zshが無いと死ぬ人がbashでなんとかする

※この記事は、zsh Advent Calendar 2014 - Qiitaの19日目です。 zsh無しにbashで生きる zsh大好きな皆さんは、bashを心の中のどこかでバカにしているのではないでしょうか。しかし最近のbashは、いろいろとzshを意識している(?)雰囲気があり、zsh特有だと思…

ろば電子とは何だろうか

この記事は、物理学 Advent Calendar 2014の15日目です。 はじめに 私のブログ名の「ろば電子」とは、物理学(その中でも相対論的量子力学)に登場する用語です。もっともこれは戦前に使われていたかなり古い用語であり、最近の若い物理学徒の間では、そんな…

細かすぎて伝わらないPerlと$0変数 - コマンド名偽装

先日、moznion氏の「実行中のプログラムの進捗度を手っ取り早く確認したい」という面白い記事を読みました。これに影響されて、Perlと$0のウンチクを id:lesamoureuses に語ったところ地味にウケが良かったので、さらに調子に乗って、細かすぎて伝わらないPe…

セキュリティスキャンサービス「Walti」使ってみた

Twitterで流れてきた、「サーバサイドのセキュリティスキャンサービスWalti」がムラムラ気になっていたのだが、初回スキャン無料のキャンペーンをしているようなのでさっそく試してみた。 Waltiとは何か 最近、地味に流行の兆しを見せつつある(?)、Webサービ…

[Linux][セキュリティ] shellshockはPerl/CGIでsystem()にダメージありや無しや

bashの脆弱性"shellshock"が非常に話題になっておりますが、これがいろいろと事情が入り組んでおり全容がつかみづらい。ということでここでは全容を理解するのを早々に放棄して、以下のレガシー環境に絞った狭い話をします。レガシーとは言っても、それなり…

ssコマンドはバグと地雷の塊なのでnetstatの代わりにならない

既に有名な話ですが、CentOS 7およびRed Hat Enterprise Linux 7からはifconfigコマンドやnetstatコマンドが非推奨となり、デフォルトインストールすらされなくなりました。代替として、ifconfigコマンドはipコマンド、netstatコマンドはssコマンドが用意さ…

すみだセキュリティ勉強会2014#3

2014年9月14日に、久々に、すみだセキュリティ勉強会を開催しました。お越し頂いた皆様、ありがとうございます。私の発表は、ショルダーハック周りのネタです。当日の発表資料は以下。Google Docsに置きました。 できる!ショルダーハック (Google Docs) Powe…

BASIC認証とDigest認証、hydraによる辞書攻撃

某所でajitingさせてもらうという貴重なユーザ体験をしたのですが、「THC-Hydraでhttp-getにてクラックするとき、BASIC認証とDigest認証を自動判別してくれるのか?」という質問に答えられずに悔しい思いをしました。ので、ちゃんと検証しました。結論から言…

phpinfo()っぽいイースターエッグ、PHP Credits

PHP

PHPを使っている人ならば、phpinfo()の出力は見慣れていることと思う。 が、これに似た以下のような画面を見たことがある人は少ないのではなかろうか。 これは、"PHP Credits"というPHP開発者を紹介する画面で、PHPのイースターエッグである。というわけで、…

CentOS 7でTomcat 7

あちこちでそれなりに話題になっているけど、先日にCentOS 7がリリースされた。 CentOS 7にはifconfigコマンドが無いなど、結構アグレッシブにモリモリと変わっている部分も多いけど、その辺のレポートは色々あるのでわざわざ私は書かなくて良いだろう。そこ…

デッドマンスイッチによるiptablesの安全な変更

古本屋で「Red Hat Linux Firewalls」の本を手に入れたのでパラパラしていたら、面白いiptablesのネタを見つけました。のでちょっと紹介します。Red Hat Linux Firewalls (redhat PRESSシリーズ)作者: ビルマッカーティ,Bill McCarty,中川和夫,ヴァインカー…

最近やたらと重いGoogleマップを軽くする(ライトモード)

最近、どうもGoogleマップが重いなぁと困っていたのだが、ライトモードにすると早くなるらしいと聞いてさっそく試してみた。 これがライトモード。このモードのときは上の画像のように、画面下部のメニューバーのところに「ライトモード」と小さく表示されて…

シェルスクリプトの本を書きました

去年から細々と書いていたシェルスクリプトの本が、2014/6/25に出版されることになりました。UNIXシェルスクリプト マスターピース132作者: 大角祐介出版社/メーカー: SBクリエイティブ発売日: 2014/06/25メディア: 単行本(ソフトカバー)この商品を含むブ…

sshによるユーザ列挙攻撃"osueta"

ものすごく遅いレポートですが、先日、ゆるふわ勉強会こと さしみjp ささみjpの#ssmjp 2014/06 に参加させて頂きました。この中で、@togakushiさんの発表「OpenSSH User EnumerationTime-Based Attack と Python-paramiko」が面白かったのでそのメモです。 o…

