カテゴリー
Windows

本家のお世話-#13。(下準備-3)

投稿アップデート情報  追記(2012/1/1)

 前稿で「ここからは,Apache等のサーバソフトのアップデートにかかる。」と書いたんだが,考えたらウイルスバスターの件があった。
 2011から独自のファイアーウォールがなくなったウイルスバスターにおいては,「Windowsファイアウォールの保護機能を強化するファイアウォールチューナー」という機能がついたわけだが,これはWindowsファイアウォールをもとにしているので,動きが表面上よくわからず使いにくい。どうせなら,バスター自体の使用をやめるかということも考えたのだが,サーバ以外は「ウイルスバスター・クラウド」+「ファイアウォールチューナー」でも問題ないし,バスターの有効期限が来年の7/31まであるし,というわけで,ファイアーウォールにはZoneAlarmのFree版を使うことにした。

 でもって,http://www.zonealarm.jp/security/ja/free-upgrade-security-suite-zonealarm-firewall.htmのFree版を拾いに行ったんだけど,日本語版へのリンクが切れていた。で,日本語版でないなら,かばさんのところから落としたほうが使いやすいやということで,zaSetup_101_065_000.exeを落としてきた。

 ウイルスバスター2010のパーソナルファイアーウォールを無効にして,Windowsファイアウォールのみ有効の状態で,zaSetup_101_065_000.exeをインストールして,k本的に無料ソフト・フリーソフトのZoneAlarmのページを参考に基本的な部分だけ設定。後は,サーバに対しての設定だから,サーバソフトをアップデートしながらぼちぼちやっていくつもり。

 上のことが済んでから,ウイルスバスターを2012クラウドにアップグレード。いつものことながら,SpywareBlaster・Spybot – Search & Destroy・Malwarebytes’ Anti-Malwareはひとまず,アンインストール。そうしないとアップグレードできないからね。アップグレード後,SpywareBlaster・Spybot – Search & Destroy・Malwarebytes’ Anti-Malwareをもう一度インストール。ついでに,サーバ内をフルスキャンしておいた。何も見つからなかったけど。

追記(2012/1/1):
 実は,本家のお世話-#14。の追記に書いたことのせいで,ZoneAlarm10のFree版を使うのはあきらめた。ということで,現在サーバ機のファイアーウォールとしては,COMODO Firewall Free Versionを使っている。

カテゴリー
everyday life

「都道府県型JPドメイン名」の新設の話。

 JPRSが26日付で「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定」を発表した。昨日,INTERNET WATCHの記事TECH.ASCII.jpの記事/.の書き込みなんかを読んで,「へえ」と思い,JPRSのプレスリリース内に「なお、同時点でご登録いただいているドメイン名については、引き続きご利用いただくことが可能です。」の文言があるのを見て,「そりゃ当然だろう。でも,紛らわしい事態が発生するよなぁ」なんてことを考えていた。

 ところが,今朝RSSで更新をチェックしていたら,徳丸さんが日記に「都道府県型JPドメインがCookieに及ぼす影響の調査 」というのを書いておられて,どうも紛らわしいとかのレベルではないらしい。

 徳丸さんの日記の中に「高木浩光氏の日記で指摘された「cookieを利用できない」という欠陥」という文言があったので,高木さんのところも読みに行った。高木さんは「JPRSに対する都道府県型JPドメイン名新設に係る公開質問」というのを書いておられた。

 どっちを読んでも,私のレベルではよく理解できないが,ブラウザベンダーがしっかりした対応を早急に取ってくれることが望めないとすると,結構問題が起こりそうということらしい。

 該当DOMAINの価格があまりにも高いので,そんなに普及しないだろうということらしいけど,それは希望的観測で,悪用するものが利益を見込んで取得するということも考えられるネ。「都道府県型JPドメイン名」ということだから,取得者へのチェックは相当入るだろうが。

カテゴリー
Vulnerability

マイクロソフト セキュリティ アドバイザリ (2607712)更新-#2。

 ちょっと,バタバタしていて出遅れたんですが,「DigiNotarが破産申立」なんていうのも出てました例の件,KB2616676にVer.2が出てます。

 これは,「マイクロソフト セキュリティ アドバイザリ (2607712)更新。」の追記(9/15)で書いた既知の問題関係なので,Windows XP および Windows Server 2003 ベースの方に関係します。マイクロソフト セキュリティ アドバイザリ (2607712)の「よく寄せられる質問」の「なぜこのアドバイザリは 2011年9月20日に更新されたのですか?」のところに書いてある通りです。

