iptablesで鉄壁?の守りを実現する3つのTips|TechRacho by BPS株式会社
iptablesでサーバを守るときに知っておくと良いことを3つ紹介します 1. 接続回数を制限する(IPアドレスごと) hash_limitを使います これにより特定ホストからの大量アクセス、DoS攻撃を緩和することが可能です 例 2. 接続回数を制限する(サービスごと) limitを使って制限します これにより多数のホストからの攻撃、DDoS攻撃を緩和します limitを使った制限は全ホストが等しく制限を受けるため、ssh等に設定すべきではありません。 (攻撃を受けている間は自分たちも制限されるため) Webサーバが大量アクセスで落ちそうな場合は使えるんじゃないでしょうか? 例 3. 接続IPアドレスを限定する IPアドレスの国別割り当てをAPNIC等から取得してコマンドを作ります この手のルールは長くなるので、ユーザー定義チェインにしたほうが見やすくなります 例 あとはこんな感じのスク
Nmap ネットワークセキュリティースキャナーマニュアルページ
(訳者注:自分の調査のために英文のマニュアルを翻訳してみましたが、知識不足のために 不正確な点や誤りがあるかもしれません。また、全ての機能を確認したわけではありません) nmap - ネットワーク探査ツールとセキュリティースキャナー 概要 nmap [Scan Type(s)] [Options] <host or net #1 ... [#N]> 説明 Nmap は、システム管理者と好奇心の強い個人が大規模なネットワー クをスキャンして、どのホストでどのサービスを提供しているかを調 べられるように設計されています。 nmap は次のようなさまざまなス キャニングテクニックをサポートしています。 ・UDP ・TCP connect() ・TCP SYN (half open) ・ftp proxy (bounceattack) ・Reverse-ident ・
特定のクライアントを許可している Twitter ユーザーの Token Credentials を入手する攻撃 - ひだまりソケットは壊れない
怪しいクライアントを許可していないのに勝手に twitter で DM が送信されていた 何やら Twitter で勝手に DM が送られるという事案が発生していた模様。 調査の結果、ある web ページにアクセスしただけで、Twitter の token credentials が攻撃者に知られてしまう *1 ということがわかったらしい。 下記ページにまとめられていたのだけどパッと読んですぐには攻撃手法を理解できなかったので、いろいろ考えたことを書き残しておく。 「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説 - Togetter 簡潔な解説が以下の記事にあったので、簡潔な説明で理解できる人は下記記事参照。 gist:5053810 (DM踏んだだけでアレな件はTwitterのOAuth実装がク○だと思う) 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだ
第77回 Ubuntuのソフトウェアファイアウォール:ufwの利用(2) | gihyo.jp
先週に引き続き、今回もufwを使いこなすためのレシピを紹介します。今回は実践編となりますので、先週の基礎操作編とあわせて利用してください。 特定のIPアドレスからの接続を許可する ネットワークの構成上、「このIPアドレスからの接続は安全であると仮定してもいい」(そこには自分が普段使うマシンしかない)といったこともあるでしょう。このような場合は、次の構文を用います。 $ sudo ufw allow from 192.168.254.0/24 この設定は、「192.168.254.*に属するホストからのすべての通信を許す」というものです。個別のホスト単位にしたい場合は、次のようにIPアドレスを指定してください。以下では、192.168.254.10からのすべての通信を受け付けるように設定しています。 $ sudo ufw allow from 192.168.254.10 さらに、以下
第76回 Ubuntuのソフトウェアファイアウォール:UFWの利用(1) | gihyo.jp
ufw(Uncomplicated FireWall)は、Ubuntuで標準的に利用できる、「iptablesを簡単に設定するツール」です。ufwを利用することで、「外部からの接続は基本的に受け付けない」「sshだけは許す」などといった設定を、iptablesにくらべて格段に少ない操作で実現できます。 今回と次回の2回にわけて、ufwを使って、サーバーなどの設定を簡単に行うレシピを紹介します。 ufwの基本 ufwは、Canonicalの社員であり、Ubuntuのセキュリティ関連モジュールやセキュリティアップデートを主に担当しているJamie Strandboge氏が中心になって開発している、「iptablesのフロントエンド」となるツールです[1]。Ubuntuには8.04で取り込まれています。過去に本レシピでも、第45回でごく軽く内容を紹介しています。 今回はコマンドラインか
ソーシャルゲームの危険性 ~某プラットフォームの脆弱性に見る構造的問題~ - netpoyo広報ブログ
