サイト運営の最近のブログ記事

今日はふと思い出して、新サーバ機へ移行させたときに立ち上げ直していなかったサイトを復活させてみた。
既に休眠サイトではあるけれど再度読み返してみると結構楽しい。

どんなコンテンツも残っていなければ再び見返すことも叶わない。それは勿体ないと思う。
企業運営／個人運営に関わらず、サービスが終了すればそのデータは全て無に帰す可能性があるわけで、何らかの形で残しておくのは意味があるように思うのですよ。

• すぃーてぃーりねーじゅ
  http://sslb.ayame.jp/line2blog/
• あまえんぼ血盟日記 in リネージュ2
  http://spoilt-child.ayame.jp/mt/

しかしサブドメイン乱発しすぎだろう。

そういえば昔ミルトネットでサイト開いていたこのデータはどうなったんだっけな。
あのフレーム構成のカオスなページを久しぶりに見たいぞ。

サイト運営というかサーバ運営情報。メモ代わり。

現在スパム対策のためにSMTP転送を遮断しているIPは以下の通り。
基本的に実害を被ったホストのみ登録しています。

118.152.232.64/26

<*.silicon-valley.jp>　新星電子有限会社管理ドメイン

出会い系システムを販売している有限会社ビーエスディネットワークと深い関わり

113.212.128.0/19

<*.cyber-mailer.comの一部>

115.187.71.168

エルメディア株式会社管理ドメイン

210.153.126.98

<days.sc>　エルメディア株式会社管理ドメイン

119.48.0.0/13

とりあえず中国であることは判明

84.90.112.0/21

<*.netvisao.pt>　ポルトガルからはるばる

しかしうざったい商売してる連中が多いのです。

↓2009/11/15追加

118.88.8.0/21

<muramatsu-group.net>　フィリピンのようです

180.232.0.0/16

これまたフィリピン。多分踏み台ですがお構いなしのクラスB完全規制ｗ

↓2009/11/18追加

210.146.22.0/24

<*.wins-beam.net>　ウインズコミュニケーションズ管理ドメイン

61.45.213.64/26

<*.bsd-network.jp>　またも新星電子有限会社管理

↓2009/12/28追加

111.223.214.0/24

<*.mail-eng.com>　TUCOWS INC.管理ドメイン

↓2010/01/07追加

111.223.217.0/24

<*.mail-eng.com>　TUCOWS INC.管理ドメイン

↓2010/01/27追加

113.130.10.192/26

<aqyu209.todoke.jp>等　BeaconNC.INC管理ドメイン

↓2010/02/26追加

113.130.8.128/26

120.143.87.0/24

<*.a-sou.net>等　BeaconNC.INC管理ドメイン

↓2010/02/28追加

61.209.246.0/24

<*.wins-beam.net>の一部　ウインズコミュニケーションズ管理ドメイン

今日はブログのテンプレートをいじったついでにサーバのメンテをやっていたら、syslogになにやら大量のDNSのlogがある。

Feb 3 01:48:20 ns2 named[14726]: client 69.64.87.156#31608: view external: query (cache) './NS/IN' denied
Feb 3 01:48:26 ns2 named[14726]: client 69.64.87.156#22680: view external: query (cache) './NS/IN' denied
Feb 3 01:48:32 ns2 named[14726]: client 69.64.87.156#51349: view external: query (cache) './NS/IN' denied
Feb 3 01:48:39 ns2 named[14726]: client 69.64.87.156#1820: view external: query (cache) './NS/IN' denied
Feb 3 01:49:01 ns2 named[14726]: client 76.9.16.171#220: view external: query (cache) './NS/IN' denied
Feb 3 01:49:41 ns2 named[14726]: client 69.64.87.156#35398: view external: query (cache) './NS/IN' denied
Feb 3 01:49:47 ns2 named[14726]: client 69.64.87.156#20409: view external: query (cache) './NS/IN' denied
Feb 3 01:49:53 ns2 named[14726]: client 69.64.87.156#44694: view external: query (cache) './NS/IN' denied
Feb 3 01:50:00 ns2 named[14726]: client 69.64.87.156#48098: view external: query (cache) './NS/IN' denied
Feb 3 01:50:03 ns2 named[14726]: client 76.9.16.171#19950: view external: query (cache) './NS/IN' denied
Feb 3 01:50:37 ns2 named[14726]: client 69.64.87.156#45895: view external: query (cache) './NS/IN' denied
Feb 3 01:50:49 ns2 named[14726]: client 69.64.87.156#52139: view external: query (cache) './NS/IN' denied
Feb 3 01:50:56 ns2 named[14726]: client 69.64.87.156#60293: view external: query (cache) './NS/IN' denied

 ルートサーバーのNSレコードを参照するクエリらしく、ご丁寧にお返事を返してしまうとネットワークの負荷を高めてしまう。その上、返事する先がちゃんと質問主なら良いのだが、どうもそうでもない可能性があるらしい。

