JBossを狙った探索アクセスをキャッチ
JBossの脆弱性を狙ったような探索アクセスが僕のハニーポットにきていましたので、ご紹介します。
アクセス内容
- 1件目
GET /jexws2/jexsw2.jsp?ppp=echo%20D3c3mb3r HTTP/1.1 Cache-Control: no-cache Connection: Keep-Alive Host: XXX.XXX.XXX.XXX User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
- 2件目
GET /jexws3/jexws3.jsp?ppp=echo%20D3c3mb3r HTTP/1.1 Cache-Control: no-cache Connection: Keep-Alive Host: XXX.XXX.XXX.XXX User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
- 3件目
GET /jexws4/jexws4.jsp?ppp=echo%20D3c3mb3r HTTP/1.1 Cache-Control: no-cache Connection: Keep-Alive Host: XXX.XXX.XXX.XXX User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
- 4件目
GET /jexinv3/jexinv3.jsp?ppp=echo%20D3c3mb3r HTTP/1.1 Cache-Control: no-cache Connection: Keep-Alive Host: XXX.XXX.XXX.XXX User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
- 5件目
GET /jexinv4/jexinv4.jsp?ppp=echo%20D3c3mb3r HTTP/1.1 Cache-Control: no-cache Connection: Keep-Alive Host: XXX.XXX.XXX.XXX User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
- 6件目
GET /jbossass/jbossass.jsp?ppp=echo%20D3c3mb3r HTTP/1.1 Cache-Control: no-cache Connection: Keep-Alive Host: XXX.XXX.XXX.XXX User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
どんな攻撃か
いずれもリクエストにechoコマンド(echo D3c3mb3r)が含まれているので、その結果がレスポンス200で帰ってきた場合に任意のOSコマンドを実行できますので、それで判断しているようです。
実際の攻撃内容はこんな感じ。
(画像引用:JexBoss – JBoss Verify and EXploitation Tool - IoT Security News)
めちゃくちゃ簡単に攻撃できちゃいますね。
上記のサイトでは対策として、下記を推奨していますので、JBossを使用されている方は一度ご確認をした方がよさそうです。
- OS、Webサーバ、アプリケーションなどをアップデートする
- 管理者権限をセキュアなアクセスにする
- 特権アカウントのない限定された権限を持つアカウントを使用してサーバを起動する
- 攻撃された兆候がないかログを確認する
- 脆弱性のスキャンを実施する
今日はここまでです。
関連記事です。
【レビュー】めちゃくちゃおすすめ!まじでダメになる『ゲーミング着る毛布 ダメ着4G』
ここ最近寒いです。
特に足先から寒さがやってきて、もう暖房なしでは過ごせない感じになってきました。
ネットサーフィンをしていると、良さげな着る毛布を見つけたので、早速購入して試してみました。
Bauhutte ゲーミング着る毛布 ダメ着4G ブラック/レッド Mサイズ HFD-M-4G-19
- 出版社/メーカー: Bauhutte(バウヒュッテ)
- メディア: ホーム&キッチン
- この商品を含むブログを見る
これです。
こんな感じで届きました。
早速開封して着てみました。
おお!めちゃめちゃ温かい!
足はこんな感じで、一応開けることも可能みたいですが、足先が寒いので開けることはなさそうです。 別でルームシューズやスリッパを利用している人は、便利な機能です。
指先はこんな感じで、ゲーミング仕様になっています。
実際にコントローラーを持ってみた感じはこんなんです。
これを着てたら、エアコンの暖房は今のところ不要です。 めちゃくちゃあったかいです。
サイズ感も僕はだいたい身長が173cmくらいで、今回Lサイズを購入しましたが、ピッタリでした。
これはやばい!まじでダメになりそうです。笑
仕様方法も様々あって、フルフェイスモードだったり、ニンジャモードだったり、頭周辺をいろんな形で寒さから守ってくれます。 僕は今のところ、マスクモードで使用しています。