 自動更新で,順調に2607712―→2616676の順でパッチがあたった方は無問題。不安な方は,上記リンクからVer.2を落としてあてとけば,悩む必要がなくなるでしょう。

カテゴリー
everyday life

デジタル証明書と認証局。

投稿アップデート情報  早速の追記(9/11)  追記2(9/13)

 前記事を読み直してみて,「だから何?」と自分が思ったので,別表題にて追記。

 「デジタル証明書と認証局」の基本については,下の2記事がわかりやすく感じたので,読んでみてください。掲載されたのが相当古いけど,基本の理解にはお役立ちだと思います。

  1. 電子証明書と認証局
  2. 電子証明書と認証局

1. のほうは全ページ読むには無料会員なってログインしないといけないですが,両方合わせて読めば,ログインしなくてもなんとなく雰囲気はわかると思います。

 ということで,我々一般ユーザとしてはどうやって対処すればいいのということになるのですが,シマンテックのセキュリティ関係のブログにこの4件があがっていました。しかし,この4件は今回の事件が無くても当然やるべきことだし。

  1. 最新のルート証明書を手に入れるために,ブラウザ(IEやFirefoxなど)をアップデートする。
  2. EV SSL証明書が導入されている場合は,ブラウザのアドレスバーが緑に変わるのでこれを確認。
  3. 公認のトラストマークを探して確認する。
  4. 安全な環境を表す“https”の’s’がついているのをページが変わるごとに確認する。

 2. と3. についてだけど,2. については,IE8から対応しているようだが,EV SSL証明書しているはずの「日本ベリサイン」でさえ,うちのはグリーンになってくれなかった。なんでか分らんけど。いつもはIE8をほとんど使わないので今日にいたるまで気づかなかったという体たらく(ハハッ)。Firefoxは,なった。右の図のアドレスバーのところを見てください。
 3. については,昨日書いたAmazonでは見つけ出せなかった。見つけ出せた方,教えてください。m(_”_)m
 昔は入り口で見たような気がするんだけど,大きいサイトだから今でもどっかにはあるんでしょうが。これだけの大会社になると企業の知名度だけで信用されるだろうから,実際の通信の安全性だけが確保されていればトラストマークの表示の有無は大勢に影響はないのでしょう。

 さっきも書きましたが,上記の4つは,1. のルート証明書で証明されている会社自体が信頼できないという今回のような事態が起こらなくてもやるべきことです。
 今回,G-Mailを利用している場合など,もしかしたらすでに情報を抜かれているのに気づいていないだけかもしれません。すでに受けた被害については自分で調べて警察に行くしかないでしょうが,今後受けないためには次のことをしましょうということらしいです。これは,TechCrunch Japanの翻訳記事からです。しかし,機械翻訳だろうか,すごい読みにくい記事。

  1. パスワードを変える。
  2. アカウントリカバリオプション(第2のメールアドレスや電話番号など)を確認,アップデートする。
  3. 自分のアカウントにアクセスさせているWebサイトやアプリケーションをチェックし,よく知らないものは解約する。
  4. 自分のGmail(他のメールでも同じ)の設定のうち,疑わしい転送アドレスや委任アカウントをチェックする。
  5. Webブラウザの画面に現れる警告メッセージに注意し,それらをうかつにクリックしないこと。

 対象は,もちろん,Gmailユーザなんだけども,他のウェブメールを使っている方にも役立つ手順だと思います。

 これで,いくらか補足になって言いたかったことが皆様に伝わるでしょうか。

早速の追記
 ここ2・3日,バタバタしてTwitterに行ってなかったんですが,今(13:00)行ったら,認証が消えてました。右の画像を見てください。これは,Firefox6.0.2の場合ですが,IE8ではまだ,前のと同じ認証メッセージが出ます。ブラウザごとに対応が違うんだ。そういう話は聞いてはいましたが,初体験です。しかし,Twitterのつぶやきを書くページは,アドレスバーの左端がいつも赤丸の状態だったかどうか記憶が定かでない。見てるようで見ていないもんです。

追記2(9/13):
Green Bar FirefoxのTwitterに緑が戻ってきました。認証局がVerisignになっています。
 Twitterの利用のときに私はいつもhttpsだけで利用しているのですが,上の青いTwitterアイコンだけの表示にちょっと違和感を感じたんです。しかし,どんな状態だったかというしっかりした記憶はなかった。でもやはり,ここはグリーンバーが正常なんですね。

