2015年05月

2015年05月31日

今までいろいろなスパムを見てきました。
だいたいはランダムな数字などを駆使して、同一ドメインの場合が多く、送信元は、いくつかのIPに分散していることも多いですが、ブロックは容易でした。

しかし clickgonewild.com については、IPについては国も異なり、ドメインについても、メールソフト上では、以下のように表示されるだけです。
Received: from srv.clickgonewild.com (unknown [95.218.55.189])
メールサーバーのログを見ると、実際には、IPと逆引きが適当に設定されている海外のサーバーなどの場合がほとんどです。
※上記の場合には、実際にアクセスしてきてる端末は、95.218.55.189で、そのIPは逆引きできない=unknownなのでしょう。

そのため、一つのドメインを利用しているから、ドメインで拒否しようとしても、サーバー上でこれを拒否するのはどうするのか・・・。

ログを見たところ、 helo= となっているので、 helo で拒否すればいいのかもしれません。

smtpd_helo_restrictions =
permit_mynetworks,
check_helo_access regexp:/etc/postfix/black_list.cf,
permit

ということで、上記を追記し、様子を見たいと思います。



2015年05月30日

GL07S を会社から支給されました。E-mobile(Y!mobile)のSIMカードを利用し、通話をしています。そしてテザリングを行おうとしました。
すると、なぜかインターネットへの接続ができません。端末単体だと接続できるのに、テザリング時にはできないのかな???

ということで調べてみると、 root化という記事がたくさん・・・・
そういうのはよくわからないので、以下の方法で解決しました。

EMOBILE STREAM X GL07S Part25 [転載禁止]c2ch.net
GL07S Stream X で Root 化せずに DMMmobile のテザリングに成功


■AndroidをUSBで接続しADB SHELLを利用できるようにする
WindowsでAndroid ADB Shell を使うための設定 【USB接続】

まずはGL07SをUSBでPCと接続
不明な android で接続されるので、ドライバーを導入
STREAM X MTPドライバ・ADBドライバダウンロード
スマートフォンから、設定 - 開発者向けオプション - USBデバックをONに変更

アンドロイドデベロッパーズからSDKをダウンロード
Developers
※Other Download Options から android-sdk_r24.2-windows.zip をダウンロードしました。

解凍後、SDK Manager.exe を実行
・Android SDK Platform-tools
・Android SDK Build-tools
上記2つを選択

環境変数の追加
[インストールパス]\platform-tools を追加

コマンドプロンプトから以下の通り入力し、シェル表示になることを確認
adb shell
------------
shell@android:/ $
------------

以上でデバイスにアクセスできました。

そして以下のコマンドを入力します。
content insert --uri content://settings/secure --bind name:s:tether_dun_apn --bind value:s:emb.ne.jp,emb.ne.jp,,,em,em,,,,,440,00,3,*

※元に戻すときの方法を知りません。気をつけてください。
※間違えたときに、数回設定できるのかわかりません。気をつけてください。
その後APNの設定を手動で追加したら、なぜか入りませんでした。関連するのかわかりませんが念のため。


そのほか
C:\>adb shell content
usage: adb shell content [subcommand] [options]

usage: adb shell content insert --uri --bind [--bind ...]
a content provider URI.
binds a typed value to a column and is formatted:
:: where:
specifies data type such as:
b - boolean, s - string, i - integer, l - long, f - float, d - double
Note: Omit the value for passing an empty string, e.g column:s:
Example:
# Add "new_setting" secure setting with value "new_value".
adb shell content insert --uri content://settings/secure --bind name:s:new_set
ting --bind value:s:new_value



###
テザリング時には、APNが切り替わるのが問題にようでした。
ドコモのスマホでテザリングを有効にした時にAPNを切り替えない方法
tether_dun_apn の値はテザリングの時に利用されるAPNを指しているようです。

2015年05月29日

会社のサーバー群を定期的に管理しているのですが、10台ぐらいの中で1台は必ず調子がわるくなります。そして調子が悪くなるサーバーはランダム。決まっているわけではありません。
ただし、相対的にスペックの低いマシンは調子悪くなる可能性が高いような気もするかな・・。
いつもWindowsUpdateが絡んで、調子の悪さに気づきます。

同じUpdateを繰り返したりとか、失敗して入らなかったり。予期せぬエラーが・・・となったり。

何とかこういう状態を少しでも軽減したいと思うので、以下の方法を定期的に実行したいと思います。

sfc /scannow

エラーが出て修復できないときは、

Dism /Online /Cleanup-Image /RestoreHealth

scannowをいろいろなサーバーで試したところ、50%ぐらいの確率でエラーが表示されます。が、この場合は修復できることも多くあります。それであれば問題なし。

しかしほんの少しの何台かは、修復もできない場合があります。しかし今回試した環境では、修復できなくても、dismは問題なしと出ます。再起動なども問題ないため、あまり深追いはしませんでした。
scannow を定期的にやるという発想は無かったので、ちょっとこれからが楽しみです。

2015年05月28日

メールが送れない。そのように言われてしまいました。
調べました。すると、barracuda.com の DNSBLに該当していることがわかりました。なぜ該当しているのかはよくわかりません。

http://mxtoolbox.com/ にアクセスし、該当のドメインを入力します。チャックをすると、数多くのサイトをチェックしてくれ、そのなかで、BARRACUDA に blacklist で該当していました。

すぐにhttp://www.barracudacentral.org/にアクセスし、Removal Requestを行いました。
しかし画像認証が見にくい!わかりにくい!10回ぐらい入れ直したよ・・

そして以下のようにメールがきました。翻訳しながら適当に読んでみてください。

Thank you for contacting Barracuda Networks regarding your issue. Your issue is important to us. We have assigned a confirmation number: BBRXXXXXXXXXX to this case.