無線LANとWEPキーについて勉強会で発表しました

6/7(土)に、久々にセキュリティの勉強会、Security Casual Talks 2014#2(すみだセキュリティ勉強会)を開催しました。私の発表資料は以下で、「無線LANデンパゆんゆん観察」としました。ノートを含めていて小さいので、フルスクリーンで見るかダウンロード…

UbuntuでWindow Makerのススメ

Ubuntuはデスクトップとして使うには便利なLinuxなのだけど、標準のUnityがちょっと豪華すぎて、古いノートPCに入れるとなかなかつらいモッサリ感がある。 はるか昔(今から10年以上前……)に私が大学生だった頃は、Vine Linuxを常用していたため、ウィンドウマ…

Apacheでマトリョーシカを作ってみる

以前から、「Apache1000本ノック」という単語だけ頭に明滅していたのですが、時間が取れたのでそれに近いものを作ってみました。が、実際にやってみるとノックというよりはマトリョーシカに近いな……と思ったので、ここでは「Apacheマトリョーシカ」として紹…

gnuplotを使ってeps形式でグラフ出力する

10年ぶりくらいにgnuplotを使ってみたら、すっかり忘れてしまっていた。というわけで、グラフをフィッティングしてepsファイル出力するメモを。 gnuplotのグラフをLaTeX向けに出力 LaTeXに貼るならば、EPSファイル形式で出力すると良い。epsファイルとは、Po…

Kali LinuxにNessusをインストール

このblogでも何度か取り上げた、Kali Linux。 このKali Linuxはペネトレーションテストに用いられるLinuxディストリビューションだが、標準パッケージとしてNessusは提供されていない。というわけで、ここでKali LinuxでNessusを使えるようにするためのメモ…

WiresharkでSSL通信の中身を覗いてみる

OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとな…

ニフティクラウドとさくらのVPSに来る悪い人を比べてみる

ニフティクラウドでサーバを数台、手配していたのですが、諸事情で3月末までに返却しないといけなくなってしまいました。 ということで返す前に、ニフティクラウドに攻撃している悪い人たちと、さくらのVPSに攻撃している悪い人たちとを比べるとどうなのか………

JavaのJDK/JRE/Server JREの使い分け

先日、OracleのWebページからJDKとJREをダウンロードしようとしたら、「Server JRE」というのが用意されていることに気がついた。 このServer JREとは、いったい何じゃらほい? というのが今回のテーマ。なお基本的にLinuxサーバ環境で考えます(Windows, Sola…

Security Casual Talksを開催します

しばらく間が空きましたが、すみだセキュリティ勉強会の会合(Security Casual Talks)を2014年2月22日にやろうと思います。 http://atnd.org/events/47172 今回の私の発表は、前回と同様にVPSに来る攻撃を観察しつつ、少しマジメに(?)ハニーポットをやる上で…

2013年のApache Magica攻撃まとめ

流石にネタ切れ感が出てきたけど、2013年も〆となったので、まだまだしつこくアパッチマギカ攻撃についてまとめておきたい。とりあえず2013年12月31日までに来ていたログ観察まとめ。 おさらいと復習 CGI版PHPへのApache Magica攻撃の観察 - ろば電子が詰ま…

無料で読める情報セキュリティ文書をまとめてみた

最近は何かとセキュリティ流行りなので、こういうのがあると誰かに便利かなーと思ってまとめてみました。半分は自分用のリンク集です。一応、取り上げた基準としては、以下の感じ。 日本語であること。 無料でWebで読めること。 「文書」であること(ブログ…

Tomcatのwarファイルとデプロイと自動展開

またもやTomcatでハマってしまったので、ちょっとまとめておこうと思う。Tomcatでのwarファイルの扱いと、コンテキストパスと、自動デプロイについて。 Tomcatのデプロイとwarファイル Tomcatではアプリケーションをデプロイするには、warファイルという、We…

ニフティクラウドに来る悪い人を観察する、の取っかかり

今までこのblogでは、さくらのVPSに来る悪い人を観察していました。が、今回、ニフティクラウドのVMサーバも手配することができました。ということで2つのホスティングサーバをまたがって観察することで、アタックに何か違いが見えたりしないじゃろうか、と…

Security Casual Talks 開催しました

12/7(土)に、すみだセキュリティ勉強会の会合ということで、Security Casual Talksを開催しました。 すみだセキュリティ勉強会 当日の発表資料などは上記Webに置いてあります。殺風景なページですみません。 発表概要 さくらのVPSに来る悪い人を観察する そ…

Struts2で<s:url>を使う際のXSS混入

最近なにかと狙われがちの、Apache Struts 2。「.action」を通して任意のコードが実行できるという脆弱性はさんざんあちこちで書かれたので、ここでは、システム開発時のちょっとした注意点の小ネタをひとつ書いておこうと思います。 によるXSS struts2のタ…

/cgi-bin/phpへの魔法少女アパッチ☆マギカ攻撃への注意喚起

先日に書いた CGI版PHPへのApache Magica攻撃の観察 の記事ですが、さくらのVPSに来ているアクセスを追っていると、この攻撃はここ1週間ほど猛烈な勢いで行われているようです。どうも日本国内でもかなりの数のサーバが攻撃を受けてボット化している気がする…