セキュリティ Archive

何日か前だったと思うのだけど、いつものようにaptitude -uを実行して、更新されたり追加されたパッケージを、つらつらとチェックしている時に"libapache2-mod-spamhaus"というapache2のモジュールが新規追加パッケージにあるのを発見。
名前に"spamhaus"と入っているので、間違いなく有名なDNSBLであるspamhausを使ったアクセス制御なんだろうなぁ、と思っては居たのだけど、その時はインストールせずにスルー・・・。

実際のところ、掲示板へのスパムな書き込みには、ちょっと手を焼いていたところもあるので、インストールしてみました。
＃POSTを制限するために、.htaccessファイルをちまちまメンテナンスするのが、面倒で面倒で・・・。

Continue reading

ウィルスバスター2010が発表されたのですが、なんとWindows用とMac用を同梱したパッケージなのだとか。

ウイルスバスター2010では、Mac OSに対応したセキュリティソフト「ウイルスバスター for Mac」を同梱し、1本購入するだけで、WindowsかMacを問わず、最大3台のPCまでインストール可能な新ライセンス体系を導入した。この意図について、マーケティング本部 コンシューママーケティンググループ部長の吉田健史氏はこう語る。

Mac版を同梱した「ウイルスバスター2010」、Windows 7にも対応 - Enterprise Watch

ヒトバシラーしている時は、すっかりMac版単品でリリースされるんだろうなぁ、と思ってたんですけどねぇ。
BootCampでWindowsとか、仮想化ソフト上でWindows使ってる人にとっては、1パッケージ買えば両方で使えるというのは、ありがたいパッケージングだと思うし、同梱した上でも安いと思える値付けをしてきたトレンドマイクロに拍手、という感じ。

そしてこちら、Mac版は初登場となるカスペルスキー。

「Kaspersky Anti-Virus for Mac」は、シリーズ初のMac対応版となる。ウイルスやトロイの木馬やワームといった危険からMacを保護する。スキャン方法には、「完全スキャン」と「重要な領域の簡易スキャン」の2種類の方法が用意される。更新処理では45分に一回のウイルス定義ファイルの更新が行われるほか、隔離フォルダやバックアップ、レポートと通知などKasperskyがLinuxで培った技術がMac OSに反映される。

ジャストシステム、未知への対応を強化した「Kaspersky Internet Security 2010」 | パソコン | マイコミジャーナル

ジャストシステムが扱っているので、ATOK2009とセット・パッケージが用意されたりしているのは、ちょっと面白いと思う。

どちらも、Snow Leopard対応は間に合わなかったらしく、後日対応版をリリースになってますね。
ただ、ウィルスバスターはPower PC対応、カスペルスキーはIntel Macオンリーという違いがあったりするので、そのへんは自分の使ってるマシンのこととか考えて選べばいいでしょう。

当面は、PowerPC対応なのと、リリースが早いという点で、当面ウィルスバスター有利って感じでしょうか？
この分野のソフト、競争があった方がユーザ的には嬉しいので、どっちにも頑張って欲しいなぁ〜。

その後のヒトバシラーは、どうなったのかと言いますと・・・。
ベータテスト期間の終わりに、

何か操作する（「クイックメニューからウィルスバスター本体を起動する」とか、「クイック検索実行する」とか）度に「ウィルスバスター for Macが終了しました」というダイアログが出る。

ヒトバシラーから - Soukaku's HENA-CHOKO Blog

ということを、アンケートに正直に書いておいたら、トレンドマイクロのサポートの方から、何度か情報収集のお願いのメールを頂いて、対応していました。

サポートから送られてきた修正版のプログラム一式とか、ライブラリとか、チェック用プログラムとか動かしては、デバッグログを収集したり、実行結果を纏めてサポートに送り返す、というのを繰り返すこと数回・・・。
最終的にはウチでの不具合は解消はしなかったのだけど、修正に必要な情報はうまく取得することが出来たようで、こちらとしてもひと安心といったところでした。

あとは、このやりとりの結果が、製品に反映されることを祈るばかりです・・・。

昨晩、アキバの某ショップの通販で買ったメモリをExpress5800に取り付けた。まぁ、メモリ自体には問題が無かったのだけど、ふと気が付くと、もう1台あるサーバからのメールが配信されてこない。
慌ててチェックしてみたら、dk-filterでのチェック（Express5800側にやらせている）が失敗している。