トイレをするときもお尻のジッパーが開く形になっていますので、座って用をたす僕にとってはありがたい機能となっています。 ちなみに前からする方でもジッパーが下にも付いているので、問題ないです。
洗濯機で丸洗い可能なところも最高ですね。
価格は1万円ちょっとと少しお高めですが、ただの毛布を買うよりは全然コスパ最強の一品となっています。 ゲームだけじゃなく、普通にPCをいじっている時も違和感なく操作できて便利です。
Amazonの商品ページみたいなゲーム環境がほしい。。。
関連記事です。
「FIREムーブメント」っていうのを知っていますか(経済的に独立して早期退職)
最近こんな記事を見ました。
FIREムーブメント。
FIRE(Financial Independence, Retire Early:経済的に独立して早期退職)
早い段階で配当なりの運用で、経済的に自由な生活を送ることをFIREというらしいです。
そうそう。僕が目指しているのもこれこれ、と読んでいましたが、なかなか記事の内容がぶっ飛んでいました。
Pete Adeney(ピート・アデニー)さんの場合
この記事で紹介されているPete Adeney(ピート・アデニー)さんは
夫婦で各6万7000ドル(約750万円)のソフトウェアエンジニアの仕事をしながら無駄遣いを一切やめて貯めこみ、20万ドルの家と60万ドル貯まった30歳のところでスパッと会社を辞めました。60万ドルあれば運用利回り4%を生活費に回すだけで、夫婦と子ども計3人の家計は十分回っていくと考えたからです。
ふむふむたしかに、と一瞬おもったのですが、夫婦でそれぞれ750万円ってことは、年間1,500万円の収入になります。 60万ドルの資産で運用利回り4%ということは、日本円で約270万円程度になります。
ただ、30歳時点で20万ドルの家+60万ドルの貯金ってやばくねって思いました。
合計で80万ドル、日本円に換算すると約9千万円になります。30歳時点でこれほどの資産を築くのは、そうとう至難ではないかと思いました。 仮に20歳から働いて貯金したとしても年間で900万円ずつ貯金しなければなりません。 日本の場合、学部卒で入社したとしたら22歳なので、だいたい年間で1,100万円強を貯金しないといけないことになります。
ピートさんは夫婦で資産を築いたということなので、仮に独身であった場合でも年間で450〜550万円貯金しなければいけないことになります。 750万円の収入ということなので、200〜300万円で生活していくことになります。
これを12ヶ月で割ると、16万円〜25万円程度の生活費ということになります。 ふむふむ生活費はそれなりに妥当、僕と対して変わらない範囲だと思いました。
違うのは、やっぱり収入の多さです。 20代のうちから750万円ももらえるのは、さすが海外だなと思いました。
日本の場合東京でも20代の平均年収が約480万円とその差が300万円程度あるので、日本でピートさんと同じようなことをしようとおもったら、収入のほとんどを貯金しないといけなくなります。
上記を踏まえると、日本で独身の場合、年間100万円程度を20代で貯金、投資できていれば、かなり良い方なのではないかと思います。
J.P. Livingstonさんの場合
上記の記事でもう一人の例が紹介されていました。
J.P. Livingstonさんは、
ウォール街の金融関係で7年働いて225万ドル(約2億5500万円)貯め込んで28歳でリタイアした
ということで、さすがウォール街と思いました。
21歳から働いて、7年間で給料の7割を貯金に回すことで、2億5千万貯金することができるなんて日本じゃ考えられないと思いました。 仮に収入が毎年同じと仮定しても、年間4,500万円の収入があったことになります。(まじですげー。。。。)
かと言って、今からウォール街で僕が働けるかと言うと、それは現実的ではないので、普通のサラリーマンをしつつ、副業としていろいろチャレンジするのが収入を増やす現実的な路線なのかなと、この記事を見て思いました。
FIREムーブメント。面白そうなので、これからも注目していきたいと思います。
- 作者: ロバートキヨサキ,シャロン・レクター(公認会計士),白根美保子
- 出版社/メーカー: 筑摩書房
- 発売日: 2000/11/09
- メディア: 単行本
- 購入: 71人 クリック: 1,223回
- この商品を含むブログ (533件) を見る
関連記事です。
祝!ブログ1周年なので、弱小ブログのブログ報告をする
そういえば、ブログを初めて1年が経ちました。
普段、普通の会社員として働く人間の備忘録として始まったブログなので、そこまでPVとかは気にせずここまでやってきましたが、ブログを書くにつれ
やっぱPVきになるぅぅぅぅ
ってことで、日々PV数を多少は気にしながら生きています。
正直、神ブロガーの足下にも及ばない弱小ブログですが、PV数は一応こんな感じです。
累計アクセス数18,000くらいで、個人的には正直嬉しいです。18,000回もアクセスされていることに、感謝です。
ありがとう、みんな!
ここ最近は1日のアクセスが100を超えたり超えなかったりを繰り返している感じです。(特に土日はアクセス数が少ないです。)
Googleアナリティクスの月別のPV数の推移をみても、徐々にアクセス数が増えている気がします。。。
ありがとう、みんな!!
