Proxyとか

ネット界隈と時事ニュースなどの日常の何気ない話題が中心な信憑性もなければ公平性もない偏った素人のメモ。

 http://fula.jp/ へのリンクはフリーです [メール] [PGP] はこちらよりどうぞ。但し、営利目的の方はご遠慮下さい。    携帯    English    韓国語    中文

[net]  38.111.147.83 TurnitinBot/2.1 のアクセスが酷すぎる

2012/02/19(Sun) 10:42:25

Ip:38.111.147.83 UserAgent:TurnitinBot/2.1 (http://www.turnitin.com/robot/crawlerinfo.html)

WHOIS情報 - turnitin.com

[Querying whois.verisign-grs.com]
[whois.verisign-grs.com]
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: TURNITIN.COM
Registrar: NETWORK SOLUTIONS, LLC.
Whois Server: whois.networksolutions.com
Referral URL: http://www.networksolutions.com/en_US/
Name Server: NS1.IPARADIGMS.COM
Name Server: NS1.TURNITIN.NET
Status: clientTransferProhibited
Updated Date: 05-oct-2011
Creation Date: 25-jun-1999
Expiration Date: 25-jun-2021
>>> Last update of whois database: Sun, 19 Feb 2012 01:21:27 UTC

この組織からのアクセスがあまりにも酷い。robots.txt 云々は通り越して、上位ネットワークごとFW。403のリソースがもったいない。

[Permalink] [Comments:0] [Trackbacks:0]
[記事固有URL:http://fula.jp/blog/index.php?no=r896]
[トラックバックURL:http://fula.jp/blog/ptb.php?no=896]

[Webprog]  μ-s ver2.09 (myu-s ver2.09) の不具合に伴うコードの修正

2012/02/16(Thu) 20:49:36

当所もブログで使わせていただいているPHPスクリプト、myu-s ver2.09に不具合が見つかったようです。セキュリティーに関係するのでmyu-sを利用されている方はコードの修正が必要となります。

http://www.fleugel.com/doc/mnews.html

当ウェブサイトで過去に公開していた簡易ウェブログシステムμ-sにおいて、 脆弱性が存在する旨の報告がセキュリティ関係機関より報告がありました。

現在ご利用しているユーザーの方にはお手数をおかけしますが、 アップデート版を更新していただく必要があります。

include/system.php のファイルをメモ帳などで開き、700行目付近に、

function search($val){
global $output_html,$log_arr,$log_arr2,$logdir;

// ログをチェック。
check_log($logdir);
check_log2($logdir);
という箇所がありますので、その下の行に、

check_log($logdir);
check_log2($logdir);
$val = htmlspecialchars($val, ENT_QUOTES);

というように赤字の部分を追加します。

ユーザーが何らかのコードを送信する部分に関する変数のサニタイズは必ず必要になると思います。今回もこの部分に関しての修正ですが、ファイル書き込みとは無関係な部分なのは幸いだと思います。

サイト内関連記事
スクリプト myu-s がバージョンアップ

※上記の関連記事内のファイルも本日付けで差し替えてあります。

8年前の無償スクリプトのサポートの為に、わざわざ、FLEUGELzのmizuki様より直接連絡をいただき、本当に頭の下がる思いです。

余談ですが、FLEUGELz様のサイトはしばらくノーコンテンツな空白ページの期間が数年間続いていたように思いますが、今回のような場合を含め、ドメインの維持は大切ですね。webserverの稼働とドメインの生死は気にしていました。はい。

[Permalink] [Comments:1] [Trackbacks:0]
[記事固有URL:http://fula.jp/blog/index.php?no=r894]
[トラックバックURL:http://fula.jp/blog/ptb.php?no=894]

[Server]  Apache HTTP Server 2.2.22 Released

2012/02/02(Thu) 02:23:00

Apache HTTP Server 2.2.22 がリリースされました。

Changes with Apache 2.2.22
Changes with Apache 2.2.22

*) SECURITY: CVE-2011-3368 (cve.mitre.org)
Reject requests where the request-URI does not match the HTTP
specification, preventing unexpected expansion of target URLs in
some reverse proxy configurations. [Joe Orton]

*) SECURITY: CVE-2011-3607 (cve.mitre.org)
Fix integer overflow in ap_pregsub() which, when the mod_setenvif module
is enabled, could allow local users to gain privileges via a .htaccess
file. [Stefan Fritsch, Greg Ames]