まずはこちらのURLをよーく見てほしいです。 某ソーシャルゲームのURL↓ http://sp.pf.example.com/12008305/?guid=ON&url=http%3A%2F%2F125.6.169.35%2Fxxxxxxxxxx%2Ftutorial%3Fa%3D287979669%26rnd%3D93975868 これはスマートフォン向けの某有名ソーシャルゲームサイトでゲームをプレイしている時のURLです。sp.pf.example.comがソーシャルゲームサイト(プラットフォーム)を表し、それ以下はプラットフォームに渡すパラメータになります。 プロの方ならこのURLを見て脆弱性に気づいたがあるのではないかと思ったのではないかと思います——え? よく分からない? うーむ。確かに、この記事を読まれる方には非エンジニアの方も多いかもしれません。この記事は、筆者が偶然出会った
CentOS で行なっておきたいセキュリティ設定: ある SE のつぶやき
はじめに Linux のセキュリティ設定ってなかなかまとまったものがないので、いろんなサイトを参考にしながら設定をまとめてみました。想定はWeb サーバーで、使用している Linux は CentOS 6.2 です。 設定内容は以下のようになります。 全パッケージのアップデート リモートからの root ログインを無効にする 公開鍵暗号方式を使用した SSH ログイン設定 iptables 設定 SSH ポート番号の変更 不要なサービスを停止 ログ監視設定 ファイル改ざん検知ツール設定 ウィルス対策ソフト設定 Apache の設定 全パッケージのアップデート 最初に以下のコマンドを実行して、全パッケージを最新の状態にする。 # yum –y update 後は脆弱性が発見された時、または定期的にパッケージのアップデートを行う。 リモートからの root ログインを無効にする リモートからメ
5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>
reCAPTCHAの無茶振りとその理由 - しろもじメモランダム
CAPTCHA(いわゆる画像認証)の実装の一つにGoogleのreCAPTCHAというものがあるが、今日の昼にこんなものに引っかかった。 ウムラウト付きのcaptchaとか微妙に難易度高いなこれw URL 2011-09-30 11:53:27 via Janetter2 @mashabow 私はbiſhopを出されたことがありますw bishopで通りましたが 2011-09-30 11:56:53 via Tween to @mashabow どうやらreCAPTCHAは、a–zの26文字以外のアルファベットも出してくるらしい。面白そうだったので、更新ボタン(矢印が巴形になっているボタン)を押しまくって変なものが出てこないか探してみた。 reCAPTCHAの無茶振り・初級篇 thouſand。上のツイートにも出てきた ſ はいわゆる長いsで、現代風に表記すれば thousand。古い本
ant-eater.com - ant eater リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
狙われる身の周りの携帯電話SIMカード
余り知られていませんが、携帯電話以外の多くの場所に、GSM式のSIMカードが使用されています。電力計、水道メーター、自販機などで使用されているこれらのSIMカード(携帯電話のSIMカードとほぼ同じ)は、請求書などを作成するため、他のマシンとの通信に利用されています。 通信内容はマシン間の通信であるため、通信内容は音声通話などなく、ほぼデータ通信に限られます。このような家の外にある電力計からSIMカードを「借用」し、「無料」でダウンロードすることは可能でしょうか。実際に、タスマニアに住むある女性が電力計から盗み出したSIMカードを使用し、4カ月間、ムービーのダウンロードに使っていた例が報告されています。最終的にSIMカードは破壊されましたが、警察は携帯電話で行っていた大量の通話から彼女の存在を突き止めました。彼女は懲役6カ月保護観察2年の実刑判決を受け、利用したすべてのデータの料金として約2
日本語でも危険!アラビア語ファイル名を利用した攻撃とは?
皆さんは、日ごろ縦書きと横書きのどちらの文章を目にすることが多いでしょうか。この連載もそうですが、ITやコンピュータ関連では、横書きのものが大半を占めるため、読者の皆さんは横書きの文章に触れる機会が多いのではないかと思います。RLO Unicodeトリックは、文章の書き方の違いを利用したソーシャルエンジニアリングです。数年前から知られている攻撃手法ですが、最近再び多くの報告をエフセキュアの研究所が受け取っているので、改めておさらいしたいと思います。 言語による文章の書き方の違い 日本語の文章は、元来は右上から左下への縦書きで書かれるものです。これは日本語の誕生に影響を与えた、古代中国語が縦書きで書かれていたことに由来します。その後、左横書き(左上から右下への横書き)の文章が使用される英語などの影響を受け、現在では縦書きと横書きを併用するに至っています。初期のITやコンピュータはおもにアメリ
Apache killerは危険~Apache killerを評価する上での注意~
Apacheの脆弱性(CVE-2011-3192)いわゆるApache killerが話題になっていますが、その脅威については一部誤解があるようです。 以下は、非常に脅威とする報告の例です。 一方今回のはプロセスの肥大化を伴うので、実メモリ消費して更にスワップも使い尽くしてOS毎激重になったあげくLinuxとかの場合はOOM Killer発動と、他のプロセスや場合によってはOSを巻き込んで逝ってしまいます。 CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.xより引用 以下は、それほど脅威でなかったとする報告の例です。 pooh.gr.jp は結構頑丈だったので 60 並列でやっと CPU idle 30% まで減らせた。 Apache Killer (CVE-2011-3192) 対策 for CentOS 5