どんな記事が読まれているか
実際どんな記事が読まれているのか、Googleアナリティクスの情報からPV数順にまとめてみると、
テキストエディタAtomのエラー記事が最もPV数が多かったです。同じ事象が発生していて困っている人がたくさんいたみたいです。
次にPV数が多かったのは、ハニーポットでキャッチしたホームルーターを狙った攻撃の記事が多かったです。
特徴的なアクセスなので、なにこのアクセスと思って検索した人が見てくれたようです。
3位にランクインしたのは、紀州のドンファンの本の感想を書いた記事でした。 ただの本の感想なのですが、紀州のドンファンの野崎さんがお亡くなりになったタイミングでグッとPVが伸びました。
こんな感じで、技術系の記事や本の感想を書いた記事が多く読まれている印象なので、今後もこの分野には注力していきたいなと思っています。
ブックマークをいただいた記事でいえば、
こういったワールドカップの記事でブックマークをいただいております。 僕の英語の勉強もかねて、ブックマークをいただけるなんて、こんな幸せなことはありません。
こういった機械学習を学ぶ過程で知った記事にもブックマークをいただいたり、Facebookでシェアされたりとほんと感謝です。(泣)
こういった学習系の記事(英語サイトの翻訳、機械学習のメモなど)はある程度需要があるみたいなので、ここも注力していきたいところです。
どこからみんなアクセスしているのか
Organic Searchが83%とGoogleなどの検索からアクセスされている方が多いようです。
まあ、一応ツイッターもやってたりするのですが、全くフォロワーもいないしこんなもんかなと思います。
検索で見てくれる人、ありがとう!
いつアクセスされているのか
いつアクセスされているか見てみると、圧倒的に平日日中帯が多いです。 想定としては、上記のAtomなどの技術系の記事が多いので、平日パソコンで会社などで見ている人が多い感じかなと思います。
もっと、土日の時間帯だったり、深夜に見られる記事も増やしたいところではあります。
土日でいえば、グルメ系、遊び系、旅行系の記事を増やせばアクセス数が増えるのかな。
深夜は、睡眠系の記事を増やせばアクセス数が増えるのかなと。
どれぐらい稼いでいるか
はてなproにも加入していないので、独自ドメインも持っていないため、Googleアドセンス等は全く利用していないですが、Amazonアソシエイトには一応登録していました。
ときどき買ったものの紹介記事で広告料が発生していて、合計で1,232円でした。
やったー!!!
とは言っても時給に換算すると10円にも満たないと思います。笑
今後について
今後もこんな感じで、ゆるくブログは続けていこうと思いますが、なんとなく僕の書く記事の特性が固まってきているので、その領域はより特化していきたいと思います。
ブログをやっているからには、やっぱアクセス数も気になるところなので、今後SEOやGoogleアナリティクスの勉強もしたいと思います。
今後もよろしくね!
【COD BO4】ブラックアウトで物資を味方に知らせる方法
どうも、最近『コール オブ デューティ ブラックオプス4』をやりまくっている、さいとうです。
夜な夜な戦場に繰り出して、ひたすらやりまくっています。笑
今回は『コール オブ デューティ ブラックオプス4』のゲームの一種「ブラックアウト」(Blackout)で味方に物資を共有、知らせる方法を画像付きでご紹介したいと思います。
たまに、味方がヘビィアーマーあるよとか、バックパックあるよとかお知らせしてくれるのですが、最近やり方を把握しました。。。 僕自身バックパックあるけど、目の前にもう1個あるし、だれか欲しい人いないかなと思うことが多々ありましたので、これで気兼ねなく味方に共有できます。
味方に知らせたい物資の前に行く
まずは味方に知らせたい物資の前まで行きます。
↑こんな感じ
十字キーの左を押し、右スティックで下を選択する
そしたら、十字キーの左を押します。(挨拶とかが表示される画面です。)
すると、下のところに「応急処置を発見」と表示がでてくるので、右スティックで下を選択します。
すると、味方にその物資があることを教えてくれます。
まとめ
とても簡単でしたが、ググってもなかなか出てこなかったので、今回ここで紹介しました。
- 味方に知らせたい物資の前に行く
- 十字キーの左を押し、右スティックで下を選択する
たったこれだけで、味方に貴重な物資のありかを教えることができるので、みなさん試してみてください。
関連記事です。
Atomのスニペット機能で文章作成を高速化しよう
どうも、さいとうです。
普段ブログなり、メールなり何らかしらの文章を書く人は経験があると思うのですが、同じ文章を書く機会があると思います。
例えば、挨拶系のメールなど。
○○さん お疲れ様です。 ○○です。
こんな感じのメールを何度も何度も書くことがあると思います。 そこまで負担にはならない程度の量なので、慣れれば5秒程度で済むかもしれません。(僕の場合、実際に計測してみたところ、約9秒かかりました。。。) ただ、Atomのスニペット機能をしようすれば1〜2秒くらいで、ミスなく入力することができます。
また、僕の場合ブログの下書きをAtomで書くことが多いのですが、例えば改行コードの入力が面倒でたまりません。
いちいち改行したい箇所に
</br>
