UPnP対応機器を踏み台としたリフレクター攻撃かな？

一昨日に短時間で大量の不正接続がありました。
対象はOpensim用サーバーのBxbt-2807機です。

すべてFirewallでブロックできていますので被害はありません。（のはず）

一見して、完全な成りすまし接続です。

ルーターからもLan内へ発信していましたので、udp(1900)をgoogle先生に聞いたところ、有名なスパム攻撃みたいです。

『UPnP対応機器を踏み台としたリフレクター攻撃が増加、警察庁が注意喚起』
http://internet.watch.impress.co.jp/docs/news/672198.html
（以下抜粋）
この攻撃は、UPnPで使用されるプロトコルのSSDP(udp1900)を悪用して、発信元を偽装することで応答パケットを攻撃対象に送信するもの。送信したパケットに対して応答パケットの方が大きくなるため、大量のパケットを攻撃対象に送りつけるDoS攻撃などに用いられる。

Firewallでは対策できていますが、念のためにルーターのUPnP機能も停止させました。
（ルーターはBBR-4HGで、使用されている人も多いはず）
（デフォルトでは作動になっています）

いまのところはUPnP機能も停止による不具合はありませんが、プリンターを接続したときに問題がでるかもしれません。
まあ、その時だけ機能させればOKですよね〜　＠＠）

措置後24時間以上経過しましたが、まだこのスパムの不正接続は発生していません。
対策が効いたのかな？

でも、いろいろ悪知恵を働かすものですね〜　＞＜

スプリックス社は、まだ来訪者のトラッキングをしているの？

ひさしぶりにスプリックスのHPを見てみました。
相変わらず、謝罪文とサービス終了のjpeg画像二枚だけですね。

ところが、このページのなかにJavaスクリプトが６本も入っています。
むむ、何でgoogle-analyticsとga.jsがここにあるのかしら？

まだ来訪者の解析と追跡までしてるのかしら？

もし、そうだとしたら何のためなのでしょうね？
店仕舞いなら、そんなことはしませんよね〜？

さては、ほとぼりが覚めて再開するときのための、データー収集かな
でもね、ここへ来るのは批判者と何も知らない就活者くらいなのに。。。

あ、批判者への復讐のためかな？
私の勘違いで、先走り過ぎかな？

そそ、これらのスクリプトの中にスパムを潜伏させても、判明しにくいわね。
archiveにcacheされる前に戻せば、バレないで簡単よね　＾＾）
（可能かな？）

スプリックス謝罪文画像に隠蔽されたコード類の有無調査後に。。。

今朝のOpensimサーバーを稼働させているbxbt2807機からのlogwatchレポートで、またFirewall破り未遂検出が記載されていました。
From 192.168.11.5 - 4 packets to udp(3702)
（この発信元は、Lan内のWindowso10機です）

ufw.logを調べると、『DST=239.255.255.250』になってます。

google先生に質問したところ、以下の回答です。
WS-Discovery プロトコルを実装するクラス ライブラリで、デバイスがネットワークに参加するときとネットワークから離脱するときにデバイス上の Web サービスから送信される、Hello メッセージと Bye メッセージの受信をサポートします。

これがbxbt-2807機で検出されたのは、初めてですね。
（気づかなかっただけかな？）

あっ、昨日のこの時間帯は、Windows10機でスプリックスに接続して謝罪文のjpg画像をダウンロードし、ファイルに何か隠されていないかどうかを調べていました。


これは、「画像に隠蔽する手段」を紹介する以下の記事を参照しながらです。

画像ファイルにPHPコードを埋め込む攻撃は既知の問題
http://blog.ohgaki.net/c_ra_a_a_ia_ca_la_lphpa_sa_fa_a_a_a_effa

画像ファイルにJavaScriptを隠す
http://blog.ohgaki.net/hide-javascript-in-images

JPGファイルを隠ぺいに利用するWebサーバ専用バックドア「BKDR_ZZPEG」の被害を日本で確認
http://blog.trendmicro.co.jp/archives/7760


私の乏しい知識では、隠蔽コードは発見されませんでしたが、危ないのでダウンロードした画像はすぐに廃棄しておきました。


この時の作業が、「WS-Discovery」を動作させる引き金になったのかな？
まあ、bxbt-2807機のサーバー側でブロックしているから、大丈夫かな？

あまり深入りしないほうが良いかな？

しばらくは要注意ですね。。。。。。。

森塾の数百名の生徒さん個人情報（？）と学校名・顔写真が公開されてる

昨日に当方のFirewall破りを試みたスプリックスが営業している森塾のサイトを調べてみました。
『成績向上した生徒さん』が学校名・顔写真・名前入りでアップされていますね。

森塾のデーターベース保護状態に興味があったのですが、数百名の生徒さんの一部情報が、すでに公開されているとはね。
ゴルスタで晒された量よりもすごいじゃん　＠＠）

名前が「仮名」って断っていないところからみると、実名かな？
スプリックス・森塾には、個人情報保護って感覚はないみたいね。

（問題があるとまずいので、私は画像にボカシを入れておきます）

『スプリックスからのFirewall破り未遂』がありました。。。＠＠）

今朝logwatchからのメールを見ていると、Firewall破り未遂の記載がありました。
From 153.122.16.92 - 10 packets to tcp(35723)

それほど重要な件ではないのですが、悪名高いスプリックスだけに、気になります。

そこでufw.logを調べてみると、5日12:19〜12:20にかけての記録が残っています。
発信元は、ゴルスタ運営のスプリックス
先方のポートは、80/tcp
時間帯は、昨日にsprix.jpへ接続した時間帯で、見たのは謝罪文のjpeg画像です。

スプリックスさん、何を探索しているのかな〜？
このタイミングでsprix.jpへ接続するのは、先方に批判的な人たちが多いしね。

あ、jpeg画像にスパムか何かを潜ませたのかな？
過去にSLのTPV−Viewerで、Opening画像のスパム事件があったのを思い出しました。

LinuxのEcoなゲーム(2) 『OpenTTD』

消費電力4WのLinux機に、OpenTTDをいれてみました。
これもFreeですが、本当に楽しく遊べます。

Debian8ではパッケージマネージャーから簡単にインストできます。
鉄道での閉塞信号設置の基本がマスターできました〜　＾＾）

英語の公式HP
https://www.openttd.org/en/

日本語での解説記事は、以下のURLを参照しています。
http://s-sasaji.ddo.jp/ttdx/