Luminescence

最近の admin には馬鹿が増えているのか？をご覧いただくと、何やら瑣末事に食いついて粘着的な書き込みをしている Ryu なる人物がいることが分かるだろう。こいつが、とんでもない輩だったのだ。

mixi のとあるトピックで僕が書き込んだのを見たらしく、この馬鹿丸出しの書き込みをしてきたのだが、この（現時点までにこちらでログが確認できる）3つの書き込みの時刻は、

• 2009/10/14(Wed) 20:40:17
• 2009/10/15(Thu) 23:54:31
• 2009/10/16(Fri) 23:41:34

• y116174.ppp.asahi-net.or.jp - - [14/Oct/2009:20:40:17 +0900] "POST /thomas/diary/index.php HTTP/1.1" 200 104 "http://fugenji.org/thomas/diary/?no=r41" "Mozilla/5.0 (X11; U; Linux x86_64; ja; rv:1.9.0.6) Gecko/2009020407 Iceweasel/3.0.6 (Debian-3.0.6-1)"
• y116174.ppp.asahi-net.or.jp - - [15/Oct/2009:23:54:31 +0900] "POST /thomas/diary/index.php HTTP/1.1" 200 104 "http://fugenji.org/thomas/diary/?no=r41" "Mozilla/5.0 (X11; U; Linux x86_64; ja; rv:1.9.0.14) Gecko/2009091008 Iceweasel/3.0.6 (Debian-3.0.6-3)"
• y116174.ppp.asahi-net.or.jp - - [16/Oct/2009:23:41:34 +0900] "POST /thomas/diary/index.php HTTP/1.1" 200 104 "http://fugenji.org/thomas/diary/?no=r41" "Mozilla/5.0 (X11; U; Linux x86_64; ja; rv:1.9.0.14) Gecko/2009091008 Iceweasel/3.0.6 (Debian-3.0.6-3)"

さて、この時点で、Ryu なる人物を y116174.ppp.asahi-net.or.jp で特定できることがわかる。何故かというと、朝日ネットは Yahoo!BB 等と同じく、ユーザ側のネットワークへの再手続きがない限りは強制的再接続処理を行わないプロバイダ（つまり、常時接続していると DHCP 接続をしていても、DNS 上での端末名や IP address が固定される）だからだ。ちなみにこれは直接朝日ネットに電話してその旨確認してある。

で、今日の昼ごろだったか…… fugenji の僕のメールアドレスに、とんでもない数のメールが送信されていることに気づいた。その数 5012 通。まぁ僕の MUA (Mail User Agent) は Mew というテキストベースのものなので、これ位来たからといって整理できないことはないし、いずれもテキストメールだったので、とりあえず保存して、ヘッダを見てみると……タイムスタンプや id 以外は同じこれが頭に付いている。

Received: from vulture.run.sh (y116174.ppp.asahi-net.or.jp [118.243.116.174]) by www1.inetd.co.jp (8.13.8/3.7W09101512) with ESMTP id n9GL09aJ097837 for <thomas@fugenji.org>; Sat, 17 Oct 2009 06:00:09 +0900 (JST)
Received: from ryu by vulture.run.sh with local (Exim 4.69) (envelope-from <ryu@run.sh>) id 1MytuA-0000Ix-6G; Sat, 17 Oct 2009 06:00:06 +0900

あのさぁ……IP spoofing も知らない奴が mail bomb なんて百年早いっつーの。自分の分を弁えろっての。まさに裸の王様である。

あまりの程度の低さに絶句しているうちにも、同様のメールは次々と送られてくる。その数五千数百通。まぁ機械的処理と思えばたいした事もない話だ。あまり早くやると、自分のプロバイダに検知されちゃうから、そう高速にも送れないというのに、ご苦労なことだ。

まぁ阿呆らしいとはいえ、これは立派な犯罪行為である。とりあえず朝日ネットに電話を入れて、DoS attack を受けていること、相手の発信元が y116174.ppp.asahi-net.or.jp = vulture.run.sh = 118.243.116.174 であること。local の MTA (Mail Transfer Agent)……しかし Exim4 使ってるというそのセンスがイマイチ分からないなぁ、要するに Debian GNU/Linux のデフォをそのまんま使っているだけなんだろうけど……を叩いて送っているので裸の王様状態であること、mixi で Ryu が公開している個人情報（もちろん「これは SNS で本人が公開しているものなので、信用度はその程度だと思います」と言ったけど）を伝え、プロバイダ側で調査の上「然るべき処置」を下してもらうように依頼した。次いで mixi にも同じ内容をメールで送信しておいた。

証拠保全もしなければならぬ。折角なので、僕が手元に残した DoS attack 用 SPAM の全てを archive して公開することにした。

http://fugenji.org/thomas/spams20091017_sum.tar.bz2

web の log も保存してあるし、レンタルサーバ業者に依頼すれば出してきてくれるだろう。SPAM 送信が止まったのも、レンタルサーバ業者が DoS attack を検知したためかもしれないし、そうなったらレンタルサーバ業者も黙ってはいないだろう。