RangeつきリクエストによるApacheのDoSとApache Killerの実力 | 水無月ばけらのえび日記
公開: 2011年8月30日1時45分頃 ApacheのDoSの脆弱性が話題になっていますね。 HTTP/1.1では、HTTP要求ヘッダでRangeフィールドを指定すると、コンテンツの全てではなく一部分だけを要求することができます。たとえば、以下のように指定するとデータの先頭の1バイトだけを受け取ることが期待されます。 ※これは以前にも書いたのですが、0-0で1バイト受け取るというのは微妙に直感的ではない感じがしますね。しかし正しい挙動です。 WebサーバがRangeを解釈した場合、ステータスコード 206 (Partial Content) で応答しつつ、指定された部分だけを返します。 と、これだけならRangeがない場合とサーバの負荷はほとんど変わらないのですが、実は1回のリクエストで複数の範囲を指定することができます。その場合、応答は Content-Type: multipart/
Yahoo! JAPANで不正ログインが多数報告される 至急ご確認を! - ライブドアニュース
Yahoo! JAPANの『ログイン履歴』というものをご覧になったことがあるだろうか? 今まで一度もご覧になったことが無い方はこれを良い機会として一度下記URLにアクセスしてご確認いただきたい。 https://lh.login.yahoo.co.jp/ ちなみに上の画像は記者のYahoo JAPAN IDログイン履歴のスクリーンショットである。(画像が小さくて見づらいかもしれないが) 上から4段目、5月7日にシンガポールから記者のIDへとログインが試みられ認証結果は”成功”。ちなみに5月7日といえば本業の自宅警備に忙しくシンガポールに滞在していたという事実も無い。つまり何者かによって不正アクセスされていたということである。 アクセス元のドメインを見ると『amazonaws.com』となっていることからAmazonEC2(Amazon Elastic Compute Cloud。Amazo
フィッシング詐欺やスキミング詐欺などの関連犯罪から身を守ろう! - BENRISTA
キャッシュレス決済やキャッシングの関連犯罪を解説するページです。あらかじめ知識を得ておけば、無用な犯罪に巻き込まれるリスクが減りますよ。 スキミング詐欺: スキミング詐欺とは? スキミング詐欺の事例: 国内におけるスキミング詐欺の現状: 古いキャッシュカードが狙われる: 海外におけるスキミング詐欺の現状: 対策は厚みを確認したり揺らしてみるなど: アナログな方法で盗まれることも: フィッシング詐欺: フィッシング詐欺とは? フィッシング詐欺例: Amazonからのフィッシング詐欺メール: 銀行名義で届いたフィッシング詐欺メール: 昔はおかしな日本語メールも多かった: フィッシング詐欺への対策: 1.送信元のメールアドレスを確認 2.文章の中身を確認 3.Gmailを利用する クレジットマスター: クレジットマスターとは? なぜ有効な番号を見つけ出せるのか: クレジットマスターの現状: 芸能
Dropboxを使うな、とまでは言いませんが
あんまりにもひどいなぁ、と思うので、エントリーとして書いておく。 さくらのVPSでサーバ立てたのは、既に書いたとおりなのだけど、iptablesでパケットフィルタリングかけて、fwanalogでその状況をチェックしていると、大量のUDPパケットをブロックしているのがわかったので、ちょっと調べてみたらところ、 i wondering about the broadcast on port 17500 (udp) in our network. Why broadcasting on udp 17500? « Dropbox Forums どうやら、Dropboxが同一LAN内にいるDorpboxとのsyncをするために、ブロードキャストに向けてUDPパケットをバラ撒いて、その存在を見つけようとしているらしい・・・。 「適当なサーバにDorpbox入れておけば、外出先でも自宅でも会社でも、ネッ
急増する「社員発」炎上事件。その対応策と予防策:ショック・アブソーバー:オルタナティブ・ブログ
最近,企業の社員などの組織に属するメンバーが不用意な発言をすることで,大きな話題になるケースが目立って増えてきています.そのきっかけを与えているのはTwitter.キャズムを超えた/超えないの議論の余地はありますが,事例の増加は,利用者の裾野が広がっていることの証左でもあります.最近Twitterがきっかけで炎上した主な例を紹介します. ■ 社員発の炎上事例 (1)レストラン・サンパウ ー ウエイターの場合 昨年12月,東京日本橋のレストラン・サンパウのウエイターがTwitterで次のような発言をしました. 「今日勝間和代が来た。でも完全に浮いてた。軽く挙動不審だったしね。やっぱり大嫌いな有名人TOP3に入るわ。」 勝間さんはご自身の名前が含まれるツイートをチェックされているようです.このため,ご本人に向けた@ツイートでないにも係わらず,本人の知るところとなりました.勝間さんは直ちに,クレ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://blog.monoweb.info/article/2012021823.html
IDEA * IDEA
