − ヤル気こそプロジェクト成功の鍵(トム・デマルコ/ティモシー・リスター)
ゆとりの法則 − 誰も書かなかったプロジェクト管理の誤解(トム・デマルコ)
デッドライン―ソフト開発を成功に導く101の法則(トム デマルコ)虚都府警という言葉はでてくるけど担当者あるいは責任者の名前は報道されないんだよね。調べればわかるのだろうか。調べないけど。今度の事件に限らず、マスコミ、行政機関は組織に隠れた匿名の人間の集まりなんだよな。 アメリカのTVドラマだとかだど「強引な捜査」で地元のケーブルテレビに非難されている刑事なんて出てくるけど、あぁいうものは実際にあるのだろうか。
すくなくとも会社がプレスリリースを出すときは社長名が必ず出るんだし、同じぐらい行政組織も
社会にたいして「名前に責任」を持って欲しい。
I have many bounced mail. It include original mail that has link to exe placed on voila.fr. It is detected as Trojan Horse by Norton Antivirus. Dont click that link. also FreeTeenMovies.exe is same.
* And original mail address are spoofed. Dont claim to sender, please contact your ISP.
* このウィルス(じゃ無いけど)は2001年に対応していることになっている(Symantec Security Response - Dialer.Trojan)んだけど一度スキャンしたときには検出されなかた。念のためliveupdateしたら再起動が要求され再起動、もう一度スキャンしたら検出された。なぜだろうか。
* アドレス詐称されたspamのエラーメール。また来てます。今度は本文がBASE64だったり面倒なことをしてくれる。これはメールサーバがやってるかも。
b0b541703a13a7a12c5629bc3c06176b Moviies.exe
http://carf.site.voila.fr/FrreeLiveTeens.exe http://ddlr.site.voila.fr/FrreeTeenMovies.exe http://ddlr.site.voila.fr/Moviies.exe http://der.site.voila.fr/FreeTeenMovies.exe http://deyt.site.voila.fr/Moviies.exe http://dfop.site.voila.fr/FrreeTeenMovies.exe http://dfop.site.voila.fr/Moviies.exe http://dmmr.site.voila.fr/FreeTeenMovies.exe http://dmmr.site.voila.fr/Moviies.exe http://drty.site.voila.fr/FrreeTeenMovies.exe http://drty.site.voila.fr/Moviies.exe http://ert.site.voila.fr/Moviies.exe http://fdp.site.voila.fr/FreeTeenMovies.exe http://fdy.site.voila.fr/Moviies.exe http://fjm.site.voila.fr/FreeTeenMovies.exe http://gds.site.voila.fr/Moviies.exe http://gfrd.site.voila.fr/FrreeLiveTeens.exe http://gfz.site.voila.fr/Moviies.exe http://gtyu.site.voila.fr/Moviies.exe http://jlg.site.voila.fr/FreeTeenMovies.exe http://junp.site.voila.fr/FrreeTeenMovies.exe http://junp.site.voila.fr/Moviies.exe http://kifr.site.voila.fr/FrreeLiveTeens.exe http://kopp.site.voila.fr/FrreeLiveTeens.exe http://lalb.site.voila.fr/FrreeLiveTeens.exe http://mdd.site.voila.fr/FreeTeenMovies.exe http://mdd.site.voila.fr/Moviees.exe http://opn.site.voila.fr/Moviies.exe http://qin.site.voila.fr/Moviies.exe http://qoi.site.voila.fr/FreeTeenMovies.exe http://qqa.site.voila.fr/Moviies.exe http://qty.site.voila.fr/Moviies.exe http://wecn.site.voila.fr/FrreeTeenMovies.exe http://wecn.site.voila.fr/Moviies.exebut yesterday, another version was there at one time.
f341e5e2eba78ab1e47d2b2d4ab3a73e FreeTeenMovies.exe2004-05-17 add: this version is not detected as virus by Notron Antivirus
http://uk.geocities.com/s21i6g/ http://uk.geocities.com/uhpk59me/ http://www.geocities.com/aa5vg81n http://www.geocities.com/af65v8 http://www.geocities.com/d23e4/ http://www.geocities.com/d2a0o/ http://www.geocities.com/dernt6 http://www.geocities.com/ia7603/ http://www.geocities.com/k24s7/ http://www.geocities.com/lr60w http://www.geocities.com/q28ov91/ http://www.geocities.com/q8cud/ http://www.geocities.com/t48i5 http://www.geocities.com/u66a0some url added '?word' are same. it parameter just ignored.