まぁ、原因は

MTAとの連携も、前回と同じように、amavisdから呼び出すよう、/etc/amavis/conf.d/15-av_scannersを修正後に、amavisdを再起動すればいいのだけど、avgdが待ち受けしているポートが変わっているので、その点を注意。

AVGを8にしてみる - Soukaku's HENA-CHOKO Blog

だろうな、と言うことで、いくつか設定を変更した。

• lsof -i:54321の結果、avgtcpdがこのポートでLISTENしていた
  • いやね、この時点でへんだな、と気が付けば良かったんですが・・・。どういうことだったのかは、後半にて。
• dk-filterのLISTENポートを54321から12345に変更
• postfixのmain.cfに記載してあるmilterの設定で、dk-filterの部分を、前項にあわせて変更
• dk-filter、amavisd、postfixを再起動

Continue reading

以前、インストールしたAVGが、サーバを更新したどさくさで動いていなかったので、改めてインストールし直したので、メモ的エントリー。

ほんとに、ふとした思いつきで、AVG AntiVirusのLinux版を入れてみたので、備忘録的にメモ。

ふと思い立ったので、AVGを入れてみた - Soukaku's HENA-CHOKO Blog

7.5だったのが、8.5になっていたのだけど、非商用および個人利用は、相変わらず無償なので、安心して使えます。

AVG Anti-Virus Free Edition 8.5 for Linux

Basic antivirus protection for Linux/FreeBSD available to download for free. Limited features, no support, for private and non-commercial use only.

AVG Free - Download installation files & documentation

Continue reading

ウィルスバスター for Macですが、相変わらず、「停止しました」ってのは出続けているものの、ふつーに使っている分には、特に問題はないようです。

Continue reading

ソフトの使い勝手がどーとか、Blogに書かれること前提でしょうからねぇ。

最近Trendmicroはベータ版というヒトバシラーでうまいことやっていますね。

ウイルスバスター初の"Mac対応版"、今秋提供へ − ＠IT（情報元のブックマーク数） - ふうてんのまっちゃだいふくの日記★とれんどふりーく★

メーカーからすれば、「上手に口コミをマーケティングに使える」というメリットもあるのでしょうし・・・。

ってことで、自分的に使っていて気になる点を箇条書きで挙げておきたいと思います。まだ、インストールから4日目なのでたいして使い込んでいない状態ですが・・・。

• 何か操作する（「クイックメニューからウィルスバスター本体を起動する」とか、「クイック検索実行する」とか）度に「ウィルスバスター for Macが終了しました」というダイアログが出る。
• インストールしたことで、体感的にはマシンが遅くなった、ということはない。

という感じかなぁ〜。
実は、「ログ上はパターンファイルの更新をしているのに、いつまでもメイン画面では『アップデートされていません』と表示される」ってのもあったのですが、このエントリーを書き始める時にアップデートかけたら「保護されています」に、やっと変わってくれました。
＃何故なのかは、よく判らない・・・。

実際に今もクイック検索を実行しているのですが、マシン自体の操作が極端にしにくいというほど、負荷はかかってないような気がします。
ただ、他の人のところでは

前回のエントリーでいただいたコメントでネットワークのパフォーマンスにかなり影響がでていたとゆきちさんから情報いただきました。

木村工房BLOG | ウイルスバスター for Mac ベータ 再検証

という情報も出てきたと言うことなので、実際には影響があるけど、気が付かないだけなのかな？
＃この状態で、Safari 4.0.2のアップデート落としたけど、極端に時間はかかっていないしなぁ〜。

で、前のエントリーからのつづき。

再起動が終わってしばらくほっとくと、勝手にパターンファイルのアップデートがスタート。
あと画面上目立った変化というと、メニューバーにクイックメニューのアイコンが表示されること。これは、インストール終了直後には表示されて居るんですがね。ここからウィルスバスター本体を呼び出したり、パターンファイルのアップデートを指示したりすることが出来るようになってます。
クイックメニューからだけだと、フィッシング対策しかやってくれないのかな、というように感じるけど、もちろんファイルのチェックもやってくれるので、ご安心を。

で、パターンファイルのアップデートが終わらないとクイックメニューからは、ウィルスバスター本体の起動が出来ないようなので、直接アプリケーションのアイコンをダブルクリックして起動させてみた。

Continue reading

ダウンロード可能になっていたので、早速ダウンロード＆インストール。
とりあえず、ベータテスターとしての登録は済んでいたので、再度ベータテストに参加することを承諾してイメージファイルをダウンロード。