カテゴリー
everyday life

Amazonのデジタル証明書の表示方法。

 一昨日書くつもりだった記事が,サイト移転に手間取ったせいで今日になってしまった。でも,書いておきたかった件なので,やはりアップしておこう。

 今回,DigiNotarの不正証明書発行による被害の話の関係で,仕事のときに個人情報保護のためにSSLで通信しようと私的デジタル証明書を作ったときのことを思い出した。

 私的というのは,公的機関の証明を受けていないということで,SSL通信の効果としては何も問題はない。もちろん,安全についての注意すべき点も,公的ものと同じだ。ただ,零細で斜陽の勤め先だったので,公的機関(例えば,VeriSignとか―こっちは今のところ問題は報告されていない―今回問題になったDigiNotarとか)で証明を受けるための予算を出してもらえなかった。使ってもらう相手先もだいたい決まっているので,使用開始の前にオフラインでお願いをすることにしていた。

 で,実際に相手先にお願いをする前に,同僚に使い勝手を試してもらったのだが,事前にかなり詳しく説明した(口頭でだった。これが問題だったかも。)にもかかわらず,明朝の報告で通信はできたが,私が言ったようなメッセージは出なかったといった人がひとりいた。実際に,仕事場で私が手順通りにやって見せ,警告画面ってこれのことだよと指摘すると,そういえばそんなのあったという話になった。

 私的証明書だと必ず警告が出るはずだが,それでも上記のように気づかない場合もある。しかもこんなのが出るよと口を酸っぱくして念押ししていてさえだ。無意識に,マウスで「はい」をクリックしていってしまうのだ。ブラウザによってメッセージの出方が違うのも問題だ。バージョン違いだけで様子が違うこともある。
 ましてや,WindowsUpdateなどで知らないうちにインストールされているルート証明書の場合だと,存在すら知らない人が結構多いだろう。
 今回,気をつけなさいと言われても何に気をつけるんだと困っている人も多いかもしれない。今どきだから,オンラインショッピングなどをすることは多いだろう。だから,実は,デジタル証明書のお世話になっているんだが,気づかずに使っているってことだ。

 というわけで,今日はデジタル証明書ってこんなものなんですよという話を,Amazon.co.jpを例にしようと思う。しかし,初めから問題があるんだ。さっき書いたようにブラウザごとに表示のしかたが違う。ブラウザ全種について説明するなんて不可能だから,「なんとかのツッパリ」にもならないかもしれない。まぁ,でもやらないよりはいいだろうという程度。他のブラウザの方は,頑張って自力でやってみてください。
 それから,ブラウザとしてはインターネット・エクスプローラの利用者が一番多いだろうからこれで行くが,我が家には,バージョン8しかないので,ご了承願う。

 前置きはこのくらいにして―相変わらず長いという突っ込みは無し!!―本題に入る。画像のアップの都合上横幅を狭くしているので,気をつけてほしい。

  1. http://www.amazon.co.jp/にアクセスすると,図1のようなページが表示される。(1)のところがhttp://になっていることを覚えておいてほしい。
  2. Amazonで買い物をするにはサインインをする必要がある。先に品物を選んで,後にサインインという人も多いだろうが,今回の場合は,すぐにサインインボタンを押してみよう。すでにAmazonのアカウントを持っている人は(2),初めての人は(3)をクリックする。実は,どちらをクリックしても現れるページは同じである。
  3. クリックすると,図2のように「セキュリティの警告」窓が現れる。過去のどこかの時点で,図2の赤丸の部分にチェックを入れてOKをクリックしたことがある人は,これが出ずに図3の画面になる。警告画面が出た人は,赤丸のところはチェックを入れないままにしておこう。そして,OKをクリックする。図3の画面になる。(4)のところがhttps://になり,(5)のところにカギマークが現れたことに注意。
  4. 次は,このカギマークをクリック。図4のように「Webサイトの認証」窓が現れる。ここでは,「VeriSign」という会社がwww.amazon.co.jpを認証している。(6)をクリックすると,Windows Internet Explolerのヘルプのページが現れ,ここにはサイトの信頼性を判断する方法が列記されていてとても大事なのだが,今回は信頼性のチェックではなく,証明書を表示してみるのが目的なので,(6)ではなく(7)をクリックする。
  5. パッと新しい窓が開く。これがデジタル証明。(図5)
  6. 「全般」「詳細」「証明のパス」とタブが3つある。各タブを押して内容をみてほしい。この証明書が通信を暗号化して安全を図り,そのおおもとの認証がVeriSignのものであることがわかる。
  7. これがあるからと言って絶対安全というわけではない。この記事の初めの方に書いたが,この種の証明書は私のような個人にも作れるのだ。ただ,その私的証明書の場合は,VeriSignのような会社の認証はついていない。親しい人とSSLを利用してより安全な通信をしたければそれでもかまわないが,Amazonのように不特定多数のお客様と取引したければ,どこか信用あるところに認証してもらう必要がある。それがこの場合,VeriSignなのだ。