*) SECURITY: CVE-2011-4317 (cve.mitre.org)
Resolve additional cases of URL rewriting with ProxyPassMatch or
RewriteRule, where particular request-URIs could result in undesired
backend network exposure in some configurations.
[Joe Orton]

*) SECURITY: CVE-2012-0021 (cve.mitre.org)
mod_log_config: Fix segfault (crash) when the '%{cookiename}C' log format
string is in use and a client sends a nameless, valueless cookie, causing
a denial of service. The issue existed since version 2.2.17. PR 52256.
[Rainer Canavan ]

*) SECURITY: CVE-2012-0031 (cve.mitre.org)
Fix scoreboard issue which could allow an unprivileged child process
could cause the parent to crash at shutdown rather than terminate
cleanly. [Joe Orton]

*) SECURITY: CVE-2012-0053 (cve.mitre.org)
Fix an issue in error responses that could expose "httpOnly" cookies
when no custom ErrorDocument is specified for status code 400.
[Eric Covener]

*) mod_proxy_ajp: Try to prevent a single long request from marking a worker
in error. [Jean-Frederic Clere]

*) config: Update the default mod_ssl configuration: Disable SSLv2, only
allow >= 128bit ciphers, add commented example for speed optimized cipher
list, limit MSIE workaround to MSIE <= 5. [Kaspar Brand]

*) core: Fix segfault in ap_send_interim_response(). PR 52315.
[Stefan Fritsch]

*) mod_log_config: Prevent segfault. PR 50861. [Torsten F�rtsch
]

*) mod_win32: Invert logic for env var UTF-8 fixing.
Now we exclude a list of vars which we know for sure they dont hold UTF-8
chars; all other vars will be fixed. This has the benefit that now also
all vars from 3rd-party modules will be fixed. PR 13029 / 34985.
[Guenter Knauf]

*) core: Fix hook sorting for Perl modules, a regression introduced in
2.2.21. PR: 45076. [Torsten Foertsch ]

*) Fix a regression introduced by the CVE-2011-3192 byterange fix in 2.2.20:
A range of '0-' will now return 206 instead of 200. PR 51878.
[Jim Jagielski]

*) Example configuration: Fix entry for MaxRanges (use "unlimited" instead
of "0"). [Rainer Jung]

*) mod_substitute: Fix buffer overrun. [Ruediger Pluem, Rainer Jung]

セキュリティーバージョンなので速やかにアップデートしましょう。

Apache 2.2.22 Download

サイト内関連記事
Apacheの脆弱性を攻撃するツール Apache Killer 対策

[Permalink] [Comments:0] [Trackbacks:0]
[記事固有URL:http://fula.jp/blog/index.php?no=r893]
[トラックバックURL:http://fula.jp/blog/ptb.php?no=893]

[日本]  TPP

2011/11/11(Fri) 02:01:30

日本国の為にならない事をなぜ急ぐ。世界の不幸を輸入するな。

[Permalink] [Comments:0] [Trackbacks:0]
[記事固有URL:http://fula.jp/blog/index.php?no=r891]
[トラックバックURL:http://fula.jp/blog/ptb.php?no=891]

[Server]  Apache mod_cache mod_mem_cache の設定例

2011/09/06(Tue) 17:58:18

今回は画像ファイルだけをキャッシュする設定例です。

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
<IfModule mod_cache.c>
  CacheIgnoreCacheControl On
  CacheIgnoreNoLastMod On
  CacheDefaultExpire 86400
  CacheMaxExpire 86400
  CacheIgnoreHeaders Set-Cookie
  #CacheStoreNoStore On
  #CacheStorePrivate On
  <IfModule mod_mem_cache.c>
    CacheEnable mem /img
    CacheEnable mem /imgm
    CacheEnable mem /imgs
    CacheEnable mem /imgr
    CacheEnable mem /histogram
    MCacheMaxObjectCount 1000
#   MCacheMaxObjectSize Byte 5M=524288 10M=1048576
    MCacheMaxObjectSize 2097152
#   Byte MCacheMaxStreamingBuffer 5M=524288 10M=1048576
    MCacheMaxStreamingBuffer 1048576
#   MCacheMinObjectSize Byte 1K=1024 1M=1048576
    MCacheMinObjectSize 512
#   MCacheRemovalAlgorithm LRU or GDSF
    MCacheRemovalAlgorithm LRU
#   MCacheSize KByte 1GB=1024MB=1048576KB
    MCacheSize 2097152
    </IfModule>
</IfModule>

