投稿日:2002年04月30日 作成鷹の巣

No.2765 ダイナミックDNSの取り消し方について



ダイナミックDNSの取り消し方について

No.2765 投稿時間:2002年04月30日(Tue) 09:58 投稿者名:さつき URL:

このページを参考に、自宅サーバーをたてました。
(まだ、セキュリティに自信がないので、事例として公開していませんが)
DynamicDNSとDiceを利用していましたが、昨日、Diceより、
「悪用流用のため、このドメインはブロックされています。」
のようなメッセージが出ていました。

どこにも、公開していませんし、サーバーに入られた形跡もないのですが
(確かに、アクセスは、ひっきりなしにあります。)
(エラーログは、すべて、400番のエラーログとなっています。)
(トレースログにも、はいられた形跡はありません)
とにかく、悪用されると、こまるので、登録したドメインを早急に
取り消したいのですが、取り消し方を教えていただければ、幸いです。


原因は何回もDDNSの更新をしているからではないでしょうか。

No.2767 投稿時間:2002年04月30日(Tue) 12:18 投稿者名:OAK URL:

> 「悪用流用のため、このドメインはブロックされています。」
> のようなメッセージが出ていました。

これは、ダイナミックDNSのサーバーからメッセージが来ているのでしょう。

原因は何回もDDNSの更新をしているからではないでしょうか。
サイトにより異なりますが、数時間に10回程度更新をかけると、
DDNSで迷惑と判断して、アカウントを取り消すか、警告をだすようです。
あるいは他の人がそのドメインでスパムメールを発信しているなどもあります。

いずれにしろ、もう取り消されているでしょうから自分で取り消す必要はないと思います


Diceさんの掲示板を探してきました。

No.2768 投稿時間:2002年04月30日(Tue) 12:29 投稿者名:鷹の巣 URL:http://sakaguch.com/

Diceさんの掲示板を探してきました。
http://www.hi-ho.ne.jp/cgi-bin/user/yoshihiro_e/trees.cgi?log=&v=296&e=msg&lp=296&st=160


悪用でないらしくホットいたしました。

No.2772 投稿時間:2002年04月30日(Tue) 13:59 投稿者名:さつき URL:

> Diceさんの掲示板を探してきました。
> http://www.hi-ho.ne.jp/cgi-bin/user/yoshihiro_e/trees.cgi?log=&v=296&e=msg&lp=296&st=160

ありがとうございました。

土曜、日曜と、PHPのインストール作業をしました。
その際、AN_Httpdを何度も立ち上げなおしましたが、
そのとき、何度かDDNを更新したかもしれません。

いずれにしても、悪用でないらしくホットいたしました。


nimdaなどのワームにやられているのでは

No.2787 投稿時間:2002年05月01日(Wed) 01:00 投稿者名:simmn URL:

もしWebサーバーにIISを使いポート80でWebを公開していながら、ワーム対策を何も講じていないとしたら
400番台の失敗のログが大量に発生しているのはワームにやられている(最悪、既に乗っ取られた)と考えられます。
さらに、自分自身が新たな感染源として周囲のIPアドレスのサーバーを無差別攻撃している可能性もあります。


Code Redでなく?なぜnimda?

No.2790 投稿時間:2002年05月01日(Wed) 02:14 投稿者名:ryujin URL:http://www.ryujin.info/

早急にNindaであると決めつけるのは疑問です。
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html
Code Red ワームに関する情報
http://www.ipa.go.jp/security/ciadr/vul/checkcoderedII.html#infection
Code Red II の感染の確認方法について

http://www.trendmicro.co.jp/nimda/
Nimda対策Webもあります。

>400番台の失敗のログが大量に発生しているのはワームにやられている(最悪、既に乗っ取られた)と考えられます。
アクセス攻撃は日常茶飯事でしょう。IPアドレスによっては大量の場合もあると思えます。
>さらに、自分自身が新たな感染源として周囲のIPアドレスのサーバーを無差別攻撃している可能性もあります。
その通りですが、チョット恐怖心をあおる表現のような気がします。


厳密な違いはよく知りませんが・・

No.2792 投稿時間:2002年05月01日(Wed) 03:44 投稿者名:simmn URL:

うちの場合、昨年9月にcoderedの攻撃を受けたものの、以前からCMD.EXEのアクセス権を制限し、
またwwwフォルダも既定のフォルダは使っていなかったので、ログに痕跡が残されていただけで
感染はしませんでした。

しかし、そうは言っても不快なログが記録されるのがうっとうしくなり、どうせ誰がアクセス
する訳でもなかったのでポート80自体を閉じてweb公開もやめてしまいました。

以後、nimdaに関しては雑誌の記事で読んでいましたが、自分のサイトを攻撃された事がないので、
coderedとの細かな違いやnimdaについての詳細まではよく知りません。
しかしどちらのワームも開いたポート80から侵入してくるという点では、防御策は似たようなものと
認識しています。


貴重な経験をされましたね

No.2794 投稿時間:2002年05月01日(Wed) 04:33 投稿者名:ryujin URL:http://www.ryujin.info/

私はプロバイダが80ポートが途中から閉じているので、現在8000番台にて運用しています。
(80ポートを使いたいのですが・・・)
良い点は、いくつかの制限はあるようですが攻撃ログはほとんどありません。
http://sakaguch.com/PastBBS/0005/B0002483.html