Continue reading

いよいよ、というか満を持してというか、Mac OS Xにもついにウィルスバスターがやってきます。

ベータ版については、同社の特設Webサイト「TREND BETA PORTAL CONSUMER」でダウンロード提供される。参加のための登録申し込みの受け付けが7月1日に始まっており、ダウンロード開始が7月6日からとなる。

ASCII.jp：ウイルスバスター初のMac OS版が今秋登場

ってことで、早速βテスターの手続き中だったりします。

トレンドマイクロというと、以前に紹介しているけど、Macにも対応したオンラインウィルススキャンを提供していたので、遅かれ早かれMac OS X向けの製品は出してくる予定だったのでしょうね。アメリカでは、既にMac OS X向けのソフトを2ヶ月前に出していたのだけど、今回はウィルスバスターブランドのようなので、どういう仕上がりのソフトになっているのか、ちょっと楽しみではあります。
他の有名どころも、これをきっかけに参入してくると、市場的には活発になって良い方向に行くんじゃないかと思うんですけどねぇ〜。

とりあえず、βテスタとしての登録は終わったので、ダウンロード開始以降に、またエントリーを起こしますね。

いつものように、apacheとかpostfixのリアルタイムに流して、眺めていたら、

srv002.infobox.ru - - [17/May/2009:21:25:31 +0900] "GET //administrator/components/com_serverstat/install.serverstat.php?mosConfig_absolute_path=../../../../../../../../../../../../../etc/passwd%00 HTTP/1.1" 404 446 "-" "libwww-perl/5.805"

というアクセスがあったのに気づいた。
勿論、うちではPHPを使ったツールは殆ど動いていないし、アクセスによっての影響がないのは判っていたのだけど、ちょっと調べてみたら、どうやら3年前に見つかったセキュリティホールを狙ったモノらしいことが判明・・・。

▽ Serverstat component for Mambo------------------------------------
Serverstat component for Mamboは、細工されたURLリクエストをinstall.serverstat.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。

ScanNetSecurity - セキュリティホール情報＜2006/09/19＞

多分攻撃対象になっているツールを使っているところは、とっくの昔に対策が済んで居るんだろうと思うけど、アタックしようとする方は機械任せで総当たりにやっているのだろうし、「ウチは大丈夫」なんて思わない方がよい、って例なんでしょうなぁ〜。
甘いパスワードが付いたアカウントを探すアクセスは、相変わらずあるし、ホント気を抜けませんな。

Mac向けのセキュリティソフトというとNorton AntiVirusとかインターネットセキュリティバリア X5あたりが、メジャーという感じですが、いよいよトレンド・マイクロもMac OS X用の製品を出すのだとか。
こういったソフトは、競争原理が働いてくれる方が、製品自体の機能の向上や低価格化が進むわけで、ユーザとしては歓迎すべき流れになってきて居るんじゃないでしょうか。参入してくると言うことは、それなりに売れるという判断した、ということなのでしょう。

米Trend Microは22日、Mac用のセキュリティソフト「Smart Surfing for Mac」を発表した。同社サイトでダウンロード販売しており、価格は年額69.95ドル。Mac OS X 10.4.11以降および10.5.5以降に対応する。

米Trend Micro、Mac用セキュリティソフトを発売

ただ、日本での展開は、

　日本法人のトレンドマイクロによると、この製品を日本市場に投入するかについては、現時点では未定だとしている。

米Trend Micro、Mac用セキュリティソフトを発売

だそうですが、是非とも日本向けにも出して欲しいモノです。

出ることが決まって、地域によっては手続きの始まっている定額給付金。
実際のところ、その効果があるかどうかは、非常に疑問符が付くところですが、受給手続きでかなりの混乱を引き起こしそうですねぇ。自分の住んでいるところは、まだ細かい点が詰めきれていないためか、4月中に申請書送付と言うことしか、情報がない。

他の区の状況を見ていると、

先ほどの疑問を解決すべく、再度問い合わせてみました。

先ほど電話した者です。先ほどの説明では、クレジットカードの裏面に、口座番号が有るが口座名義人がない場合でも、それをコピーして添付しろとあった。これは、前回の説明にあった、口座名義人＝世帯主を確認することはできないのではないか？

2009-03-20 - TOTOROの自堕落　日記

本人確認の方法が拙くないか、というコトを書いている人が居たりするので、現場レベルではかなり混乱して居るんであろうコトが、よく分かるというかなんというか・・・。

ツールキットが出回ると、たいした知識無しにウィルスが作れてしまう、というのは怖いですなぁ。
しかも、小学生が探し出せるってことだとしたら、作成ツール自体は目に付きやすいところに流通しているということの裏返しなのかも知れず・・・。

