悪い奴が多いな(AU-PAYを騙っている)

投稿日: 2022-05-22 作成者: f-otake

一番大事なことはリンクがある所にマウスを持って来ると(スマホは長押し)左下に(サンダーバードの場合)表示されるURLが実際にクリックした時に飛ぶ所又、ここで最初の方は無視する事、ここは誰でも何でも可能だ(この場合はconnect-au-login いかにもそれっぽくなっているがこれは無視)肝心なのは最後の2つ(たまに3つもあるxxxxxx.co.jp など)この場合は updatez.top これがドメイン。つまりAU-PAYでは無い!!!
調べてみると、今年5月14日にアメリカで登録されたもの。つまり悪さをする為にこのドメインを作ったという事。
さらに、 NameSilo,LLC という会社が登録を受け、.topの値段を調べると$1.88だって。
このレジストラーはうさん臭いな?どうも悪者の手助けをしている感じ?

後、差出人(上の赤線の所)見て欲しい。auto@connect.auone.jp となっているが,これは偽造されているので信用しない事!!実際にはこのメールの発信元は mail.co82.top (unknown [152.32.185.198]) からで(ヘッダーと呼ばれる所を全部表示するとわかる)、ブラウザで co82.top にアクセスすると

googleがワーニングを出してくれている。

カテゴリー: 危険メールや手紙、IP | コメントする

作った覚えのない #mysql50#.Trash-0 ができている!

投稿日: 2022-05-16 作成者: f-otake

ある時 mariadb(10.7.3)で
MariaDB [(none)]> show databases;とすると#mysql50#.Trash-0 というデーターベースができている! こんなの作ってないし、google先生に聞いても事例が出てこない。うーん? そうだファイルを見てみよう。
私は /etc/my.cnf でデフォルトからは変更し
[mysqld]
datadir=/Mysql
socket=/var/lib/mysql/mysql.sock
と指定している。そして独立した領域を/Mysqlに割り当てているので、見てみると以前に消したファイルが、
.Trash-0 として残っている。
わかった、このファイルは /Mysql にあるので、サーバーがデーターベースだと勘違いして表示していると判断。この .Trash-0 も削除したら無事表示されなくなった。

カテゴリー: Linux運用時のメモ | コメントする

今度はAU PAY !!!

投稿日: 2022-04-27 作成者: f-otake


先ずは上の赤線の差出人を見おると auto@connect.auone.jp になっている。auone.jp はAU PAY のドメインだが、これは偽造されている。メールのヘッダーと呼ばれる所を全部表示すると(thunderbirdは表示→ヘッダー→すべて) mail.utaraprint.com(IP152.32.210.98)という所から送信されていて、IPを調べるとオーストラリアから送信されている!! 中ほど紫色のリンクの上にカーソルを持って来ると表示される(アンドロイドはここを長押しすると表示される)所が下の赤線の部分で、これがクリックすると実際に表示されるページで、これが一番大事。 https://connect-au-service.gh19.top になっている。いつも言っているがドメインと呼ばれる部分は最後の2つか3つの部分。この場合は gh19.top でここはAU PAYでは無い!!
ちなみにgh19.comにアクセスすると中国語でエラー表示が出たので、中国の誰かが悪さをしていて、connect-au-service.gh19.topのページしか作っていなさそう。つまり悪さをするとための情報収集ページだけを作っているようだ。
くれぐれもクリックしない事。

カテゴリー: 危険メールや手紙、IP | コメントする

今度はJCBー気を付けて

投稿日: 2022-04-14 作成者: f-otake


まず差出人だが表示は info@jcb.co.jp になっているがこれは偽造されている。ヘッダーと呼ばれている部分を、全部表示にすると最初に送ったのは
Sevice.lovetrail.cn で IPアドレス(インターネットの住所にあたる)は
107.172.188.117 でつまり中国からだ。この所危ないメールは全部中国からだなー
ちなみに3つあるリンクはどれも同じで https://etc.xfong.cn に飛ぶようになったいる。

いつも言っているが、
1:差出人を必ずチェックの事、今回は表示は偽造されているのでわかりにくいが、多くはここが xxxx.yyyy.cn 等と偽造されていないことも多い。
2:リンクにマウスを持って行き(スマホでアンドロイドの場合は、リンク部分を長押しで、飛ぶ所が表示される。多分 i-phone でも同じだと思うが持っていないのでわからない)左下に表示された所(サンダーバードの場合)をチェクする事。これが一番大事

カテゴリー: 危険メールや手紙、IP | コメントする

サブホストをコピーしダブりを解消したらネットワークが死んでいる!