> しかしどちらのワームも開いたポート80から侵入してくるという点では、防御策は似たようなものと
> 認識しています。
その通りだと思います。
Ipasec http://www.ipa.go.jp/security/index.html
jpcert http://www.jpcert.or.jp/
情報などと「鷹巣」サイトを参考に運用を続けています。
私のサイトはそんなにアクセスがあるわけではないですが
・情報発信をする事が何となく楽しい。
・危険が私にも何時及ぶかという怖いもの見たさ。
(そうはいっても実際に攻撃対象にはなりたくありません)
>しかし、そうは言っても不快なログが記録されるのがうっとうしくなり、どうせ誰がアクセス
>する訳でもなかったのでポート80自体を閉じてweb公開もやめてしまいました。
いつか再開されることを望みます。


いつかはまたポート80を使って・・・

No.2812 投稿時間:2002年05月01日(Wed) 23:59 投稿者名:simmn URL:

> いつか再開されることを望みます。

ありがとうございます。
昨年の(つまり2001年の)お正月の7日間はISDN回線ながら自宅サーバーでリアルタイム動画圧縮の
ストリーミング「放送」の実験までしていた(ただし160×120サイズ)のに、「くそワーム」のまんえんで
おちおち公開実験もできなくなってしまい、実に残念です。

そのうちまた「放送」(下手なハンディカムの風景画像のタレ流し)を再開するかも。(笑)


httpdドキュメントルートからシステムフォルダへ相対的パス指定は、出来なくすべき。

No.2795 投稿時間:2002年05月01日(Wed) 08:09 投稿者名:鷹の巣 URL:http://sakaguch.com/

> うちの場合、昨年9月にcoderedの攻撃を受けたものの、以前からCMD.EXEのアクセス権を制限し、
> またwwwフォルダも既定のフォルダは使っていなかったので、ログに痕跡が残されていただけで
> 感染はしませんでした。


windows NT狙いのNimdaのログを例にしますと
"GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215

でしたら、windows NT の絶対パス指定を
C:\WINNT\system32\CMD.exe
としますと、httpdのドキュメントルート下の「_vti_bin」というフォルダから、cmd.exeがあるシステムフォルダに
相対的にパス指定出来ているということですよね。

UNIXのファイルシステムと違って、windowsのファイルシステムは、ドライブの上に「ルート」が存在しませんので、
Webサーバーのドキュメントルート(先頭の「/」)をシステムドライブCとは、別のドライブD以下のフォルダにするだけで、
相対的にパス指定出来なくなります。

simmnさんの「wwwフォルダも既定のフォルダは使っていなかった」というのは、重要なところだと考えました。


お察しの通りです

No.2811 投稿時間:2002年05月01日(Wed) 23:45 投稿者名:simmn URL:

> Webサーバーのドキュメントルート(先頭の「/」)をシステムドライブCとは、別のドライブD以下のフォルダにするだけで、
> 相対的にパス指定出来なくなります。

その通りです。
うちでは大容量のハードディスクを3つぐらいに分割していて、基本的にCドライブにはデータ類は一切保存していません。
そうすればシステムを再インストールするはめになった時でも、とりあえずデータ類だけは救える確率が高くなるからです。
www用のフォルダもC以外のドライブに作っていたのでワームにやられずに済んだという訳です。


Agnitumファイアーウォールを入れてみてはいかがでしょうか

No.2788 投稿時間:2002年05月01日(Wed) 01:21 投稿者名:simmn URL:

まず、IISを使っていたら直ちに停止してください。
インバウンドの送信先(つまり自分側)のポート80はとりあえずルータのパケットフィルタで閉じてください。
(アウトバウンドの送信先ポート80を閉じるとブラウズできなくなってしまうので間違えないでください。)

また、スパムメール対策はされていますか?
自信が無かったら対策を講じるまでインバウンドのポート25もとりあえず閉じてください。

次に、私も使ってその効果を確認しているフリーのファイアーウォールAgnitum Outpost FireWall
(ここの掲示板の最近の過去ログからリンクあり。)を入れてみてください。


補足

No.2789 投稿時間:2002年05月01日(Wed) 01:32 投稿者名:simmn URL:

> まず、IISを使っていたら直ちに停止してください。
> インバウンドの送信先(つまり自分側)のポート80はとりあえずルータのパケットフィルタで閉じてください。
> (アウトバウンドの送信先ポート80を閉じるとブラウズできなくなってしまうので間違えないでください。)

上記のように書きましたが、もし感染していて自分自身が攻撃側になっていたら、インバウンドを閉じただけでは
他のサイトへの攻撃活動を止められないかもしれません。
サーバーマシン自体をフォーマットして再インストールした上で、上記のような対策を講じるしかないかもしれません。


AN_Httpdでしたか。

No.2793 投稿時間:2002年05月01日(Wed) 03:54 投稿者名:simmn URL:

> その際、AN_Httpdを何度も立ち上げなおしましたが、

上記によるとIISではなく別のHTTPデーモン(Webサーバー)をお使いのようです。
ならば流行のワームではないかもしれませんね。


|目次|掲示板|過去ログ目次|▲頁先頭|