Trend Microはこの騒ぎについて、初歩的なマルウェア作成のツールが簡単に入手でき、小学生でもこのような「攻撃」を実行できてしまうというのは恐ろしいことだと述べている。

簡単にできる恐ろしさ：オバマアイコンを表示するウイルス発生――小学生に作成の疑い - ITmedia エンタープライズ

本当に作ったのが小学生だとしたら「悪いこと」だと認識して作っていたと言うより、おもしろ半分だったというほうが当たっていそうな気がするし・・・。

日本でも最近、

インターネットのＩＤとパスワードを盗もうとした「ハッカー」から逆にパスワードなどを盗み返したとして、愛知県警は５日、兵庫県尼崎市の中学３年の少年（１５）を不正アクセス禁止法違反の疑いで書類送検した。

asahi.com（朝日新聞社）：「ハッカー」に逆襲、パスワード盗み返す　中３書類送検 - 社会

という事件がありましたね。
報道の内容から行くと推測すると、パケット解析してみたら判ったというレベルではないかと思うのだけど、パケット解析のやり方とか必要なツールの情報はネットで容易に調べられても、解析した結果を悪用することが罪に問われる、ということまでは判らなかったのでしょうね。
他人のID・パスワードを勝手に使うことは悪いことだというのを、どこかで教えられていれば「彼」のほうが罪に問われることはなかったかも知れない訳ですから。

Continue reading

で、やっと終わりました。orz

仕方ないので、しばらく放置することにして、2時間ほど外出して戻ってきたのだけれど、こんな（←）具合で、まだまだ終わりそうにありません。

オンラインのウィルススキャナを試す - Soukaku's HENA-CHOKO Blog

1回目、順調に進んで居るなぁ、とちょこちょことチェックしていたのだけど、結局放置したまま寝て起きたら、FireFoxが異常終了してまして・・・。スキャンを繰り返すこと数回。やっとスキャンが完了して結果画面を拝むことが出来ました。
＃正確な時間は測らなかったけど、たぶん優に半日はかかったいたと思う。
＃比較対象がないので、何とも言えませんが、多分マシン性能で所要時間が左右されるのではないかと・・・。

Continue reading

はなずきんさんのところで、紹介されていたTrandmicroのHouseCallを試してみた。

多くのオンラインスキャンがWindowsが導入されている端末で且つ、ActiveXコントロールを利用するため、Internet Explorerを用いないと検査ができないのに対し、
TrendmicroのTrend Micro HouseCallを見てみると、↓なんと、MACサポートしてるじゃん！*1

TrendmicroのオンラインスキャンがMacやLinuxも対応している件とTrialPay - インフラ管理者の独り言（はなずきん＠酒好テム管理者）

Safariには対応していないと言うことなので、FireFoxを起動してHouseCallのサイトにアクセス。

Javaアプレットのダウンロードをするところで、Javaアプレットの認証を求められるので、OKボタンをクリック。
そのまま待っていると、アプレットのロードが完了して、HouseCallのメニュー画面に。

メニューで、スキャンしたいディレクトリを選択したり、スキャンの内容を変えたり出来るようだけど、特に変更を加えずに「Scan complete computer for malware, grayware and vulnerbilities」の下にあるNextボタンをクリックして、スキャンをスタート。

Continue reading

普段、自分トコに来るメールは、すべてGmailに転送して、携帯で読めるようにしているのだけど、昨日は朝から「転送されるメールが少ない（＝メールが届いてない）なぁ〜」と思って、Webにアクセスしても、タイムアウト。IPアドレスでならアクセスできたので、「DNSだけがおかしい」というのは判ったのだけど、会社からでは手が打てないので、帰宅後にDNSキャッシュをクリア。
メールの配送が正常になったのを確認したあとに、syslogを漁ってみたところ、

Jan 25 07:48:15 eswat2 named[23242]: client 206.71.158.30#52179: query (cache) './NS/IN' denied
Jan 25 07:48:15 eswat2 named[23242]: client 206.71.158.30#52689: query (cache) './NS/IN' denied
Jan 25 07:48:15 eswat2 named[23242]: client 206.71.158.30#14378: query (cache) './NS/IN' denied
Jan 25 07:48:17 eswat2 named[23242]: client 206.71.158.30#14308: query (cache) './NS/IN' denied