パチンコ屋を賭博の正犯とする幇助の容疑で全国の公安委員会、および警察を家宅捜索しろ。
spamのバウンスまだ続いてます。最近のバリエーションでredirectorを利用してexeをダウンロードさせようとするものがありました。たとえばメールのURLにはexample.comというドメインが書かれているのだけれどそれにアクセスすると別のサーバーに飛ばされそこにtrojan horseが置いてあるというものです。もともとサイトが引越ししたときとかでユーザーの便利のために旧→新へ飛ばす事に使われたりするwebの機能です。 またプロバイダがユーザに提供しているwebのサービスだとURLがhttp://www.provider.example.com/userのようにプロバイダのドメインでページを開きますが覚えやすいURLを提供するサービスのためにURLのリダイレクタを使う場合もあります。 これを悪用するとユーザーには見覚えのあるドメインにURLを見せかけておいて別のサイトに置いた悪意のあるプログラムをダウンロードさせたりできます。
最近のspamでalljapan.comが利用されていましたが、これはalljapan側で対象のサブドメイン停止の処置をしたようです。
redirectの時のhttpプロトコルの応答。GET / HTTP/1.0 Host: xyz.example.com HTTP/1.1 302 Found Date: Mon, 17 May 2004 07:33:20 GMT Location: http://gvg.site.voila.fr/FreeTeenMovies.exe <-- トロイの木馬(trojan horse) Connection: close Content-Type: text/html
ポケベル時代」終えん…NTTドコモが新規を停止 YOMIURI ON-LINE / 経済memo
『エスパー魔美』オリジナル・サウンド・トラック-完全盤-モノラル音源が多いの(というかほとんど)で買ってびっくりしないように。
ファイルのダイジェスト(チェックサムのようなもの)を計算するプログラム。md5とsha-1対応。via セキュリティホール memo
http://www2.city.suginami.tokyo.jp/vod/vod.asp?genre=31
$ md5sum FreeTeenMovies.exe 81b17e9dbe79c3370d338260c230d2a9 FreeTeenMovies.exe
そんな中で、ああこの人たちとは深いところで何かを共有できてるなと思える体験は、本当にぼくの心を揺さぶります。皆さんにお会いできたことを、けれん味なく心から感謝できます。 YASWiki2実験室 - 行ってきました。
http://www.port139.co.jp/forensics/logon.ppt
via セキュリティホール memo
やられたときの対処。やられたと思ったときに「とりあえず」ログオンはだめ。ログオンしなければ取れない証拠、ログオンすることで失う証拠、ログオンで発動する罠などを勘案して手を打たなくてはいけないというお話。
システムの情報を保存するには物によってはメモリダンプをとることができるものがあると思う。昔の5550とか98にもあったかな。あるいはOSの強制ダンプの機能は使えないだろうか? VMware等の仮想システムなら仮想マシンの上に限っては完璧に保全可能か?