そうそう、参考までに：
http://www.nic.sh/cgi-bin/whois?query=run.sh
（上の domain から得られる、domain 取得者自身が公開している情報）

世の中には、付和雷同で皆笑っているけれど、実のところ本当に笑えるような状態ではない、というシチュエーションがある。この二つの状態は紙一重である場合が少なからずある（バスター・キートンの映画みたいなものだ）のだけど、これは果たしてどうだろうか:

この動画、海外では賛否が大きく二つに割れているらしい。これはいくら何でもシャレにならないだろう、という意見と、日本の番組は変わったことをするんだなぁ、という意見が出て、海外のメディアをも巻き込んでの騒ぎになっているらしい。

まぁ、最低限、他人に理不尽な被害を被らせないのが条件でしょうね。前々回の日記に粘着的に書き込んで、挙句の果てには DoS attack なんかかけてくるような輩はお話にもならんけど……まぁこれは、賛否を問う必要もないことだろう。

まぁ、ただ……僕自身にとっては、あんなに笑える話はない。だって、DoS attack を自分の IP 丸出しで、自分の端末の MTA 叩いてやってる奴がいるなんて、皆さん、信じられますか？ツッコミどころ満載過ぎて、……ああ、あまりに程度が低くて、やっぱり笑えない、笑うに足りない、ということか。

新生 fugenji.org は、某社のレンタルサーバを使っている。これは、今までサーバを設置していた fugenji.org オーナーの自宅で、オーナー自身がハードの管理をする時間がない（彼は僧侶なのだが、彼曰く：「坊主には『丸儲け』で『三日やったらやめられない』ような生き方しとる奴もいるけど、まともに坊さんやっとったらとてもやないけどそんなん無理に決まっとるんや」とのことで、とにかく忙しい……「らしい」と付けないのは、彼がお盆や本山での修行で大変な状態になっていたことを僕もよく知っているから）、ということで、このようなことになった。

このレンタルサーバ、なかなか堅いつくりになっているのだが、ユーザがアイディアさえあれば色々小回りの利くこともできる。これはうれしいのだが、ひとつだけ……ひとつだけ、どうにも解せないことがある。

問題なのは web サーバの log file である。これは過去1週間の分を一日毎に分割して、代表ユーザの特定のディレクトリに access.log.0、前々日以前の分は access.log.[1-6].zip という zip 形式の圧縮ファイルになっていて、解凍すると access.log.`date +%Y%m%d` というような形式のファイルになる。中身は、その日付の前日の午前3時から24時間の間のログである。まぁ簡単な shell script で切り出すようにして、cron で切っているのだろう……と思っていたのだが、これらのファイルを再解析する目的で僕が書いた script が、ある日から動作しないようになったのである。

おっかしいなぁ、と思いつつも script の各部分をチェックしてみたところが、unzip 絡みでエラーが出ているようだ。手動でひとつづつ展開してみると……おいおい、なんで同じ日付のログファイルが二つ生成されるんだよ。こんなことは有り得ないと思っていたので、自分の書いた script の中で unzip に -o option をつけていなかったのである。

そもそも、日付付きのファイルなのになぜ午前3時で切るのか。それは、午前0時で切ってしまうと、時計やプログラム実行のタイミングの問題で同じ日付のファイルが生成されてしまう可能性があるからだ、と僕は理解していた（でもそんなの、きっと sleep とかを知らないからなんじゃないかとも思えるんだけど）。しかし、3時間もずらしておきながら、同じ日付のファイルが生成されるというのはどういうことなのか。責任者出てこい！。

どうも最近思うのだけど、最近こういう shell script の勘所とか、正規表現の賢い使い方とか、そういうのを知らないのを恥だと思う admin が減っているのではないだろうか。しかも、bourne shell、sed、AWK、Perl、Ruby……色々ある選択肢の中で最も secure かつシンプルなツールを使って小技を利かせるという感覚って、今はないんだろうか？なんでも perl とかいう人って、確かに昔からいたけどさ。なんだかなぁ……

実は、最近 Linux の方の管理で生じていた問題が何件かあって、今日、一気に解決させたのだが、もしものためにここにメモしておくことにする。

まず、kernel の package 化に関して。僕の場合はいつも configuration が終わったところで：

make-kpkg clean && make-kpkg --initrd --revision=<date>

               → kernel_image kernel_headers

いつもリンカが動いたところで止まる、ということで気づくべきだったのだが、この原因は binutils-gold を入れていたせいであった。ちゃんと document に「こいつは kernel のビルドのときにリンクできなかったりするよ」と書いてあったのに、うだうだ問題を先延ばしにしていた自分が愚かしく思える。

あと、最近の kernel-package で initrd.img が生成されないので「あれぇ？確かこれって前に自力でなんとかしたんだけど……」などとうだうだ考えつつも思い出せずにいたのだった。これも思い出してしまえば簡単で：

cp /usr/share/kernel-package/examples/etc/kernel

               →/postinst.d/initramfs /etc/kernel/postinst.d/