と入力するのは手間で仕方がないです。
こういった場合もスニペット機能は有効です。
スニペット機能を知らない方にイメージしてもらうために説明用GIFを用意しました。 ここでは、キーボードの「a」を入力後、Enterを押すとあらかじめ登録されていた文章が表示され、そこに「田中」と後から手入力しています。
こんな便利なAtomのスニペット機能の設定方法についてご紹介したいと思います。
すると、こんな画面が表示されます。
この画面で一番したに例えば、こんな感じで設定を記述します。
'.text.plain.null-grammar': '挨拶': 'prefix': 'a' 'body': '$1さん\nお疲れ様です。\nさいとうです。'
これはどういう意味かというと、「挨拶」というタイトルで、「a」と入力しEnterを押すと、「さん\nお疲れ様です。\nさいとうです。」と表示されるという意味です。 一番初めの「'.text.plain.null-grammar'」はファイル形式を指定していて、テキスト形式の他に様々なファイル形式に対応したスニペットが作成できます。 「$1」はどういう意味かというと、$1の箇所にカーソルが当たるという意味で上記のGIFのように入力をサポートしてくれます。
詳しくはこちら。 github.com
他のスニペットを追加したいときは、こんな感じで追加します。
'LineBreak': 'prefix': 'b' 'body': '</br>'
これは「b」と入力し、Enterを押すと
</br>
を入力サポートしてくれます。
「AWS認定ソリューションアーキテクト-アソシエイト」2回目でなんとか受かったので反省点を踏まえ勉強法を教える
先日「AWS認定ソリューションアーキテクト アソシエイト」に受かりました。 1発で受かったというハイスペックな方々の記事を見かけることは多いのですが、僕の場合2回目にしてなんとか受かったので、反省点や勉強法をお伝えしたいと思います。
僕のスペック
これまで、AWSのオーソドックスなサービスしか利用したことがなく、ゴリゴリにAWSを利用しているというわけではありませんでした。
初回の受験までの勉強法
初回の受験までの勉強法に関しては、まず自分の実力を把握しようということで、オンラインで模擬試験(2,000円/税別)を受験しました。
AWS 認定ソリューションアーキテクト – アソシエイト | AWS
Webで申し込んでクレジットカードで受験料を支払い、その場で試験が開始され、終了後はすぐにメールでスコアが送られてきます。ただ、気になったのは、各問題のどれが正解していて、どれが間違っていたのか分からない形でスコアだけが送られてきます。
ここで僕はスコアが84%でした。 まあ、AWS経験もあるし、こんなものだろうと思って、あとは軽く参考書でも眺めて、受験すれば合格するだろうと思い、リックテレコムさんから出版されている「合格対策 AWS認定ソリューションアーキテクト - アソシエイト」を購入して、一応全部目を通して、章末に載っている練習問題も全部正解できるレベルまで達したところで、本試験を受験しました。
合格対策 AWS認定ソリューションアーキテクト ?アソシエイト
- 作者: 大塚康徳
- 出版社/メーカー: リックテレコム
- 発売日: 2016/10/14
- メディア: Kindle版
- この商品を含むブログを見る
初回の受験
簡単に合格するだろうと思い、いざ受験会場のパソコンで問題を見てみると、
1問目
ん?むずくね?気のせい気のせい。。。 次の問題いこ。
2問目
ん!???なんか違う。圧倒的にむずい。。。
こんな感じで、問題を解きすすみ、自信があって解答したのは65問あった問題中、半分くらいだったと思います。 恐る恐る試験の終了ボタンを押してみると、合格基準に達しませんでしたという旨のメッセージが表示され、不合格を知らされました。
初回受験の反省点
ということで初回受験で無事AWS認定ソリューションアーキテクトアソシエイトに不合格となったわけですが、反省点をまとめると下記の2点になります。
模擬試験より圧倒的に難しいから気をつけろ
僕は事前に受験したAWS認定ソリューションアーキテクトアソシエイトの模擬試験で結構84%と高めのスコアを獲得したのですが、本試験は圧倒的に模擬試験より難しいです。
しかも問題数も本試験では模擬試験よりも多いため、模擬試験で満足してしまった僕は完全にやられました。
■難易度 本試験 > 模擬試験
■問題数 本試験 > 模擬試験
テキストに記載されてないことも出題されるから気をつけろ
模擬試験の結果で満足しちゃいけないと思った僕は、上記で説明しているように一応市販されているテキストでも勉強していました。
ただ、テキストに記載されていない細かいレベルの問題が多く、テキストの内容だけでは太刀打ちできない印象でした。
特に、Kinesis、AWS Elastic Beanstalkなどテキストでは、軽く説明されている程度のサービスの詳細を問うような問題がいくつかあった印象でした。
上記の参考書は悪くはないのですが、発売が2016年と2年も経っているのであくまでも参考程度というか、参考書に記載されていることは当然全部理解しているでしょ?というノリで理解した方がよさそうです。
実際にAWS認定サイトの「よくある質問」にはこんな質問があります。
Q:試験はどれほどの頻度で更新されますか?
