FreeBSDな生活

FreeBSDの6.3で添付のbindが9.3.4になった。もちろん、7.0-RELEASEもbindは9.3.4だ。
大きな特徴は、named.confで外向きと内向きの記述を書き分けられるようになったことだ。外向きは必要ないので、内向きのみ作ったnamed.confと合わせて正逆zoneファイルの例を下記に示しておく。

1.named.conf

options {
directory       "/etc/namedb";
pid-file        "/var/run/named/pid";
dump-file       "/var/dump/named_dump.db";
statistics-file "/var/stats/named.stats";
forwarders {
210.188.224.10;
};
};
view "internal" {
match-clients { 192.168.1.0/24; 127.0.0.0/8; };
recursion yes;
zone "." {
type hint;
file "named.root";
};
zone "localhost" {
type master;
file "master/localhost.zone";
};
zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "master/localhost.rev";
};
zone "fam.cx" {
type master;
file "slave/canal.zone";
allow-update { none; };
};
zone "1.168.192.in-addr.arpa" {
type master;
file "slave/canal.rev";
allow-update { none; };
};
};

2. localhost.zone

$TTL    86400
@             IN      SOA   uls.fam.cx.  root.uls.fam.cx.(
2005071701      ; Serial
3600            ; Refresh
900             ; Retry
3600000         ; Expire
3600 )          ; Minimum
IN      NS    uls.fam.cx.
localhost.    IN      A     127.0.0.1

3. localhost.rev

$TTL    86400
@             IN      SOA   uls.fam.cx.  root.uls.fam.cx.(
2005071701      ; Serial
3600            ; Refresh
900             ; Retry
3600000         ; Expire
3600 )          ; Minimum
IN      NS    uls.fam.cx.
1             IN      PTR   localhost.

4. 正引きzone file(canal.zone)

$TTL 3600       ; 1 hour
@             IN      SOA   uls.fam.cx.  root.uls.fam.cx.(
2006121601 ; serial
10800      ; refresh (3 hours)
3600       ; retry (1 hour)
3600000    ; expire (5 weeks 6 days 16 hours)
3600       ; minimum (1 hour)
)
IN       NS      uls.fam.cx.
IN       MX      10 uls.fam.cx.
uls            IN       A       192.168.1.5
www            IN       CNAME   uls
ftp            IN       CNAME   uls

5. 逆引きzone file(icanal.rev)

$TTL 3600       ; 1 hour
@             IN      SOA   uls.fam.cx.  root.uls.fm.cx.(
2006121602 ; serial
10800      ; refresh (3 hours)
900        ; retry (15 minutes)
3600000    ; expire (5 weeks 6 days 16 hours)
3600       ; minimum (1 hour)
)
IN NS   uls.fam.cx.
5                       IN PTR  uls.fam.cx.

サーバを2台動かしているが、最近はただ動かしているだけで、弄り回す興味をなくしていた。ところが、ディスクが壊れて、1台のサーバがあえなくダウン。
スペアーのサーバを立ち上げるべくRELEASE-6.2のCDを入れて立ち上げ、便利なツール類をftp接続してpackageで入れようとするが、packageがないとのメッセージ。
別途FreeBSDのftpサイトにアクセスして調べたら、FreeBSDは6.3に加えて7.0がリリースされていた。最初6.3を入れたのだが、7.0の性能改善がすばらしいと言う記事があり、自信作のようなので7.0-RELEASEを入れた。
isoイメージのdisc1のみダウンロードしてCDRを作成して基本のみ入れた後に、ftpでports、packageなどを入れて、環境を整えた。方法は6.xと何も変わらない。
mysqlもportsからmysql51-serverとmysql51-clientを入れた。

# cd /usr/ports/databases/mysql51-server
# make WITH_CHARSET=ujis WITH_XCHARSET=all install clean
# cd ../mysql51-client
# make WITH_CHARSET=ujis WITH_XCHARSET=all install clean