この様な使い方もありなのじゃないかと。上記例ではキャッシュ有効24時間で2GBのメモリを割り当て、画像ファイル保存ディレクトリをメモリのみにキャッシュする設定となっています。

メモリも数年前では考えられないくらい価格が下がってきているので無茶もできます。画像転送が多いサイトなどでは有効ではないでしょうか。

各数値の設定単位が Byte(バイト) と KByte(キロバイト) が混在しているので注意が必要です。MCacheSizeの設定値はKByte(キロバイト)。それ以外がByte(バイト)となっています。

記事の内容は間違っているかもしれないのであしからず。

公式マニュアル
Apache モジュール mod_cache

[Permalink] [Comments:0] [Trackbacks:0]
[記事固有URL:http://fula.jp/blog/index.php?no=r889]
[トラックバックURL:http://fula.jp/blog/ptb.php?no=889]

[一般]  フジテレビ川柳

2011/09/05(Mon) 16:25:57

フジテレビ川柳なるものがポストに投函されていました。

s-fuji_senryu.jpg

フジテレビ川柳

〜視聴者の皆さんにフジテレビにまつわる川柳を読んでもらいました〜

目にあまる偏向報道フジテレビ
宮城県 復興市 様
真央ちゃんの目の前本人転んでる
北海道 小村正樹 様
ここはどこ?私はだあれ?韓日戦
愛知県 おいしいお米 様
短冊に願いをこめて故郷(くに)帰れ
広島県 リトル棒 様
プルコギの味を私は知りません
東京都 アイノーウェイ 様
どうしたら行けるのだろうこの店に
千葉県 さなえ88 様
キーワード書けばお手当てもらえるの?
東京都 みか鍋 様
本社前デモが起きても知らぬ顔
秋田県 おヅラーマン 様

印刷物としてポストに投函されていました。ネットだけの話ではないのですね。これを自ら印刷し、自らの手で実際に撒いた人がいるという事が驚きです。



出展元? 後追いで調べてみました。
手作りチラシ集積サイト!〜民主主義と世論をマスコミから国民の手に取り戻そう!〜

[Permalink] [Comments:0] [Trackbacks:0]
[記事固有URL:http://fula.jp/blog/index.php?no=r888]
[トラックバックURL:http://fula.jp/blog/ptb.php?no=888]

[Server]  Apache HTTP Server 2.2.20 Released

2011/08/31(Wed) 11:39:47

「Apache Killer」Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192) への対応修正版 Apache HTTP Server 2.2.20 がリリースされました。


Changes with Apache 2.2.20
*) SECURITY: CVE-2011-3192 (cve.mitre.org)
core: Fix handling of byte-range requests to use less memory, to avoid
denial of service. If the sum of all ranges in a request is larger than
the original file, ignore the ranges and send the complete file.
PR 51714. [Stefan Fritsch, Jim Jagielski, Ruediger Pluem, Eric Covener]

*) mod_authnz_ldap: If the LDAP server returns constraint violation,
don't treat this as an error but as "auth denied". [Stefan Fritsch]

*) mod_filter: Fix FilterProvider conditions of type "resp=" (response
headers) for CGI. [Joe Orton, Rainer Jung]

*) mod_reqtimeout: Fix a timed out connection going into the keep-alive
state after a timeout when discarding a request body. PR 51103.
[Stefan Fritsch]

*) core: Do the hook sorting earlier so that the hooks are properly sorted
for the pre_config hook and during parsing the config. [Stefan Fritsch]

[Apache 2.1.0-dev includes those bug fixes and changes with the
Apache 2.0.xx tree as documented, and except as noted, below.]

Changes with Apache 2.0.x and later:

*) http://svn.apache.org/viewvc/httpd/httpd/branches/2.0.x/CHANGES?view=markup

セキュリティーバージョンなので速やかにアップデートしましょう。

Apache 2.2.20 Download

サイト内関連記事
Apacheの脆弱性を攻撃するツール Apache Killer 対策

[Permalink] [Comments:0] [Trackbacks:0]
[記事固有URL:http://fula.jp/blog/index.php?no=r887]
[トラックバックURL:http://fula.jp/blog/ptb.php?no=887]

<< 前のページ | TOP | 次のページ >>

apache_powered.gif php5_powered.gif eaccelerator_powered.gif zend_optimizer_powered.gif xmail_powered.gif opera9_browser.gif

FLEUGELz