おい MSE、 Apache が Trojan:Win32/Critet.BS だとか言っておどかすなよ!!

アップデート (3.22):

 今朝、 Apache を 2.4.32 から 2.4.33 に更新した。 MSE でスキャンしたら、問題なし。あれは何だったんだろう?というわけで、 MSE の設定はデフォに戻した。

 今朝のことだが、 Microsoft Security Essentials が突然 Apache のファイルを Trojan:Win32/Critet.BS 判定して検疫し、サーバー上の Apache が停まってしまった。 OS は Windows7 HE SP1 である。すぐに復旧しようと思ったのだが、母を病院に連れていくことになっていたので、一時間くらいはサーバが落ちていたと思う。
“おい MSE、 Apache が Trojan:Win32/Critet.BS だとか言っておどかすなよ!!” の続きを読む

Search Console からまたもや「セキュリティの問題」をもらってしまった。

 昨夜、 Search Console にログインしたら、またもや「セキュリティの問題(1)(2)(3)」が出ていた。 2 度目である。前回は 5/9 だった。

 そんでもって、 2 回ともマルウェアのせいではなくて、私のドジのせいなのだ。 orz “Search Console からまたもや「セキュリティの問題」をもらってしまった。” の続きを読む

WordPress 4.7 及び 4.7.1 への攻撃が増加中。

 いまだに増加中。大急ぎで WordPress をアップデートしよう,緊急事態ですよ。これ関係の記事はいっぱいだし,ネットオウルからもメールをもらったしで,これを書いてます。

 くりくりさんと Twitter で話したばっかりだったんだけどね。その件での初ツイートは 2/6 で徳丸さんの記事を見たからだ。“WordPress 4.7.1 の権限昇格脆弱性について検証した”

 昨日, Security Next が攻撃元の IP アドレスをいくつか載せてたので,夜,ログをチェックしてみたら, 2/6 に1 回だけあって, 500 エラーになっていた。そのときは,うちはもう WordPress 4.7.2 だったからだろう。
 ユーザエージェントが python-requests/2.11.1 で /wp-json/wp/v2/posts/ に来ていた。

 WordPress 4.7.2 のリリースは 1 週間以上前だし,オートアップデートがデフォルトだし,マニュアルアップデートでも超簡単なのに,この事態。残念至極。開発陣はもっと残念だろうなぁ。

phpMyAdmin4.6.6 にアップデートした。

本日, phpMyAdmin4.6.6 にアップデートしたら,ログイン時に “OpenSSL error: error:0607A082:digital envelope routines:EVP_CIPHER_CTX_set_key_length:invalid key length” というのが出るようになった。
 おそらく, 👉 $cfg[‘Servers’][$i][‘ssl_verify’] のせいではないかと思うのだが……。

 説明部分に, “Disabling the certificate verification defeats purpose of using SSL. This will make the connection vulnerable to man in the middle attacks.” というのが入っているが,自鯖の SQL server と phpMyAdmin は NAT ルータ内にあるし,ユーザも私だけなので,一時しのぎとして, config.inc.php に下記を付け加えて回避することにした。

$cfg['Servers'][$i]['ssl_verify'] = false;

「[日本郵便]集荷依頼申込み完了のお知らせ」を騙るスパムメール。

 追記: 2 通めをもらったんで追記しやした。 (@20:47)
 久々のスパムネタ。

 ここのところ,メインのメールアドレスに急にスパムメールが増えた。当該メールアドレスは,ごく近しい人と銀行関係くらいにしか使っていないのだが,どこかで漏れたかな?まあ,長年同じアドレスを使っていればやむを得ない仕儀である。 “「[日本郵便]集荷依頼申込み完了のお知らせ」を騙るスパムメール。” の続きを読む