ここで、mysql51-clientを入れたとき、最後にmysql51-clientは既にあるとのメッセージが出てエラーになる。
ここで、make deinstallしてやり直すのが重要らしい。

# make deinstall
# make WITH_CHARSET=ujis WITH_XCHARSET=all install clean

以前に、portsで入れて文字コードがujisにならず、sourceからコンパイルしたことがあったが、このdeinstallしてinstallし直すことをしなかったのが敗因のようだ(確かめたわけではないが)。
入れた以降の設定は以前と同じなのでそちらを参照願いたい。
php5もportsからで問題なし。

MovabletypeはMT4が出て賑やかだが、大幅なUpdateで従来細工していた内容を入れ込むのは大変だし、デザインなども用意されているのを選んで使う場合は便利であるが、自分でデザインするのはかえって不便にも感じられた。もちろん慣れの問題であろうが。
3.25に加えて、修正したのはMT/tmpl/cms/upload.tmplで、アップロードしたときに格納するデフォルトのディレクトリーを入れたことぐらいである。

<input name="extra_path" id="extra_path" value="archives"/>

value=”archives”を追加した。

攻撃、そう正に攻撃です。

昨年暮れに、HDDがおかしくなり、大急ぎで新しいHDDでサーバを立て直し、やれやれと安心していたら、年が明けてしばらくしてから、どうも調子が悪い。
日に２?３回、外からWebページにアクセスしても無応答で、サーバがダウンしたかと思っていると１時間ぐらいで回復することが繰り返されていた。　最初のうちは、外からアクセスするばあいのproxy serverがbusyかなにかだろうと思っていたが、どうもそうでは無いらしいと気づいた。　が、しばらくすると回復するので忙しさにもかまけて放っておいたが、終に我慢の限界に達して、本格的に調べる決心をして待ち構えていた。

そして、それは起こった。　HDDのアクセスランプは点きっぱなしでなにやら激しくアクセスしている音が聞こえる。
早速、ログインしてtopでプロセスを見ようとしたが、ログインも出来ない。　pingには応答する。
以前にDOS攻撃やられたこともあり、とにかく、何かの攻撃らしいとみて、LANケーブルを抜いて、Localでログインしようとするが、一向に回復しない。　30分ぐらい経過して何とかログインできてtopコマンドを打って驚いた。
wwwが起動するperlプロセスのオンパレードで、まだキューに３５０ほど溜まっている。
もちろん、メモリーは全部食いつぶされて、HDDのswapを使って必死に実行しようとしているのだ。

1. 対策

ここで、ブログに対するコメントスパムの攻撃だろうと気づいたが、どう対策するか考える必要に迫られた。
MTに対するコメントスパムに対する対策はネットで調べると、沢山引っかかり、日本語文字の含まれていないコメントはリジェクトするとか、コメントの投稿formにhidden属性でキーワードを仕込んでおき、それをチェックすることで、ちゃんと投稿欄に書き込んだかをみるなどの方法が書かれている。

これらは有効な方法で過去には見事にスパムを撃退することも出来たが、今回はこれらは役に立たない。
何故なら、以前に取った対策は有効に機能していて、まったくコメントの投稿を防いでいるのだが、あまりのも激しい攻撃で、コメントの妥当性をチェックするに要する時間より短い間隔での攻撃だからだ。
ログを見ると１秒間に30回ぐらいの攻撃が延々と続く。

最初に思いつくのはコメント処理のcgiのファイル名を変えることであるが、ネットで調べると１週間ぐらいしか持たないらしい。　たしかにブログページを解析すれば、直ぐにcgiの新しいファイル名は知れるのだから、そうかも知れない。　１週間に１回の割合でファイル名を変え、mt-config.cgiのScript名を、それに直してすべてのブログを再構築するなどやっていられないですよね。