 

 

 

 

 こう書けば,VeriSignと同種の会社であるDigiNotarが引き起こしたことが大変に困ったことで,しかもその規模がわからないということは,深刻な事態だということがわかる。各ブラウザのベンダーが,DigiNotarの証明書が使えないように,アップデートで素早く対応したことも納得できると思う。

追記(9/11): 次記事に書き足りないと感じたことを書きました。

カテゴリー
Vulnerability

マイクロソフト セキュリティ アドバイザリ (2607712)更新。

投稿アップデート情報  追記(9/15)

 マイクロソフト セキュリティ アドバイザリ (2607712)の件ですが,アドバイザリ 2607712 更新 – DigiNotar 社のデジタル証明書を削除する更新プログラムを公開というアナウンスがあったのとともに,Windows Update でパッチが配布されているようです。

 ネットにつないであって自動更新にされている方は,もうインストールされているのではないかと思いますが,コントロールパネルで更新プログラムの見える状態にして,2011/09/07の日付でKB2607712があればパッチあては完了しています。

 うちには,IE8しかないのですが,メニューバーからツール>>インターネットオプション>>コンテンツ>>証明書>>信頼された証明機関と進み,今回問題の発行先―たとえばDigiNotar Root CA―をクリックしたのち表示をクリックすると図1が現れます。「この証明書は証明機関から失効されています。」になっていれば,O.K.
 KB2607712がコントロールパネルの一覧にあるにもかかわらず証明書の失効が済んでいなければ,ここに行って手動でダウンロードして当てておいたほうがいいでしょうね。今のところ説明は英文しかありませんが,そのうち日本語版が出ると思いますし,パッチ自体はすでに日本語版が出ています。FireFoxやThunderbird・SeaMonkeyなどもアップデートが出ています。IE以外のブラウザの方も早めに対処しましょう。

 しかし,DigiNotarの不正証明書発行による被害はどんどん広がっているようで,どこで遭遇して被害にあうかわからないので,各プログラムのアップデートはしっかりやっておいたほうがいいと思いますよ。

追記(9/15):
 昨日づけで,2607712のパッチともいうべき,2616676が出たようです。正常なアップデートが行われていれば,9月の定例更新とともに自動更新されるようですが,既知の問題の報告があります。
 Windows XP とWindows Server 2003 については,必ず先に,2607712を当てておいてくださいということらしいです。
 うーん,しかしうちに来る方のキーワードを見ていると,2607712がうまくインストールできない場合があるようなんだが,それの対処法は書いていないようだ。

カテゴリー
WordPress

本家のお世話-#7。

 10日ばかり前(8/27)から,WordPress3.2.1をXREA+上でネットワーク化しサブディレクトリ型のマルチサイトとして使おうと,これにどっぷり浸かっている。前のときに,「サブドメインの練習。」から「ネットワークの作成-#4。」までの一連の記事で,XREA上のWordPress3.2.1でのサブドメイン型のマルチサイトのお勉強の様子を書いたわけだが,あれは単にお勉強だった。しかし,これは本当に勉強になって今度のサブディレクトリ型の構築でも大変に役に立っている。

 今回のは,表題の通り自鯖のお世話の関係になる。自鯖については,Apacheやメールサーバの勉強をしたいと思ってローカルで建てていたもの(これは仕事先のサイトの管理をやっていたので,仕事場とほぼ同じ環境を作って,チェックに使うために構築したのが発端。)を,DDNSで公開するところから始めて,独自ドメインを取り(これが2007年),その上でMovableTypeを利用したブログを書くようになった。当初,目的がサーバ自体の勉強であったため,ブログを書ける環境は作ったものの記事を書くことにはあまり興味がなかった。サイトのコンテンツを書くことについては,仕事関係の分だけでお腹いっぱいだったせいもある。

 ひょんなこと(「WordPress インストール。」参照)から,無料レンタルサーバ上にWordPress2.9.2でブログを書き始めたが,このレンタルサーバの接続があまりにも不安定なのに業を煮やし,このブログも自鯖上に移してしまった(「ブログを引っ越す。」参照。)ので,自鯖上にMovablTypeとWordPressと手書きのコンテンツが同居することになった。サーバ管理の勉強がしたくて始めたとはいうものの,昨今のようにセキュリティ・アップデートが引き続くとWAMP系の,しかし,パッケージではなく別々に構築したサーバソフトウェアの世話だけでも面倒なのに,両ブログCMSの世話が結構大変になってきてうんざりしていた。

