カテゴリー
Windows

うっちゃらかしっ放しの FTP サーバをイントラに建てる。

久しぶりに Link Check してリンクを直してたら、アップロードファイルの大きさでエラーが出た。 php.ini のその辺昔と変えてないんだけど、なんで?って思ったけど、よく考えたら、あんま重いものを外から上げさせないために昔も今も

post_max_size = 8M
upload_max_filesize = 2M

で、自分の記事で画像とか使うときは FillZilla でサーバをイントラに建てて、 FTP over TLS を使ってたんだった。

今ごろになってそれに気づくってのは、 Windows10 のサーバに変更してから、サーバウェアのアップデート以外のことをどれだけやってないか分かるってもんだ。😅

ほんでまあ、この際 FileZilla サーバを建てちゃおうってわけ。

1段階 FileZilla のサイトからサーバソフトをダウンロードする。 FileZilla Server Download

2段階 ダウンロードしたプログラムをサーバ機にインストールする。インストールディレクトリ以外はデフォルトのまま。

3段階 FTP Server / Security の設定。

Web サーバ用に Let’s Encrypt の証明書を使っているのでそれをそのまま利用。 key.pem と cert.pem は Apache の md の中にあるものね。

FTPS setting for Local
Security タグの位置変更

追記:今日(2022.02.20)に、 Server 1.3.0 が出てるのに気づいてアップデートしたんだが、 Security の位置が Administration に統合されていた。

参照ページ : Let’s encrypt – how?

4段階 ユーザーの設定をする。今回も私だけ。 Client からアクセスするときのパスワードも設定した。

5段階 ファイアウォールでの許可がいるので、 Windows10 のコントロールパネルより「Windows Defender ファイアウォール」>>「Windows Defender ファイアウォール 介したアプリまたは機能を許可」と進み、「設定の変更」をクリックすると「別のアプリの許可」ボタンが押し下げ可能になるので、クリック。参照から先ほどインストールした FileZilla Server フォルダの中の filezilla-server.exe を追加する。

参照ページ :  Windows8 でのやり方が下のほうに書いてある。

まっ、こんなとこ。

追記 使ってみたら Client からの接続を切るときに Server 上に下記の赤字エラーが出る。

下の4行のことです。

色々調べたら Trac に Tim Kosse特に問題なしのコメントがあって、同時に I’m looking into a way to suppress these messages during periods of no activity. というふうにあるんだけど、まだ変わってないみたい。

Windows 10 Home x64 version 21H1 19043.1348 上に
FileZilla Server version 1.1.0 を建ててて

FileZilla Client version 3.56.2 から使ってんですけどね。

The same article in English

カテゴリー
Windows

おい MSE、 Apache が Trojan:Win32/Critet.BS だとか言っておどかすなよ!!

アップデート (3.22):

 今朝、 Apache を 2.4.32 から 2.4.33 に更新した。 MSE でスキャンしたら、問題なし。あれは何だったんだろう?というわけで、 MSE の設定はデフォに戻した。

 今朝のことだが、 Microsoft Security Essentials が突然 Apache のファイルを Trojan:Win32/Critet.BS 判定して検疫し、サーバー上の Apache が停まってしまった。 OS は Windows7 HE SP1 である。すぐに復旧しようと思ったのだが、母を病院に連れていくことになっていたので、一時間くらいはサーバが落ちていたと思う。

カテゴリー
everyday life

Search Console からまたもや「セキュリティの問題」をもらってしまった。

The same article in English

 昨夜、 Search Console にログインしたら、またもや「セキュリティの問題(1)(2)(3)」が出ていた。 2 度目である。前回は 5/9 だった。

 そんでもって、 2 回ともマルウェアのせいではなくて、私のドジのせいなのだ。 orz

カテゴリー
WordPress

WordPress 4.7 及び 4.7.1 への攻撃が増加中。

The same article in English

 いまだに増加中。大急ぎで WordPress をアップデートしよう,緊急事態ですよ。これ関係の記事はいっぱいだし,ネットオウルからもメールをもらったしで,これを書いてます。

 くりくりさんと Twitter で話したばっかりだったんだけどね。その件での初ツイートは 2/6 で徳丸さんの記事を見たからだ。“WordPress 4.7.1 の権限昇格脆弱性について検証した”

 昨日, Security Next が攻撃元の IP アドレスをいくつか載せてたので,夜,ログをチェックしてみたら, 2/6 に1 回だけあって, 500 エラーになっていた。そのときは,うちはもう WordPress 4.7.2 だったからだろう。
 ユーザエージェントが python-requests/2.11.1 で /wp-json/wp/v2/posts/ に来ていた。