ここで、見つけたのが、
Junk Slowdownというページです。
mt-comment.cgiの名前を変えると同時にmt-comment.cgiにアクセスしてきたら.htaccessのredirect機能で別のところに飛ばし、受け付けない旨のメッセージを返し、また30秒のDelayを入れることだ。

具体的に方法は、
(1) Movabletypeがインストールされているディレクトリーの.htaccessに次の2行を追加

RewriteEngine on
RewriteRule ^(mt-comments|mt-tb|mt-comcom|mt-tbtb)\.cgi$ /xyz/sand-trap.php [LAST]

/xyz/sand-trap.phpは、飛ばし先である。
(2) comments.cgiとmt-tb.cgiの名前を変更
ここでは、comments.cgi → mt-koment.cgi, mt-tb.cgi → mt-back.cgi として例示する。
mt-config.cgiのコメントとトラックバックのScriptを変更。 もし、コメントとトラックバックに関するScript指定の記述がmt-config.cgiに無ければ、下記の2行を追加する。

CommentScript mt-koment.cgi
TrackbackScript mt-back.cgi

そして、全てのブログページを再構築。
(3) sand-trap.phpを作って　/xyz/ディレクトリーに入れる。　もちろん、phpの実行環境がない場合は、perlで記述してもよい。　下記はphpの例である。

<body>

<div style="font-size:200%;
            text-align:center;
            background:#822;
            color:white;
            border:2px solid red;
            padding:1ex;
            margin-bottom:1ex;
            ">
Sand Trap
</div>

<p style="border:2px solid red;
          padding:1ex;
          ">
You have been redirected to this script because
you have used an obsolete resource to which
no references exist on this website. This makes
you presumably a junker, and therefore your
session has been bogged down with this webpage.
</p>

<?php
ob_flush();
flush();
sleep(30);
?>

<p style="text-align:center;
          border:2px solid red;
          padding:1ex;
          margin-top:1ex;
          ">
If you are going to abuse me, I will abuse you right back.
</p>

</body>

適用したら、効果テキメン。　やっとサーバを安定稼動状態に保つことができた。
どうも、スパム対策は、妥当性のチェックの精度を上げることに血道をあげてもダメで、DOS攻撃ライクの集中攻撃に対する対策を考える必要の段階にきたようだ。
今回の方法も破られる時がくるのではと心配である。　次の対策もいまから策を練っておく必要がありそうだ。

昨年末にFreeBSDでswap領域を拡張する方法を書いた。
しかし、やはりHDDがあやしく、結局HDDを交換する羽目になった。
そこで、Movabletypeを動かすために、いくつかのperlライブラリーを入れる必要があるが、筆者はmysqlを使っているので、このためにも更にいくつかのperlライブラリーが必要である。
以前にも断片的にかいたが、ここで再度まとめておく。
下記は入れたperlライブラリーである。

(1) p5-Class-DBI-mysql          (/usr/ports/databases)
(2) p5-DBI-DBD                    (/usr/ports/databases)
(3) p5-Image-Info                  (/usr/ports/graphics)
(4) p5-Image-Size                  (/usr/ports/graphics)
(5) p5-SOAP-Lite                  (/usr/ports/net)
(6) p5-Crypt-DSA                 (/usr/ports/security)
(7) p5-POE-Component-Server-XMLRPC     (/usr/ports/devel)

これらをmake install clean　で次々に入れる。
p5-SOAP-Liteはnet関係のライブラリーがたくさん含まれているので、post2blogは、
これとImage-Info, Image-Sizeを入れると動作可能となる。
あと、StyleCacherが動かなくて、はまってしまったが、設定は２箇所必要なのです。
　・メインメニューのページでシステムメニューのところのプラグインをクリックして
　　styleCacherを選択して設定
　・個別エントリーの設定でプラグインでStyleCacherを選択して設定両方に

Theme Root URL:　http://uls.fam.cx/mt/mt-static/
Theme Root URL:　/web/data/mt/mt-static/themes

とすると、うまく動作した。