 そこで,一大事業になるのは目に見えていたが,サイトのコンテンツの管理をWordPressに一本化しようと思い立った。一本化の骨をどのCMSにするかということは前もって考えてみた。
 Xoopsをインストールしてみたことや,近頃のMovableTypeの使い心地や,この間,XREA上のWordPress3.2.1でのサブドメイン型のマルチサイトを構築したときのことから考えると,いろいろ問題はあるもののWordPressがいいかなと思ったわけだ。今の勢いを考えると,WordPressのマルチサイトの使いやすさが上がってくるのもそう時間はかからない気がする。いちいち動的にページを表示するのでサーバのその都度の負担は若干大きいかもしれないが,うちのサイト程度では,問題にもならないだろう。主なコンテンツは2つのブログだから使い慣れていない汎用CMSよりも使い慣れたのがいいだろうということもある。
 MovableTypeももともとオープンソースのMTOSを使っていたので,費用の点ではこちらも無料だが,Perl系のMovableTypeとPHP系のWordPressでは,素人には後者の方がアップデート管理がしやすい気がする。PHPは膏薬(?)のようにどこにでもくっつくので,そのせいだろうか。反面,セキュリティではあっちこっち危ないということがあるのだろう。

 (注) 半可通の書いていることなので,鵜呑みにしないようにお願いします。―笑

 で取りかかったのだが,「一大事業になるのは目に見えていた」という覚悟はしていたものの,大変です(号泣―爆)。

 何はともあれ,稼働中のサーバなのでどこかにテストサイトを作ろうと考えた。自鯖のWindowsXPでVirtualPCということも候補に入れたが,使っているPC上でやるのは性格からくるうっかりミスで,間違って何かを削除するのが怖い(実は,実際にやらかして青ざめ,そっからやりなおしたのっス。―恥)。で,この間使ったXREA上で未公開のままテストサイトを構築することにした。

 まぁ,2ブログの引っ越しまでは,あんまり問題もなくうまくいったんだ。大体29日には終わっていた。
 今,手を焼いてるのは,旧手書き部分用のWordPressテーマのカスタマイズとWordPressの投稿画面を使ってBBSを作ること。これも,ほぼ出来たんだけど,cssに手こずっている。cssはねぇ,むかーし,やったことはあるんだけど,どうもそのころから苦手で。こう書けばこうなるはずと思って,書いたstyle.cssをアップしてみると意図したようになっていない。これの繰り返し。その過程で,IEについて7以下は見捨てることにした。7については,全く環境がないのでテストができないし,6についてはあまりにもやんちゃなのでギブアップ。その昔cssをやったころは,IE6だけを念頭に置いておけば,ほぼ無問題だったんだけど,今日日は,IE8とIE9を蚊帳の外に置くわけにいかないし,IE6とこの2つは全くと言っていいほど挙動が違う。もちろん,IE6のほうが,仕様に準拠していないのだ。
 他の人気ブラウザについては,当初から最新版しか念頭にない(爆)。これは,IEを使わずに他のモダンブラウザを使っている方たちは,だいたい最新版にアップして使っているのが普通だろうという希望的観測がもとになっている。

 2ブログの引っ越しくらいまでは,メモを取っていたんだけど,そっから先はグズグズになって何をやったかよくわからん。後で一番必要なところなのに(泣^2)。そういうわけで,引っ越しくらいまで,報告しておきます。XREA+での話です。しかし,すごく長くなっているので残りは,次記事にします。

カテゴリー
Vulnerability

マイクロソフト セキュリティ アドバイザリ (2607712)

 マイクロソフト セキュリティ アドバイザリ (2607712)の件で,ブラウザの証明機関から昨日インストールしているDigiNotarを削除したんだけど,今日ニュースを読んでいると,このことは結構問題を含んでいるようだ。

 もちろん,Google の一部サイトに対して発行された不正な SSL 証明書の問題ということで,これ自体困ったものなんだが,エフセキュアの「Diginotar」がBlack.Spookとイランのハッカーによりハッキングとか読んでると,「Diginotar」の対応にかなりの疑問を呈している。書いていることのスタンスが23日に米Comodoが同じようなことを発表したときと違っているようだ。もちろん,執筆者も違うわけだが。そのときの記事というのは,これ。これを読むと,コードサイニングの悪用というのは,とっても怖いですね。

