サーバー設定作業記録

横浜ケーブルテレビ関連

• YCVの設定確認
  
  

  DHCPによる割り当て内容

  DHCPサーバー	210.149.148.7
  ネットマスク	255.255.240.0
  アドレスのリース期間	25時間
  DNSサーバ	202.232.171.56
  デフォールトゲートウェイ	172.27.144.1
  現割り当てアドレス	172.27.145.102

  IPアドレスの割り当て値は、1ヶ月前と変化していない。
  モデムの電源を入れ直したところ、IPアドレスが、172.27.146.32に変化。

• YCVのアドレス変換(2003/08/17)
  
  

  教会のサーバーから外部に向けて張られたTCP/IPコネクションは、 外部からみると、219.110.98.37や、219.110.98.201 219.110.98.166など から発信されたように見える。
  どうも、219.110.98.* のアドレスブロックをアドレス変換プールとしている ような感触だ。

• 不審なアクセス(2003/08/06)
  

  教会にサーバーを設置して数日しか経っていないのに、もう、不審なアクセスがある。
  ひとつは sshscan によるもの。もうひとつは、spammer のもの。

  Aug 4 10:46:28 hodogaya-catholic sshd[43609]: Did not receive identification string from 211.75.39.94
  Aug 4 10:46:32 hodogaya-catholic sshd[43610]: scanned from 211.75.39.94 with SSH-1.0-SSH_Version_Mapper. Don't panic.
  Aug 5 21:16:19 hodogaya-catholic sshd[75431]: Did not receive identification string from 61.128.130.69
  Aug 6 03:44:00 hodogaya-catholic sshd[81910]: Did not receive identification string from 61.128.130.69
  Aug 6 11:53:35 hodogaya-catholic sshd[89175]: scanned from 217.146.157.26 with SSH-1.0-SSH_Version_Mapper. Don't panic.
  Aug 6 11:53:35 hodogaya-catholic sshd[89174]: Did not receive identification string from 217.146.157.26
  

  Aug 6 06:52:15 hodogaya-catholic sm-mta[84648]: h75LqD5i084648: ruleset=check_rcpt, arg1=, relay=[220.82.157.2], reject=550 5.7.1 ... Relaying denied. IP name lookup failed [220.82.157.2]
  Aug 6 06:52:15 hodogaya-catholic sm-mta[84648]: h75LqD5i084648: from=, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=[220.82.157.2]
  

  YCVの private network address ( 172.27.146.32 ) しか割り当てられていないのに、 global ip address からのアタックがあるというのは、

  • YCVのルータの設定が変
  • YCVにつながっているユーザーのどれかのPCの設定が変
  • YCVにつながっているユーザーのどれかのPCが、すでに侵入されていて踏台になっている
  のどれかということなのだけれど、プライベートアドレスだから安全というのは錯覚 でしかない証拠だな。

  ちなみに、220.82.157.2 に ping してみると
  

  64 bytes from 220.82.157.2: icmp_seq=0 ttl=110 time=64.096 ms
  64 bytes from 220.82.157.2: icmp_seq=1 ttl=110 time=48.401 ms
  64 bytes from 220.82.157.2: icmp_seq=2 ttl=110 time=39.374 ms
  64 bytes from 220.82.157.2: icmp_seq=3 ttl=110 time=44.870 ms
  

  といった具合で、19ホップも遠い所にあるとは思えないほど反応が早い。
  さすがケーブルテレビ。
  

• CodeRedは相変わらず蔓延している
  

  WEBサーバーの記録を見ると、

  219.133.21.113 - - [02/Aug/2003:13:55:24 +0900] "GET /default.ida?XXXXX... %u53ff%u0078%u0000%u00=a HTTP/1.0" 404 1054 "-" "-"
  219.110.128.50 - - [02/Aug/2003:15:04:15 +0900] "GET /default.ida?XXXXX... %u53ff%u0078%u0000%u00=a HTTP/1.0" 404 1054 "-" "-"
  ...
  

  といった具合に、相変わらず、CodeRedウィルスが蔓延している。
  作業したのが、12:07から12:34の間だから、作業終了からわずか80分で ウィルスがやってきた計算だ。
  IPアドレスで分類すると、すでに 感染している 45ヶ所からアクセスがある。
  どうも中国(china)方面からのアクセスが多いようだけれど、なんでみんな global IP なんだ?

• 契約終了(2003/11/09)
  

  YCVのモデム撤去工事。おつかれさま。
  ケーブルテレビそのものの契約は従来どおり。