potatoさん
VIEW
高須院長のサーバが止められた原因を技術的に検証した人のツイートまとめ
高須院長 愛知県知事リコールの会のサーバが大量の攻撃を受けダウンさせられ激怒。21時ごろにつながらないと認識。みんなの声。DNSレコード消えてる。高須院長など。
(高須院長、大村知事リコール運動HPが閲覧不能になったらしく「攻撃」と主張しDDoS説がでてるけど、調べたら元はIP共用鯖なのでDDoSなら同IP他サイトも閲覧不能のはずが普通に見えてるし、DNS調べたら今日午後から未設定状態で、単に担当者がミスったのを攻撃と伝えてる予感)
t.co/Aw9wfGClQp
高須院長に引用していただいてたようなので、僭越ながら追加で調べました。".site"上位登録機関でstatusが「ServerHold」になってます。これは該当domain発でスパムメールなど迷惑行為が検出されDBL登録された際などに、それを受け停止された際に出るものです
t.co/oziJ0rfkew
@katsuyatakasu
@ken_sugar @katsuyatakasu 調べた限りでは、主だったところには登録されていないようなのですが……
@atanaga @katsuyatakasu まだDBL検索上で反映されてないのか誤検知なのかは当方ではわかりかねますが、お名前に問い合わせていただくのが確実と思います。xyzドメインなど迷惑メール問題においても誤認で停止されるケースがありますので、その場合はすぐに回復できると思います。あと停止前に通知メールが届いていると思います
@ken_sugar @katsuyatakasu 経験上、5つのサイトにリストが追加されて、レジストラにあがってserverHoldされた場合は、公開リストの方にも即反映されると思うので、スパムとかよりも、巻き添えや誤認識なのかなぁという気がしています。
@ken_sugar @katsuyatakasu 誤認識を与えるようなアタックもありますが、ログを見れるわけでもないので、こればかりはなんとも言えませんね。
まあ流石に、今回のは.xyzでよくあるようなサーバ丸ごと凍結みたいな巻き添えとは違うとは思いますが笑
@ken_sugar @katsuyatakasu あと、serverHoldの解除は30分で終わる時もあれば、一週間ぐらいかかる時もあったりで、ケースによってかなり差がありますね。
私が遭遇したのだと、解除まで5日くらいかかった事案がありました。
この時は原因が分からなさすぎて焦っていたら、メールもなくいつの間にか復旧していました笑
@atanaga @katsuyatakasu 海外というか米国連邦法の感覚で運営している業者だと、規約に沿って条件が該当したら(誤認含む)、まず停止して異議があれば受け付けるっていうtakedown and notice の作法なので、ちょっと戸惑いますよね笑
事前通知も英語デフォルトなので日本語環境のユーザーは見逃すケース多いし。
@ken_sugar @katsuyatakasu 事前の通知とかなく、突然止まりましたねぇ……
Whois情報不備か?とも思ったけど、それならclientHoldだろうし、今でも謎の事案でした。
@ken_sugar @katsuyatakasu なるほど、DBL登録ですか。どのDBLかわかればわりと簡単に解除出来そうですかね。
@ken_sugar @katsuyatakasu トップレベルドメインはgTLDのようですね。私も複数のgTLD使ってますし、DBL登録されたときにもServerHoldにされず、サーバ自体は使い続けられたような。。これってやっぱり、DNSレコードを消されたためにTLDからserverHoldステータス喰らったんじゃないですか?クラックされたんだと思う。
@pstgtom @katsuyatakasu serverHoldは上位レジストリ(登録機関)が操作するものなので、外部の第三者によるクラックというのはまずあり得ないかと思います。さくらのDNSへの直問い合わせではIPアドレスが返ってくるので、何らかの要因(有害サイト認定含)で上位レジストラの権限でドメイン停止されてる状態と推測されます。
@ken_sugar @katsuyatakasu すいません、ちょっと教えてください。
もし高須委員長のリコールサイトがクラックされ、サイトが消滅して接続出来なくなっている状態の場合、レジストラは到達不能と判断してServerHoldステータスを出す、というシナリオはあり得ないってことですか。
@pstgtom @katsuyatakasu レジストラが到達性をチェックすることはないです。
@ken_sugar @pstgtom @katsuyatakasu そんなことレジストラの責任ではないし、そんなことやったらインターネットが不安定になってしょうがないですからね。
@ken_sugar @katsuyatakasu KDIMはともかくSPFも無かったってこと?