権威DNSサーバーの設定不備による情報流出の危険性と設定の再確認について。

 表題の件,くりくりさんは早速確認されていたが,私は,自分とこに BIND とかが入っていないので関係ないじゃんとか思っていた。しかし,考えたら eNom のネームサーバを使っているわけだ。というわけで,それについて調べてみよう。大手どころだからと頭から信用してはいかんよね。 “権威DNSサーバーの設定不備による情報流出の危険性と設定の再確認について。” の続きを読む

気を付けよう,ランサムウェア。

投稿アップデート情報  追記(12/7) 追記2(12/8)

 怖いですねぇ,ランサムウェア。最近,国内で増えてるみたいですね。記事も増えてます。こんなんとかこんなんとか大分前にランサムウェアの記事読んだ気がするけど,どこだったかな。昨日はリアルワールドが忙しかったので,今になって探してみたんだけど,これでしたねぇ。 ☞ 2015年6月の呼びかけ “気を付けよう,ランサムウェア。” の続きを読む

CF-J10 が夜の間に Windows10 1511 になっちまった。

投稿アップデート情報  追記(11/28) 追記2(2016/8/10)

 CF-J10 が夜の間に Windows10 1511 になっちまった。休止状態,かつ,プラグが刺さっていたのが敗因だね。

 幸いなことに,致命的な事態は起こってなかった。しかし,いろいろといらんことが……。 “CF-J10 が夜の間に Windows10 1511 になっちまった。” の続きを読む

マイナンバーといい,この話といい……

 まったく何を考えているのかね。 ‘Blaming Encryption for the Paris Attacks Looks Dumber Every Day’ (日本語訳:「パリ同時多発テロで通信暗号化を責めるのはやっぱりおかしい」) 。こんなことになると,このネット万能の時代に,暗号無効化状態で決済ですよ。冗談でしょ。日本語題は大人し目だが, Dumber Every Day って表現は相当激しくないスか?すっかりネイティブ環境から遠ざかっている私の英語レベルだから,受け取り方に間違いがあるかもしれんけど。

 11/22 にマイナンバー入り封書が配達されたので,もう一度,例の冊子を読み返してみたのだが,やっぱ,普通人にはメリットがなさそうに感じられる。なーんにも悪いことをしないフッツーの人で,当面一番関係ありそうなのは,税金だろうが,今だって,還付は自己申告だし,そっちは変わりそうにないよねー。集めるほうは,集めやすくなるんかなと,思えなくもないけど。逆に,漏洩したときのデメリットは計り知れない気がする。

 私の頭の中で「第一段落と第二段落がどうつながったんだい」とツッコミがあるかもな。
 悪事を働く人をとっちめようとするあまり,そのことで一般小市民が多大なる犠牲を払わされる恐れがあるという考慮が,どちらの話でも,すっぽり抜け落ちている気がしたんだよねえ。

 またまた,愚痴っぽくなってきたから,この辺で止めときまっさ。

またやらかしたの?

 なんか, Baidu がまたやらかしたみたいね。☞この件 (すぐ消えると思うから,PDF 版)。

 上記だけではあとで何の事だかわからなくなりそうだから,もう少し関連の記事を貼っておくが,

 しかし,こうたびたびとなると,確信犯としか思えなくなるよね。確信犯という言葉の使い方にも揺れがあるようだが,ここでの意味は,本来の意味ね。☞「道徳的・宗教的または政治的確信に基づいて行われる」
 Baidu は国営ではないから,国家的見地からの確信犯とまで言うと,言い過ぎ&勘ぐりすぎだろうか。それはさておき,私の語感から言うと確信犯という言葉は国家に対抗する意味合いを帯びることが多い気がするので,国家的見地からの確信犯というのは,矛盾をはらんだ用法かもしれない……(アセッ)。

 過去における, Google との争いとか著作権に関してのとかは,単なる市場に対する独占欲からと言ってもいいかもしれないが,今回のこととか, 2013 年の Simeji の件とかはなぁ。

 国家的見地からということになると,どこの国にもありうる話なので,セキュリティの話には敏感にならざるを得ない。と言って, Google や MS のような巨大企業のほうが信用できるという話には,絶対にならないが。