投稿日: 2022-03-25 作成者: f-otake

結論を先に書くと、


上の画像の様に virtio なっていないといけないので、サブホストを停止し、virtioに変更し、適用をクリック(停止中なら必要なかったかな?)再起動すれば問題ない。

分かってしまえば簡単だが、これには1日かかった。
先ずは調べる
# ifconfig
これからはipコマンドで調べるらしいが、慣れていないのでifconfigでやる
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 3145 bytes 440816 (430.4 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 3145 bytes 440816 (430.4 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

virbr0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500
inet 192.168.122.1 netmask 255.255.255.0 broadcast 192.168.122.255
ether 52:54:00:4e:36:09 txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
あれー、eth0がないぞ!
それでは
# systemctl start network
エラーが出る
# ifconfig -a
とすると、eth0無く、ens3 がある。
なので、/etc/sysconfig/network-scripts/ifcfg-eth0の名前をifcfg-ens3に変更してネットワークをリスタート。今度は/var/log/messagesに
インターフェース ens3 を活性化中: ERROR : [/etc/sysconfig/network-scripts/ifup-eth] デバイス eth0 は存在しないようですので、初期化を遅らせます。
Mar 25 10:46:48 web4 /etc/sysconfig/network-scripts/ifup-eth: デバイス eth0 は存在しないようですので、初期化を遅らせます。
うーん、どうすればいいの?ifcfg-eth0を削除し再起動したり、ifcfg-eth0にHWADDRを設定してもダメ。
ここでどつぼにハマり時間がかかったが、結局は最初の設定だった。

カテゴリー: Linux運用時のメモ | コメントする

再起動したらpostfixがスタートしない!

投稿日: 2022-03-20 作成者: f-otake

今日、再起動したらメールサーバーが動いていない。サーバーにログインして
# systemctl status postfix
とし確認したら矢張りスタートしていない。では
# systemctl is-enabled postfix
enabled
だ。なのでOS起動時にpostfixも起動する筈。何で動いていない。なのでCentOS7の起動を調べる
$ systemd-analyze plot > systemd.svg
で systemd.svg を画像ビュアーで開くと

あれ、postfixでは無くsendmailが起動している!(理由は不明)なので
# alternatives –config mta
2 プログラムがあり ‘mta’ を提供します。
選択 コマンド
———————————————–
*+ 1 /usr/sbin/sendmail.sendmail
2 /usr/sbin/sendmail.postfix
Enter を押して現在の選択 [+] を保持するか、選択番号を入力します:2
矢つ張り、sendmailを選んでいる(どうしてこうなったかは不明)なので 2 を入力しmtaをpostfixにして、OSを再起動したら無事postfixが起動するようになった。

カテゴリー: Linux運用時のメモ | コメントする

今度は”えきねっと”が狙われた

投稿日: 2022-03-19 作成者: f-otake


上の方の赤線を見てください。ここはeki-info-account@argvzwi.cnとなっている。大事なのは@マーク以降のドメインと呼ばれている所。argvzwi.cn はえきねっとでは無いし、最後の .cn は中国だ。つまり中国にいる悪人が騙そうとしている。
下の赤線の所は本文の青字の”ログインはこちら”の所にマウスを持って行くと表示される、でここがクリックすると飛ぶ所。つまりこのページが表示される。https://www.eki-jp.bhotzbk.cn となっていて、ここで大事なのは最後の方のbhotzbk.cn ここがドメインになる。又中国だし、メールのドメインと表示されるドメインが違っている。ふつうは同じドメインになるので、そもそも”えきねっと”では無いし、100%怪しい。絶対にクリックしてはダメ

カテゴリー: 危険メールや手紙、IP | コメントする

今度はso-netが狙われた

投稿日: 2022-03-08 作成者: f-otake


上の赤線の所を見て欲しい。ここはyudfto@ssoban.cn となっている。@マーク以降がドメインと呼ばれて居る所。特に最後のドット以降が国だが .cn は中国。
又下段の赤い線はご請求内容の確認にマウスを持って行ったら表示されるが、その下のリンクをクリックすると飛ぶ所。ここは https://so-net.ne.jp.pointclubc.com/ になっている最初のso-net,ne.jp は関係ない、ここは pointclubc.com という所で、ソネットではないぞー、気を付けてね。
ちなみにヘッダは