AWS 認定では試験ガイドに従い、定期的に問題を更新しています。試験ガイドへの変更など、試験への主な改訂は公開されます。各試験の試験ガイドには、試験で扱われる最新のトピック分野が記載されています。試験ガイドはこちらからご覧いただけます。 https://aws.amazon.com/jp/certification/faqs/
これから受験される方を常に最新の情報から学習を行うようにした方がよさそうです。
2回目受験までの勉強法
初回受験で不合格になった僕はかなり凹みましたが、もうこうなったらやけくそです。
合格するまで受験し続けよう! そう思いました。
とは言っても、ただ受験してばかりだとまた落ちることは目に見えているので、勉強方法を工夫しました。
再び模擬試験を受験
初心に戻りもう一度模擬試験を受験しました。ただ、今度はただ模擬試験を受けるだけでなく、ちゃんと後から振り返ることができるようキャプチャを取りながら、受験しました。←これ超大事!
模擬試験の不明点をすべて潰す
模擬試験で撮ったキャプチャをすべてEvernoteに入力し、見直しました。
特に分からなかった問題や分からない用語に関しては、理解できるまで公式ドキュメントを漁ったり、Blackbelt(AWSジャパンが開催するオンラインセミナー)のスライドを漁りました。
理解できた内容はすべてEvernoteに書き込み、後からすぐに閲覧できるようにしました。
初回本試験の内容を思い出す
本試験の際に書いたメモは持ち出すことができません。 なので、本試験でどんな問題が出題され、どんな領域でつまずいたかを必死で思い出しました。
僕の場合、
の問題に非常に弱かったです。
そこでこれらの領域についても徹底的に公式ドキュメントやBlackbeltのスライドで内容を確認しました。 それでもあまり理解が進まない場合は、実際にAWSのマネージドコンソール画面でサービスを使ってみて、それぞれのサービスの感覚を理解しました。
そんなこんなで自信がついたところで、2回目の本試験に挑みました。初回の本試験から1ヶ月程度の再学習期間で挑みました。
1ヶ月ぶり2度目の本試験
受かるまで何度も受ければいいや、そんな感覚で受験したものの、正直言って受験前は多少緊張しました。
こんなに勉強してもまた落ちたらどうしよう、そんあ不安が頭をよぎります。
そんな不安を抱えながら、試験を開始しました。
1問目
お!わかるぞ!
2問目
おお!!わかるぞ!勉強したとこや!!
こんな感じで、初回に受験したときとは違う感覚を味わいながら、65問中自信のない問題は全部で8問くらいでした。ただ、その8問に関しても、選択肢が4つある中で2つのどっちかで迷った、そんな感じである程度、選択肢を絞れた状態ではありました。
最後の問題を解き終わり、もう一度全問題を見直し、恐る恐る試験の終了ボタンを押すと、合格のメッセージがありました。
試験室は監視カメラで監視されていて、不審な行動はできなかったのですが、心の中ではめちゃめちゃガッツポズをしていました。
めちゃめちゃ嬉しかったです。
まとめ
そんなこんなで2度目の本試験でやっとAWS認定ソリューションアーキテクトアソシエイトに合格したわけですが、とりあえず気をつけることや、やっとくべきことをまとめておきます。
- 本試験は模擬試験より圧倒的に難しいからナメるな
- テキストは情報が多少古い場合があるから気をつけろ
- 模擬試験の情報は貴重なので、絶対に記録しろ
- 分からないところは理解できるまで情報を漁り、記録しろ
- まとめた情報を繰り返し、見返せ
追記(2018/12/19)
AWS認定ソリューションアーキテクト-アソシエイト受験者向けチェックリストを作成しましたので、ぜひ活用して見てください。 saito.hatenadiary.com