 今回のことに対して,MSやMozillaはまたすぐに対応するだろうけど。どこか,証明書発行システムの根本的な見直しが必要なのかもしれない。まぁ,こういうことは,いたちごっこですが……

追記(9/1):Firefox 6.0.1,出ました。

追記(9/6):
 ここのところ,サイトのCMSをWordPressに一本化することにスタックしているのだが,この追記は書いておくべきだろう。
 「Diginotar」の件はますます痛い話になってきた。現在,ネット上での商売でデジタル証明書というは欠かすことにのできないものになっているんだから,こんなんあり得ないでしょう。こんなんとは,以下の記事のの中に書いてある「Diginotar」の対応ということだけど。
 MozillaがDigiNotarのCA認定を取り消し、政府関連証明書も失効とか,Mozillaのこの対応も無理ないと思う。
 後で気づいたが,Googleもこんなん書いてる。特に9/3のアップデートの内容に注目。

カテゴリー
everyday life

LockIt!を悪用したPHPのMal-script.

投稿アップデート情報  追記2(2017/1/24)

 発端はまたまたScottなんだが,プラグインの初レビューをもらったとかつぶやいていた。Twitterの日付は12日になっているけど,お盆で忙しかったし,読んだのは15日くらい。で,そのページを見に行ったら, WPFMP を褒めてるのは勿論として,その前ふりにハッカーのことをぶつぶつ書いている。早い話が,それに手を焼いてWPFMPを導入という話なわけ。

 その文章にハッカーが置いていったファイルの中に「This file is protected by copyright law and provided under license. Reverse engineering of this file is strictly prohibited.」ってのを見つけたと書いてあった。笑っちゃったよ。だって,よそさんに悪いことしに入って,警察に行っちゃだめよとか,書くのに似てるジャン。で,よくあるのかなぁとこの英文(ダブルクォートで括ってだよ)でググってみたら,なんと10000以上あった。でも,日本語だけにしてみたら,全く引っかからなくなった。それで,関連のところを見ていくと,どれを見ても$OOO000000=urldecode(‘%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64’)というのが,入っている。そうすると,次は,これはなんだとなるのが,自然というもの。

 今度は,これでググってみた。大分数は減ったけど,2000ばかりある。日本語だけにしてみたら,たった1個だけ残った。これには,初めのキーワードにした英文は入っていなかった。日本語の制限を外して見てみると,最初の英文は入っているのやら入っていないのやらいろいろある。

 調べていってわかったんだけど,「PHP LockIt!」というアプリがあって,これを使うと,今回調べたようなものができるらしい。米ドルで29.99とか書いてある。PHP Scriptを暗号化するアプリらしい。

 デモ版を落とし,hello.phpを作って暗号化してみた。もとのhello.phpの中身はよくあるこんなの。
     <?php
     $hello = ‘Hello world!’;
     echo $hello;
     ?>
 これが,次のようなのに化ける。ページの都合上改行を入れているが,実際は,長い長い1行になる。

<?php /* This file is protected by copyright law and provided under license. Reverse engineering of this file is strictly prohibited. */$OOO000000=urldecode(‘%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64’);
$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.
=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO00
00O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$OOO000O00=$
OOO000000{0}.$OOO000000{12}.$OOO000000{7}.$OOO000000{5}.$OOO000000{15};$O0O000
O00=$OOO000000{0}.$OOO000000{1}.$OOO000000{5}.$OOO000000{14};$O0O000O0O=$O0O00
0O00.$OOO000000{11};$O0O000O00=$O0O000O00.$OOO000000{3};$O0O00OO00=$OOO00000
0{0}.$OOO000000{8}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$OOO00000O=$OOO0
00000{3}.$OOO000000{14}.$OOO000000{8}.$OOO000000{14}.$OOO000000{8};$OOO0O0O00=
__FILE__;$OO00O0000=0x48;
eval($OOO0000O0(‘JE8wMDBPME8wMD0kT09PMDAwTzAwKCRPT08wTzBPMDAsJ3JiJyk7JE8wTz
AwT08wMCgkTzAwME8wTzAwLDB4NGY3KTskT08wME8wME8wPSRPT08wMDAwTzAoJE9PTzAwMD
AwTygkTzBPMDBPTzAwKCRPMDAwTzBPMDAsMHgxN2MpLCdFbnRlcnlvdXdraFJIWUtOV09VVEFhQ
mJDY0RkRmZHZ0lpSmpMbE1tUHBRcVNzVnZYeFp6MDEyMzQ1Njc4OSsvPScsJ0FCQ0RFRkdISUp
LTE1OT1BRUlNUVVZXWFlaYWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXowMTIzNDU2Nzg5Ky8nK
Sk7ZXZhbCgkT08wME8wME8wKTs=’));return;?>
~Dkr9NHenNHenNHe1zfukgFMaXdoyjcUImb19oUAxyb18mRtwmwJ4LT09NHr8XTzEXRJwmwJXLT
09NHeEXHr8XhtONT08XHeEXHr8Pkr8XTzEXT08XHtILTzEXHr8XTzEXRtONTzEXTzEXHeEpRtfy
dmOlFmlvfbfqDykwBAsKa09aaryiWMkeC0OLOMcuc0lpUMpHdr1sAunOFaYzamcCGyp6HerZHzW
1YjF4KUSvNUFSk0ytW0OyOLfwUApRTr1KT1nOAlYAaacbBylDCBkjcoaMc2ipDMsSdB5vFuyZF3
O1fmf4GbPXHTwzYeA2YzI5hZ8mhULpK2cjdo9zcUILTzEXHr8XTzEXhTslfMyShtONTzEXTzEXT
zEpKX==tJOkUAlkUAlkUAlkUALINUEmUoaSdo8If29ZdoWikzShcBYPdZELUAlkUAlkUAlkUAlk
KXP7alVnRPIq