試しにこのIPを検索してみました。

• IPひろば：メイン
  http://www.iphiroba.jp/index.php

上も下も最近検索件数が増えているIPアドレスで、共にアメリカのホスティングの会社のようだ。
更に下のIP等は対応するホストがありませんとまで出ている始末ｗｗ　（whoisの結果から4日前まではあったらしい）
つまり誰かがこのIPを語ってDNSクエリを送信し続けており、未対応のDNSがそのIPに向かってサイズの大きなお返事を返してしまう。という構図。
立派なDDoS攻撃ですね！！

うちのDNSに関しては先日のエントリ（DNSキャッシュポイズニング問題） の後にBIND9.4.3-P1にバージョンアップしたので、今回の問題クエリに対してもちゃんとdeniedになっている。ひとまずは安心して良さそうだ。

しかしサーバ運営も安定すれば放置で良いというわけじゃないのが大変なところですね・・・。

何となく常駐板以外をうろうろしていた所、つこうた事件で大騒ぎになっている最中のIPAが「DNSキャッシュポイズニング」に関する対策資料を作成したというネタを見つけた。

そんな問題あったっけ？と言うわけで調べてみた。

他のサーバに聞きに行くときに、ポートと呼ばれる窓口を通して聞きに行きます。
んで、このポートってのは65535個あるんだけど、ランダムに聞きに行くのが理想。
それと、一回聞きに行くごとに違うID(0-65535)を付けて送っています。
でも、これらの番号がもし予想しやすかったら?固定されていたら?
そこに目がけて嘘のデータを投げ込んでしまえば、嘘の住所をDNSが覚えちゃう。つまり、googleに繋ぎたい人を全く別のサイトに接続させたりすることが出来ちゃう！
ポート番号とクエリidがそれぞれ一致しないと、この汚染攻撃は成功しないんだけど、どっちかが予測可能であったら65535通り試す程度で済んじゃうよね。
今回の問題としては、そのポート番号のランダム性が足りなかったり、決め打ち(53番)だったりする事です。

ヤバイ、ヤバイね！

引用元：今更だけどDNSキャッシュポイズニングについて簡単に説明するよ！ - そして、DNSポイズニングがなかなか対応されない理由。 - m-birdとFreeBSDの同棲日記

それでうちのDNSサーバもチェックしてみたところ案の定駄目でした。ポートがランダムになっておらず一直線です。
BINDの設定では「query-source」のポートは固定にしていないため数十秒単位で見れば変わってはいるのですが、連続で問い合わせされると役に立たないよう。

• Web-based DNS Randomness Test | DNS-OARC
  https://www.dns-oarc.net/oarc/services/dnsentropy

対策済みのBINDを早く導入せんとなぁ・・・。
そうはいってもFedora Core 6のバイナリ更新は完全に止まってるんじゃあああああああああああ！
適当なrpm探すかソースからビルドするか・・・。うーむ。

どうもMovableTypeが4.2で大々的な変更をするとか言う話。テンプレートがぐちゃぐちゃなまま無理矢理MT4に乗り換えた経緯があるので、今回のアップデートはまともに耐えきれる気がしない。
・・・と言うわけで暇なうちにMT4に乗り換えておくことにしました。

とりあえず以下のような行程にて。

1. MT4.01環境でエクスポート
2. ルートからディレクトリ全部まっさらにして、MT4.2ベータを再インストール
3. ユーザも作り直してインポート
4. 画像フォルダは元の位置にコピー
5. 個別エントリのファイルネームを「%y/%m/%d-%h%n.html」に変更
6. StyleCatcherで適当にスタイルを選択
7. 再構築

個別アーカイブのパーマリンクは絶対に変更したくなかったので、前からこうしていました。よって問題なし。
月別アーカイブは標準のままなので問題なし。
しかし・・・カテゴリアーカイブはカテゴリIDを使って命名したせいで、カテゴリ再構築で対応関係が完全に崩壊。現状は標準設定にしてありますが、これもまた気持ち悪いのでそのうち対策を講じることにします。

そして、カウンタとして導入していた dopvSTAR* も、エントリIDが変更になったために対応が完全に崩壊ｗｗｗ
とりあえず再導入の目処は立っていません。カウンタ・・・別にいらねーかｗ

色々とウィジットいじってた分も無くなってしまったのでまた作り直しだ・・・。ふぅ。
結構大変です。

自作マシンのHDDがおかしかった問題は、HDDを交換してWinXPを入れなおす方向で作業進行中。ブログの投稿に使うツール類は一応入れたので何とか再開できるかも。

JustSuite2007を実家から持ってきたのだけど、箱を開けたら肝心のディスクが入ってなかったり。実家に探しに行くのも面倒くさいので、JustSystemのゴールド会員特典を使ってディスク無料復旧サービスを頼んでみた。このサービスはかなりお得に思う。