Return-Path: <yudfto@ssoban.cn>
X-Original-To: f-otake@kinryokai.net
Delivered-To: f-otake@kinryokai.net
Received: from ssoban.cn (unknown [153.120.93.50])
	by mail.kinryo.net (Postfix) with ESMTP id 619B116982CE
	for <f-otake@kinryokai.net>; Tue,  8 Mar 2022 01:26:57 +0900 (JST)
Message-ID: <DCA55629A6D0FBDC4B3112A525BE2DC8@ssoban.cn>
From: =?utf-8?B?U28tbmV0IOOBiuefpeOCieOBmw==?= <yudfto@ssoban.cn>
To: <f-otake@kinryokai.net>
Subject: =?utf-8?B?44CQU28tbmV044CR44GU5Yip55So44Gu5Lya5ZOhSUTjgajjgrXjg7zjg5M=?=
	=?utf-8?B?44K544Gr44Gk44GE44Gm77yI?=
Date: Tue, 8 Mar 2022 01:26:52 +0900
以下省略

ソネットに知らせたいが、これを知らせるメアドもないと言われたし、電話やチャットは使い物にならないので、知らせたいが出来ない。

カテゴリー: 危険メールや手紙、IP | コメントする

wordpress のセキュリティーとパーミッション

投稿日: 2022-02-27 作成者: f-otake

色々試していくうちに問題が出てきました。プラグインのインストールでエラーが出たりしていました。結局 https://qiita.com/holdout0521/items/f4d81f27886b623c5ef0 を参考に所有者を変更しました。色々権利を見ても何でapacheが書き込み権限を持たないといけないのか理解できない部分が沢山あるのですが?(例:ルート直下のwp-config.php と .htaccess 以外は書き込み権限が必要?。又 wp-includes/images の各ファイル。images ディレトリーに書き込み権限が必要なのはわかるのですが、なんでファイル自体に必要なの?)兎も角、上記のWEBを参考に変更しましたが、勿論nginxとグループはapacheに、そしてファイルは600、directory は700、wp-config.php と .htaccess は400(selinuxをdisable にしてから root で変更出来る。自宅にサーバーがあるのでrootになれる)
というわけで、ここから下は参考にしないでね!!

最初にお断りしておきますが、これから述べる事はあまり自身がありませんので、まったくの私見として捉えて下さい。又、エキスパートの方からご意見を頂けると幸いです。
先ずは大前提です。私のWEBサーバーは自宅にあり、KVMを使いサブホストで運用しています。なのでroot権限があります。多くのワードプレス関連のセキュリティーページを見ると一番大事なファイルであるワードプレスのルート領域にあるwp-config.phpを600とか400にしろとあります(でもファイルのオーナーには触れていないので、これでは誰がオーナーなのかわかりませんでした)。でも私の場合はapacheに読み込み権限を与えないと画面が真っ白になります。

私の場合は前に述べたようにroot権限がありますので、apacheにする必要は無いし、ワードプレス本体のサーバーへのインストールも直接ダウンロード→コピペができます。私の理解では全てのファイルやディレクトリーはapacheが読めること、一部のディレクトリーはapacheが書き込むので書き込み権限があること。という事で設定
オーナーとグループを設定。
# chown -R LINUXのユーザー:apache ワードプレスのルートのパス
例:chown -R abcd:apache /var/www/wp
次に全てのファイルのパーミッションを変更
# find ワードプレスのルートのパス -type f -print | xargs chmod 640
次にディレクトリー
# find ワードプレスのルートのパス -type d -print | xargs chmod 750
次にapacheが書き込むディレクトリー
# find ワードプレスのルートのパス/wp-conrtent/plugins -type d -print | xargs chmod 770
# find ワードプレスのルートのパス/wp-conrtent/themes -type d -print | xargs chmod 770
# find ワードプレスのルートのパス/wp-conrtent/updraft -type d -print | xargs chmod 770     → これは私がUPDRAFTをインストールしているので無い環境もある
# find ワードプレスのルートのパス/wp-conrtent/upgrade -type d -print | xargs chmod 770
# find ワードプレスのルートのパス/wp-conrtent/uploads -type d -print | xargs chmod 770
# find ワードプレスのルートのパス/wp-conrtent/wpdm-assets -type d -print | xargs chmod 770     → これは必ずしもアルトは限らない。
最後にルート直下にあるwp-config.phpのパーミッションの変更(念の為)
# chmod 440 ワードプレスのルートのパス/wp-config.php
ユーザーも書き込めないがrootになれば変更できる