 もとは,47バイトだったものが,1,731バイトになる。へえっと,思ったんだが,調べている途中でわかったことによると「PHP LockIt!」って評判よくないんだな。誰にでもすぐにデコードできるとか書いてある。暗号化したものが,誰にでもすぐに復号できるようじゃお金を払う意味がないよね。でもって,誰にでもっていうのがどの程度なのか,試してみたくなるのは人情でしょ。

 最初にキーワードにした英文には,デコードしてはいけませんと書いてあるけど,ハッカーにさえ利用されているくらいだから,どのくらい役に立つものか確認のためにやってみてからじゃないと,購入もできないじゃん。というわけで,ネットの記事を手掛かりにデコードをやってみた。ネット上には,はっきり書いたところはなかった。やはり,営業妨害とかにあたる恐れがあるんだろう。まぁ,私の検索の腕が悪かっただけという落ちもあるが。

 しかし,それだけあやふやな手がかりしかなかったにもかかわらず,大してPHPにも暗号にも詳しくない私にデコードできてしまった。これは,まずいよ。

 というわけで,よそ様の営業の妨害をするつもりはないけど,ハッカーには利用されるは大して知識のない私にでもデコードはできるはと,「PHP LockIt!」は踏んだり蹴ったりだということになってしまった(溜息)。

追記:
 早速の追記。単純に「PHP LockIt!」をやっただけの状態では,暗号化(encrypted)とは言わないらしい。難読化(obfuscated)という呼び方をするようだ。読みにくくするということでは,意味があるね。簡単には読めなくなるのは確かだ。

追記(8/25):
 「$OOO0000O0 デコード」などの検索ワードでここに来る方がいるので,やはりマルスクリプトは流行っているのだと思う。日本語サイトでは,今のところうちしか引っかからないようだから,営業妨害にならない程度でデコードの手順を書いておこうかな。自サイトに読めないファイルが勝手に置かれていたら,何をやられているのか知る必要があるだろうから。
 【注意】自サーバ上に自分の知らないphpファイルがあってこれについて調べるわけだから,これを不用意にオンラインで実行してはいけない。該当ファイルはダウンロードし,ローカルにPHPをインストールしてオフラインでテストを行なうのがいいと思う。さらに言えば,ローカルかつオフラインであまり悪さをするscriptはない(大体の目的がオンラインでのデータ飛ばしとかみたいなので)と思うが,メイン機で試すのは避けるべきだろう。