そういえばFireworksも実家に置いてきたままだなぁ・・・。

今日も引っ越し先に出張って荷物の受け取り祭り開催。
ついでに先日引いてもらったフレッツ光マンションタイプを使ってインターネット環境の整備をやっとります。RTX1000は業務向けルーターなので設定に慣れないと結構大変ですわ。

とりあえず一通り設定をやって繋がったので速度調査結果を。

------ BNRスピードテスト (ダウンロード速度) ------
測定サイト： http://www.musen-lan.com/speed/ Ver3.5001
測定日時： 2007/12/18 13:13:42
回線/ISP/地域：
--------------------------------------------------
1.NTTPC(WebARENA)1： 38424.012kbps(38.424Mbps) 4802.75kB/sec
2.NTTPC(WebARENA)2： 45389.578kbps(45.389Mbps) 5672.86kB/sec
推定転送速度： 45389.578kbps(45.389Mbps) 5672.86kB/sec

------------ Broadband Networking Report ------------
＜アップロード速度＞
データ転送速度: 23.05Mbps (2.88MB/sec)
転送データ容量: 1000kB 転送時間: 0.347秒
-----------------------------------------------------
測定日時: 2007年12月18日(火) 13時17分
測定サイト: http://www.musen-lan.com/speed/
利用ブラウザ: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
-----------------------------------------------------

まあまあって所でしょうか。これなら鯖立てしても大丈夫かな。
後は安定性ですかね・・・。

会社のメールアドレスにayame.jpドメインのメールアドレスからメールを送ってみたら、何やら気になる記述を発見。

Received: from ns2.ayame.jp (ns1.ayame.jp [219.117.192.246] (may be forged))

調べてみると「may be forged」は逆引きが一致しない時に出るらしい。

ns1という名称はサーバ入替えの際に消したはずなのだけども・・・一体何処に生き残っているのだろう。
これは調査が必要だなぁ（;´Д｀）

一人暮らしのために引っ越しをする際に問題となるのが、サーバをどこに置くのかという問題とその管理だ。引っ越し予定先にはマンションタイプの光が導入されているという噂は聞いているけども、それでは現在よりも回線が劣化するのは確実だ。かといって、フレッツ光ベーシックは1万円を超えるのでちょっと躊躇する。

そんな問題で引っ越し先のネット環境が完璧となるまで実家にサーバを残すとすれば、何らかの方法でアクセスできなければ不便だ。現在、サーバはSSHやWebmin含めて管理関係に関してはLAN内からのみアクセス可能。WAN側にこれを公開するのはあまり好ましく思わない。

そうすると一番現実的なのはVPNだろう。

• パソコンを結構使い始めた母親のPCサポートのためのリモートコントロール
• レーザプリンタ等の状態監視
• NAT設定無しにあちこちにアクセスできる

VPNが簡単に導入できるのであれば問題ないのだけども、IPSecにまともに対応したルータはやはり高い。
一番候補のRT107eの最安値で4万円ちょっと。2台買ったら8万・・・決して安くはない。
ただ、現在使っているインターリンクのセカンダリDNSサービス「MOOTサービス」が月額1500円で、各拠点でDNS張ればこれを使わなくて済むので設備投資だと思って我慢するか。

サーバメンテのために実家と往復して家に帰ってがっくりするようなのは嫌だしね・・・。

（大人の事情により曖昧な内容でお送りします）

先週の金曜日の夜中、高校の後輩から突如メッセで入電があった。聞けば緊急でお願いがあるという。
詳しく話を聞いてみると、借りたレンタルサーバにとあるファイルをアップしてみんなに落として貰っていたらサーバが処理しきれずに503エラーが多発してしまい、困っているというのだ。

大人の事情で詳細を省くが、結論としてはその対策としてうちの自宅サーバを使わせて貰いたいという話だった。
一般のレンタルサーバが落ちる程の規模って一体どんな状況やら・・・と一抹の不安を覚えながらも、手を貸さない訳にもいかなそうなので快く承諾し、サブドメインを設定しWeb領域を貸し出すこととなった。

その結果、朝5時まで作業にかかり、代勤だったはずが起きられもせず10時に会社に「半休です・・・」と電話する羽目に。

・・・という内容はどうでも良くて、問題なのはそのアクセスの量と転送量。

転送量を鯖内でロギングしてみたらロガーが過負荷でCPU食いまくっていた（;´Д｀）
ファイル自体は30MB程度なものの、アクセスがひっきりなしに来るので常に帯域を食っている感じ。
光回線でアップ10MB/s近く出るので何とかさばけているけど、低速回線だったらプロセス数超過で鯖落ちしかねん。

1日弱でアップロード25GBっすからね。そりゃ普通のレン鯖じゃアク禁の可能性もあるだろう。
そんなわけで代替案を決めていただけないまま、鯖を貸し続けております・・・。

T-Banana借りれば？（高すぎ）

• T-Bananaサーバー 専用レンタルサーバー BIG-server.com
  http://www.maido3.com/server/t-banana/