When to use elements versus attributes When to use elements versus attributes(via かえるの寝言)
銀行って2ちゃんねる以下。2ちゃんねるで犯行予告とかしたやつは捕まってるし、名誉毀損の裁判でも主催者(ひろゆき)に賠償命令がでている。でも銀行は? 犯罪者の片棒かついで何もなし。
盗撮目的でビデオカメラを隠し持っていた事実を認めたが、ビデオカメラを捨てた場所などは不明のままになっている。 同署は被害にあった女性が被害届を出さなかったことから刑事処分を見送っており、京都府警も本部長訓戒の内部処分にとどめ、警部補は十四年十月中に依願退職した。 (Yahoo!ニュース - 社会 - 産経新聞)
かつて勤務していた警察庁所管の財団法人のコンピューターに不正アクセスし、同僚だった女性職員のメールをのぞき見たとして、警視庁は25日、警察庁情報通信局の技官(47)を不正アクセス禁止法違反容疑で東京地検に書類送検した。同庁は同日、技官を減給100分の10の処分とし、技官は同日、同庁を依願退職した。 (MSN-Mainichi INTERACTIVE ネットワーク)
宇宙開発事業団に不正侵入の件で、警視庁はNEC東芝スペースシステムの元社員3人を不正アクセス禁止法違反容疑で逮捕したそうです (スラッシュドット ジャパン | 宇宙開発事業団の不正アクセス事件で3人逮捕)
社団法人コンピュータソフトウェア著作権協会 (ACCS) の個人情報流出事件 (ACCS事件) に関連し、不正アクセス防止法違反と威力業務妨害の容疑でoffice氏が逮捕された (スラッシュドット ジャパン | ACCS事件でoffice氏逮捕)
組織や個人の悪意を疑うより前に、単なる無能、あるいは病気でないか調べる。
Perl では EUC 文字列なら だいたい うまくいく, しかしながらちょっとめんどうな文字列置換を含む場合には いったん UTF8 に変換しないといけない.これはperlが文字単位で計算をしないのでたとえばある文字C1の漢字コードがa1,a2、文字C2の漢字コードがa3,a4、文字C3の漢字コードがa2,a3であるような場合に
$_ = C1 . C2; s/C3/xxx/;文字C3が含まれないのにバイト単位ではマッチしてしまうことだろうか。
* いまとなってはperl5.8を入れるのが良いと思う。 5.8と前のバージョンは共存できます。私は/usr/bin/perl(5.005_3) と /usr/local/bin/perl(5.8.4) で使いわけてます。
この資料の内容は、この資料の「この資料は以下の製品について記述したものです。」に記載された製品に関係します。 (822715 - [MS03-037] Visual Basic for Applications の問題により、任意のコードが実行される)うゎー、わけわからん。
古い Time::Local では cheat サブルーチンで 範囲チェック 指定した年月の開始 gmtime を計算し、%cheat にキャッシュ している。同一年月での2度目以降 timegm 呼び出しでは %cheat キャッシュを使用して cheat サブルーチンを呼びにいかないので、範囲チェックが実行されないという塩梅 (Naney's Diary)memo
サポート期間が長くなる。よいこと。
緊急セキュリティホットフィックスは 2006 年 6 月 30 日まで Windows Update にて提供 (Windows 98、Windows 98 Second Edition (SE) および Windows Millennium Edition (Me) サポートの延長)となっている。これは無償でセキュリティ修正が受けられということかな。偉い。「ライフサイクルポリシーの改訂」とは別の話であるが。
また、無償サポート、およびセキュリティ以外のホットフィックス サポートについては 2003 年 6 月 30 日で終了しています。 (Windows デスクトップ製品のライフサイクルガイドライン)
IE も Operaも,(略)どういうわけか,送信データ中にエスケープ文字 '\' があると,(おそらくエスケープ処理されないために)その前にさらに'\' を挿入してからサーバへデータを送信する.日本語の シフトJISコードで2バイトめが エスケープ文字'\' と同じ 5C になる文字(たとえば'表')でも同じことをする. (TAKENAKA's Web Page)IEの場合プロクシの設定をHTTP/1.1を使う設定にすれば直るそうだ。ということはテストのときはこの設定を両方テストするか、あるいはユーザーに仕様として設定変えてもらう必要がありそう。
* webのログに変なreferrerがきてたのはこれ関連だろうか。\ab\cdみたいに%でなく\でエスケープしてるやつ。
クラシック・ドーム
ソフト・ドーム
ソフト・リム
_ NuthPeagueNem [ <a href=></a> <a href=></a> <a href=></a>..]