 WordPress 4.7.2 のリリースは 1 週間以上前だし,オートアップデートがデフォルトだし,マニュアルアップデートでも超簡単なのに,この事態。残念至極。開発陣はもっと残念だろうなぁ。

カテゴリー
everyday life

phpMyAdmin4.6.6 にアップデートした。

The same article in English

本日, phpMyAdmin4.6.6 にアップデートしたら,ログイン時に “OpenSSL error: error:0607A082:digital envelope routines:EVP_CIPHER_CTX_set_key_length:invalid key length” というのが出るようになった。
 おそらく, 👉 $cfg[‘Servers’][$i][‘ssl_verify’] のせいではないかと思うのだが……。

 説明部分に, “Disabling the certificate verification defeats purpose of using SSL. This will make the connection vulnerable to man in the middle attacks.” というのが入っているが,自鯖の SQL server と phpMyAdmin は NAT ルータ内にあるし,ユーザも私だけなので,一時しのぎとして, config.inc.php に下記を付け加えて回避することにした。

$cfg['Servers'][$i]['ssl_verify'] = false;
カテゴリー
everyday life

「[日本郵便]集荷依頼申込み完了のお知らせ」を騙るスパムメール。

 追記: 2 通めをもらったんで追記しやした。 (@20:47)
 久々のスパムネタ。

 ここのところ,メインのメールアドレスに急にスパムメールが増えた。当該メールアドレスは,ごく近しい人と銀行関係くらいにしか使っていないのだが,どこかで漏れたかな?まあ,長年同じアドレスを使っていればやむを得ない仕儀である。

カテゴリー
Vulnerability

権威DNSサーバーの設定不備による情報流出の危険性と設定の再確認について。

 表題の件,くりくりさんは早速確認されていたが,私は,自分とこに BIND とかが入っていないので関係ないじゃんとか思っていた。しかし,考えたら eNom のネームサーバを使っているわけだ。というわけで,それについて調べてみよう。大手どころだからと頭から信用してはいかんよね。

カテゴリー
Vulnerability

気を付けよう,ランサムウェア。

投稿アップデート情報  追記(12/7) 追記2(12/8)

怖いですねぇ,ランサムウェア。最近,国内で増えてるみたいですね。記事も増えてます。「広告表示したら感染…ソフト最新化を急げ:読売新聞」とか,こんなんとか大分前にランサムウェアの記事読んだ気がするけど,どこだったかな。昨日はリアルワールドが忙しかったので,今になって探してみたんだけど,これでしたねぇ。 ☞ 2015年6月の呼びかけ

カテゴリー
Windows

CF-J10 が夜の間に Windows10 1511 になっちまった。

The same article in English
投稿アップデート情報  追記(11/28) 追記2(2016/8/10)

 CF-J10 が夜の間に Windows10 1511 になっちまった。休止状態,かつ,プラグが刺さっていたのが敗因だね。

 幸いなことに,致命的な事態は起こってなかった。しかし,いろいろといらんことが……。

カテゴリー
everyday life

マイナンバーといい,この話といい……

 まったく何を考えているのかね。 ‘Blaming Encryption for the Paris Attacks Looks Dumber Every Day’ (日本語訳:「パリ同時多発テロで通信暗号化を責めるのはやっぱりおかしい」) 。こんなことになると,このネット万能の時代に,暗号無効化状態で決済ですよ。冗談でしょ。日本語題は大人し目だが, Dumber Every Day って表現は相当激しくないスか?すっかりネイティブ環境から遠ざかっている私の英語レベルだから,受け取り方に間違いがあるかもしれんけど。

 11/22 にマイナンバー入り封書が配達されたので,もう一度,例の冊子を読み返してみたのだが,やっぱ,普通人にはメリットがなさそうに感じられる。なーんにも悪いことをしないフッツーの人で,当面一番関係ありそうなのは,税金だろうが,今だって,還付は自己申告だし,そっちは変わりそうにないよねー。集めるほうは,集めやすくなるんかなと,思えなくもないけど。逆に,漏洩したときのデメリットは計り知れない気がする。

 私の頭の中で「第一段落と第二段落がどうつながったんだい」とツッコミがあるかもな。
 悪事を働く人をとっちめようとするあまり,そのことで一般小市民が多大なる犠牲を払わされる恐れがあるという考慮が,どちらの話でも,すっぽり抜け落ちている気がしたんだよねえ。

 またまた,愚痴っぽくなってきたから,この辺で止めときまっさ。