  1. urldecode(‘%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64′);がどんな文字列か確認。→’fg6sbehpra4co_tnd’
  2. これをキーに,$OOO000000{4}や$OOO000000{14}などをアルファベットに直す。→$OOO000000{4}はb,$OOO000000{14}はt  これで,元ファイルの初めの部分が,PHPのファンクションに直せる。直したものは,別ファイルにしておく(1)。
  3. 元ファイルには,難読化したものを元に戻す部分と実際の実行部分が含まれているわけだが,元に戻す部分を別ファイルのしてやるとうまくいく。まず,元ファイルのevalをechoに変えて,()内の文字列をPHPコードとして評価・実行する代わりに出力してやる。
    $O000O0O00=$OOO000O00($OOO0O0O00,’rb’);~eval($OO00O00O0); が得られる。
  4. これを先ほどの(1)の情報を使ってデコードしてやる。2種の変数名関連が,$O000O0O00なんちゃらで残るので,日頃使い慣れている変数名に直す。ここで出てきたevalもechoにしておく。
    デコードしたものをphpにして走らせるわけだが,このときの注意は__FILE__を元ファイル名に直すこと。元々一つのものを2つにしているわけだから,これを直し忘れるとうまくいかない。
  5. 出力結果として,$OO00O00O0=str_replace~eval($OO00O00O0);が得られる。これも同じように,デコードしてphpにして走らせる。ここのevalもechoにする。__FILE__を元ファイル名に直すことと,ここまでに出てきた複数のfreadの扱いに気をつければ,うまくいく。

追記(8/28):
 デコードしたときにscope となる場合があるが,ecodeと読みかえれば,O.K.

追記2(2017/1/24):
 WordPress File Monitor Plus(WPFMP) は開発終了の模様。 Fork として WordPress File Monitor があるのでそちらを使うといいと思う。

カテゴリー
Windows

骨折り甲斐は,あった?!-#2

 「骨折り甲斐は,あった?!」の第2弾。
 話は前後するが,如何に接続速度が低いとはいえ,ノーセキュリティでネットをするわけにはいかないので,何らかの対策ソフトがいる。ましてやWin2000はサポートが終わっているから,セキュリティバクがあってもパッチはでないし。ウィルス対策は,以前と同じように,Avira AntiVir Personal – Freeを使用。困ったのは,ファイアーウォール。ずっとZoneAlarmのフリー版を利用させてもらっていたんだが,バージョン8.0からWin2000のサポートが無くなっている。モバイルで,当然ルータなんかないから何か考えなくてはということで,Ashampoo® FireWall FREEを使うことにした。私と同じようにこれを使おうと思う方は,ライセンスキーがいるので,ダウンロード後取ってください。
 さて,デフォルトブラウザは,兄貴より僅かばかし軽い気がするので,FireFoxの弟版のSeaMonkeyにした。で,これに例のNoScriptをインスト。
 接続速度がこの程度(いいときでせいぜい1Mbps)で,プロセッサがCrusoeのTM5800(933MHz)で,メモリが512MB(しかもこれで一杯一杯)では,まともな動画閲覧はそうそう望めないけれど,できるようにだけはしておきたい。YouTubeはSeaMonkeyで問題ないんだが,GyaoはSilverLightをインストールしなくてはいけない。ところが,CrusoeはSSE命令セットをサポートしていないので,SilverLightが使えない。というわけで,GyaoはIE6で見ないとしようがないのだが,Win2000で見るためには,AdobeFlashPlayerの最新版がいる。ところがさ,Adobeの公式サイトからだと,Win2000が災いしてAdobeFlashPlayer10がダウンロードできない。これ,公式サイトが厳密にOSを判定しているだけで,AdobeFlashPlayer10のファイルがありさえすれば,インストールに何も問題ないんだよ。そこで,いつもの「カバさんファイル」からinstall_flash_player_ax.exe(IE版です)を落としてインストール。ついでにinstall_flash_player.exe(NON-IE版です)も入れておく。さすがに,フルバージョンの映画は駒落ちでひどかったけど,Gyaoのおすすめ動画,「シンシンとリーリーとかわいい動物たち(上野動物園パンダ編)」程度だと,回線の調子のいいときなら,まあまあだった。
 Gyaoだけいちいちブラウザを変えるのも面倒なので,IETabというアドオンをSeaMonkeyに入れてやろうと思ったけど,最新バージョンのIETabはWin2000では動かないし,Win2000で動くVer.1.85はSeaMonkey2.1で動かないしで,挫折。仕方ないか。
 あとは,IMEに関してだが,ATOKなどは持っていないので,Microsoft IMEなんだけど,Microsoft Office IME 2010になってお利口さんになっているので,これを使いたい。しかし,これはWin2000をサポートしていない。でも,これをできるようにしてくださった方がいる。黒翼猫さんです。こちらの「IME2010正式版リリース&最新辞書とWin2000」を参考にインストール。これ結構面倒だが,その甲斐はあるよ。

 おしまい。

 ところで,4月から楽しみに見てきたNHKの「にっぽん縦断こころ旅」が24日(金)で終わった。その関連無料動画をT93Bで見てみた。これGyaoなんだけど,これくらいの画質の動画だと上記のスペックでもまあまあ見られるネ。