この作業の後に確認(参考:https://www.nedia.ne.jp/blog/tech/2017/08/22/9188
*WordPress管理画面へのログイン
*記事の投稿及び画像のアップロード
*プラグインの追加と削除
*テーマの変更

ここでプラグインをインストールしようとするとFTPの画面になり直接インストール出来無いので、wp-config.php の最後に
/** プラグインのインストール時にFTPになる時に追記 */
define(‘FS_METHOD’,’direct’);
を追記。この原因は不明、試しにオーナーをapacheにすると問題ないので、どこかのファイルかフォルダーに書き込み権限がいるんだろう?
又、テストの為テーマをインストールしようとすると最後に
インストールに失敗しました。ファイルをコピーできませんでしたとなる。
でも何もせず再読み込みをするとエラーは無く。又wp-content/themaes/インストールしたテーマ は出来ているし、ディレクトリー関係は755でファイルたちは644だった。だとしたら問題ないのでは、テーマを切り替えても大丈夫の様だ(テストなのでトップページしか見てないが)。テーマの削除も問題なく出来る。

2022-2-28 追記:
上記の方法の他に
# find ワードプレスのルートのパス/wp-conrtent/wpdm-assets -type d - exec chmod 770 {} \;
とする方法もあるみたい。
find の -exec を使うか | xargs を使うかは https://techblog.kyamanak.com/entry/2018/02/12/202256 が参考になります。
ただ、ファイル名にスペースが含まれているものがあると、xargs ではエラーが出た。これはfind がファイル名をスペースで区切って違うファイルとして扱うから。例えばファイル名に2つのスペースがあると、ファイルが3つあると解釈する。-exec ではエラーが出ない。

カテゴリー: WordPress関連メモ | コメントする

CentOS 7 運用時の色んなメモ

投稿日: 2022-02-16 作成者: f-otake

apache 設定チェック : apachectl configtest

postfix 設定チェック : postfix check
postfix 設定表示         :   postconf

dovecot設定表示        :doveconf -n
                                   問題無ければ、デフォルトと異なる設定だけが出力されます。
                                   設定項目名にミスがあれば、エラーが表示されます。
                                   但し、設定項目の内容のチェックまではされないようです。
                                  設定項目があっていれば、指定したファイルが存在しなくてもエラーにはなりません。

spamassasin 設定チェック : spamassassin –lint  (– は見にくいが: ハイフォンが二つ)

ddの進捗情報 :dd status=progress if=xxxx…… of=xxxx…..
ネットワーク越しのdd:ssh -p xxx username=@ip or domain sudo dd status=progress  if=/dev/xxx…. |dd of=/dev/xxx….
defaultのポートなら -p xxxはいらない。dd を sudo でパスワードなしでやるには visudo で設定が必用(参照:https://qiita.com/RyodoTanaka/items/e9b15d579d17651650b7

rsync       : rsync -av –exclude-from=/root/exclude1 –password-file=/etc/rsync.passwd rsync://root@192.168.xx.xx/webdata /webdata
      dry-runは -n
      外からは:rsync -av -e ‘ssh -p xxx -i .ssh/id_rsa’ –exclude-from=/root/exclude1 –password-file=/etc/rsync.passwd rsync://root@192.168.11.211/webdata /webdata

vsftp 設定チェック :  vsftpd /etc/vsftpd/vsftpd.conf

ポート指定のping         :   nc -vz ドメイン/IP ポート

ssh接続               :ssh -i 秘密鍵のパス リモートユーザー@リモートサーバーのホスト名

空ポートの確認 :ss -nat 又は-nau   # t=tcp, u=udp

virbr0の停止:virsh net-destroy default,   再起動後も止める:virsh net-autostart default –disable

mail.kinryokai.netだけのcertbot 更新  : certbot certonly –webroot -w /webdata/public/kinryokai -d  mail.kinryokai.net

bacula conf のチェック    https://www.kinryo.net/?p=2510

カテゴリー: Linux運用時のメモ | コメントする