というアクセスが短時間の大量にあった模様。
多分コレが原因だろうなぁ〜と思っていたら、

Nanogメーリングリストによると、isprime.com のキャッシュ 66.230.128.15と66.230.160.1から、'NS? .' という多量のDNSクエリが届いた模様(一種のDNS増幅攻撃)。ISPrimeからのメールでは76.9.31.42/76.9.16.171に対してDNS再帰攻撃を掛けられたようだ。

yebo blog: 大規模なDDoS攻撃でNetwork SolutionsのDNSサーバに影響

と言う話しがあることを、とあるMLで発見。

Continue reading

必ずと言っていいほど、数年おきにウィルスの大規模感染が発生しますねぇ。報道されたモノは、間違いなく氷山の一角に過ぎないわけで・・・。
＃かく言う、自分の職場に近いところでも、バタバタとしていたんですがね・・・。

警視庁のオンラインシステムに接続している端末のパソコンが、「Ｗ３２・Ｄｏｗｎａｄｕｐ・Ｂ」と呼ばれる新種のネットワーク感染型ウイルスに感染し、同庁がウイルス駆除のため、２２日午後から断続的にオンライン業務を停止していることがわかった。

警視庁ネットワーク、ウイルス感染...完全復旧週明けに : 社会 : YOMIURI ONLINE（読売新聞）

読売新聞が主な３０大学に聞き取り調査したところ、半数近い１３大学で５００件以上の感染が確認された。大勢の学生がＵＳＢメモリーを持ち込み、共有のパソコンを使うことが多い大学は、その管理の甘さもネックとなって感染の温床に。重要な研究成果が流出する恐れもあるだけに、文部科学省は昨年末、全国の国立大学に文書で注意を呼びかけた。

ＵＳＢメモリー経由のウイルス感染、大学で猛威振るう : 社会 : YOMIURI ONLINE（読売新聞）

今回は、年末年始を挟んでしまったことも、拡散させる要因の一つになってしまったんじゃないかなぁ〜、と言う気がします。長期の休み明けは、最新のパターンファイルになっていないPCが相対的に多くなってしまうし、ちょっとしたタイミングのズレが悪い方向に向かった時が怖いなぁ、と・・・。
＃作業用で、常時LANに繋いでいないヤツとかが、盲点になったりね。

月曜日は、要注意、ということで。

今回のウィルス蔓延の原因とも言えるセキュリティホールの開設があったので、それも紹介しておきます。

日本国内よりは、おもに海外が主ですが、Conficker (Downadup)について、Microsoft Malware Protection Center (MMPC) Blogで良い記事が出ていたので、抄訳をこちらに掲載しておきます。

日本のセキュリティチーム (Japan Security Team) : Conficker(Downadup)ワームに関するまとめ

AVG Anti-Virusをインストールして、amavisdから呼び出すように設定したのは良いのだけど、実際にはmail.logに

Jan  3 22:53:11 eswat2 amavis[12104]: (12104-02) (!!)run_av (AVG Anti-Virus) FAILED - unexpected , output="220-AVG7 Anti-Virus daemon mode scanner\r\n220-Program version 7.5.51, engine 442\r\n220-Virus Database: Version 269.19.5/1228  2008-01-16\r\n220 Ready\r\n200 OK\r\n"
Jan  3 22:53:11 eswat2 amavis[12104]: (12104-02) (!!)AVG Anti-Virus av-scanner FAILED: CODE(0xa7be3c0) unexpected , output="220-AVG7 Anti-Virus daemon mode scanner\r\n220-Program version 7.5.51, engine 442\r\n220-Virus Database: Version 269.19.5/1228  2008-01-16\r\n220 Ready\r\n200 OK\r\n" at (eval 88) line 527.

と、呼び出しがうまくいっていないようなログが記録されているのが気になったので、チョット調べてみた。
設定自体は、前のエントリーに書いてあるとおり、付属ドキュメントを参照しつつ設定を行ったのだけどね。

ちなみに、AVG本体は/opt/grisoft/以下にインストールされ、ドキュメント類も/opt/grisoft/avg7/doc/にあるので、そこにあるREADME.amavisを参照しつつ、amavisd-newの設定を変更。

ふと思い立ったので、AVGを入れてみた - Soukaku's HENA-CHOKO Blog

Continue reading

ほんとに、ふとした思いつきで、AVG AntiVirusのLinux版を入れてみたので、備忘録的にメモ。
ClamAVが動いている環境ではあるのだけど、念のため複数のAnti Virusスキャナを動かしてみよう、という興味本位でのお試しではありますが・・・。

Continue reading