We apologize for any inconvenience that this may have caused you. We have removed [IPアドレス] from our blocklist for 30 days, at which time it will be re-evaluated.

There are a number of reasons your IP address may have been listed as "poor", including:

1. The email server at this IP address contains a virus and has been sending out spam
2. The email server at this IP address may be configured incorrectly
3. The PC at this IP address may be infected with a virus or botnet software program
4. An individual in the organization at this IP address may have a PC infected with a virus or botnet program
5. This IP address may be a dynamic IP address which was previously utilized by a known spammer
6. The marketing department of a company at this IP address may be sending out bulk emails that do not comply with the CAN-SPAM Act
7. This IP address may have a insecure wireless network attached to it which could allow unknown users to use it's network connection to send out bulk email
8. In some rare cases, your recipients' Barracuda Spam Firewall may be misconfigured

If you do not think any of the above apply, please also contact the person who manages this IP address, as they may be better able to investigate this issue.

Thank you for your time and understanding.

2015年05月27日

先日の記事の通りに、LinuxサーバーにSophosをインストールしました。
EICARなども利用しテストをしていました。
ココの記事の通りですが、talpa.startup: Unable to load Talpa modules.となっており、オンアクセススキャンがうまくできない状態でした。

オンアクセススキャンにはTalpaモジュールが必要で、このモジュールは、一般的な大半のカーネルは、すでにコンパイルされモジュールとして用意されているようです。しかし一部のカスタマイズなどを施されたカーネルの場合、モジュールが用意されていないため、自分でコンパイルする必要があると言うことなのです。
対応カーネル

ということで以下の方法でコンパイルしました。
Sophos Anti-Virus for Linux: オンアクセススキャンのための Talpa バイナリパックをローカルでコンパイルする

まずは自身のカーネルを確認します。
# uname -r
2.6.32-504.16.2.el6.centos.plus.x86_64

そしてこれは、上記に挙げた対応カーネルには入っていませんでした。

コンポーネントのインストール
yum install gcc
yum install kernel-devel
これで、必要なコンポーネントがそろいました。

コンパイルの実行
/opt/sophos-av/engine/talpa_select select
-----------------------
[Talpa-select]
Copyright (c) 1989-2015 Sophos Limited. All rights reserved.
Thu May 28 00:22:44 2015 GMT
Linux distribution: [centos]
Product: [centosrelease6.6(final)]
Kernel: [2.6.32-504.16.2.el6.centos.plus.x86_64]
Multiprocessor support enabled.
Searching for source pack...
Verifying source pack contents...
Searching for suitable binary pack...
No suitable binary pack available.
Preparing for build...
Extracting sources...
Configuring build of version 1.18.6...
Building...
Installing binaries...
Creating local binary pack...
-----------------------

サービス再起動
# service sav-protect restart

これで、リアルタイムでのスキャンが可能になりました。
# cat eicar.com
cat: eicar.com: Operation not permitted
#
********************** Sophos Anti-Virus Alert ***********************
Threat "EICAR-AV-Test" detected in file
"/root/eicar.com".

Access to the file has been denied
Please contact your IT department.
**********************************************************************

・message ログ
May XX 10:30:20 XX kernel: talpa-deny: Access denied while opening /root/eicar.com on behalf of process cat[16371/16371] owned by 0(0)/0(0) <0>
May XX 10:30:20 XX savd: Threat detected: EICAR-AV-Test in /root/eicar.com

うまくいきました!よかった。

メモ。モジュールが足らないときは以下のようなエラーに。
---------
Extracting sources...
Configuring build of version 1.18.6...
Error: Failed to prepare the source code for build. No compiler found. Install gcc.
---------
※これは gcc をインストールするようにというエラーです。

---------
Extracting sources...
Configuring build of version 1.18.6...
Error: Failed to prepare the source code for build. Kernel headers not found. Install kernel headers.
---------
これは、kernel-headers をインストールするようにというエラーです。

2015年05月26日

なんだかやっかいですね。

以下の通り設定しました。
Poderosaを利用しています。

Sophosのインストールされているのは、外部のサーバー
会社のPCからSophosの管理画面(Web)を表示させたい
SophosのWeb管理画面は、127.0.0.1:8081 ポートでLISTENしている。

Poderosaを利用
ツール - ポートフォワーディングツールを起動

・SSHサーバーは相手の linux サーバーを指定
・アカウントは該当のユーザーアカウントを入力
・認証もいつものSSHに接続するものを指定

・ローカルからリモートへのポートフォワーディングを指定
・ローカルでListenするポート: 8082(sophos はポートフォワーディングの際には8082を指定するらしい。任意?)
Sophos Anti-Virus for Linux: Web ユーザーインターフェースを使用する
・転送先ホスト: localhost
・転送先ポート: 8081

接続を行うと、SSH接続を求められます。

接続完了後は、 自分のPCで netstat -an を実行すると、8082 で Listen していました。
そしてブラウザから、http://localhost:8082/ にアクセスし、ページが表示されました。
sophos-web

※ただし接続が結構頻繁にきれてしまうようでした。その場合には、linux 上から、Webサービスをリスタートします。
# service sav-web restart

2015年05月25日

sophos はかつて個人利用であれば、無料のライセンスを発行していたように思います。
最近ではどうなのか正直わからなくなっており、結局そういうのが必要な事案には他社のものを利用していました。Windows端末ならavastとかね。

5/18になって、sophosは個人向けに linux にインストールできる無料版を発表しました。
ソフォス、無料版 Linux アンチウイルス製品を個人向けに提供開始

これは大変興味深いですね。
※ただしいつまで提供されるのか・・。とっても気になります。

ダウンロード
Antivirus for Linux