さくらインターネットを使うのはインフラを知らないWebコンテンツ屋さんが多いんだけど、さすがにそこは押さえよう。
@kataoka_Jp @ken_sugar @katsuyatakasu 細かい話ですが、DKIMですよね。
@ken_sugar @katsuyatakasu 国内レジストラにてドメイン登録してるサーバのステータスをアメリカの大手レジストラで調べて何か分かるんですか?
@sweetened_tee @katsuyatakasu こんにちは。.siteドメインのルート登録情報(レジストリ)の管理業務をしているのは前ツイ引用のイギリスCentralNic, Ltd.なんです。最新の状態を把握するために、大元のCentralNicでの状態(status)を調べたという基本的手順です。お名前ドットコムはレジストラとして登録申請代行をしてるだけなので。
@ken_sugar @katsuyatakasu 失礼しましたイギリスでしたか。
なるほどDNS引きが出来なくなってた状態を大規模攻撃と勘違いしたのかも知れませんね。
.jpドメインへのリダイレクト設定をした理由が判れば攻撃なのか設定ミスなのか手がかりになりそうですがDBL登録→ドメイン名ロックとは考え難い気はします。
高須院長のツイート
ペラペラと手口を自慢するアホ😀 https://t.co/bnVbwcXK7N
— 高須克弥 (@katsuyatakasu) September 3, 2020
@katsuyatakasu 信頼できる専門家に委ねれば、解決すると思いますが、少し気になり、この猫アイコンの人物のフォローしているアカウントを確認してみました。高須先生、愛知100万人リコールの会、大村知事のアカウントはフォローしていませんでした。しかし、町山智浩と津田大介のアカウントをフォローしていました。
@monsieur_yosuke @katsuyatakasu 高須先生、ムッシュさん
Ken Sugarさんの言ってることは技術的に間違ってないです。
これは思想信条や感情を入れて話すべき内容ではありません。
ホントに決め付けた発言はやめたほうがいいです。
※ 当方、セキュリティやネットワークを得意とする現役SEです。
@hd_taka @katsuyatakasu TK様
ご指摘を頂き、ありがとうございます。失礼ながら、申し上げます。私の高須先生へのリプライは、どのような立ち位置、考え方の人物かをフォローで確認し、偏った傾向を感じたため、ご報告したものです。ご一読頂ければ、「犯人」と決め付けていない事をご理解頂けるかと思います。
@monsieur_yosuke @katsuyatakasu ムッシュさん
承知しました。主にお伝えしたかったのは「発言が技術的に正しいか?」のみで判断するべき内容という事です。
私はリコール大賛成ですが、もしKen Sugarさんと同じ指摘をしたら、疑われますかね?
賛成や反対でフィルタした時点で客観的な判断と言えません。
@katsuyatakasu 元々、高須先生にいい感情持っていない人ではあるみたいですが、ネットワークの技術的な発言の内容については、別に悪いことの手口をしゃべっているわけではなく、淡々と調べた結果をお話しているだけだと思います。
@katsuyatakasu ドメイン登録情報やDNS設定に問題がある可能性があると思います。リコール運動サイトの担当者からドメインレジストラにstatus codeがSERVER HOLDになっている件について問い合わせを行うことをお勧めします。
スパム等の迷惑行為は、SPAMHAUS に登録されていないので大丈夫だと思いますが…