カテゴリー
everyday life

理由はいろいろ。

 何の理由がいろいろかって。それは,リンク切れ。WordPressのプラグインにBroken Link Checkerというのがあって,これがリンク切れを教えてくれる。完全なリンク切ればかりでなく,少し繋がりがおかしいときも教えてくれる。まあ,相手のサーバの負荷が高くてその時だけ繋がらなかったとかいうこともあるのだが。

 なかなか優れもののプラグインで,@pagesやToyParkのデータベース不良のときもこれで知った。

 今回,juneさん紹介のHDD-SCANについてのリンク切れアラートが,今月初めから一週間ばかり出ていた。結構,お世話になるソフトのサイトだし,どうなってるのかな。引っ越しかなとか思いながら(相手は,秋葉原の会社だ),ちょこちょこ点検していた。

 で,やっと表示されるようになったと思ったら,お家騒動のようですな。

 相手のお家の事情はさておいて,役に立つソフトを見つけたと思ったときは,そのときすぐに使わない場合でも落としておかないといけないなあと,再認識したのであった(爆)。

カテゴリー
Vulnerability

Javaにも困ったもんだ。

投稿アップデート情報  追記(8/31)  追記2(9/5)  追記3(2013/6/2)

 えっと,ご存知の方はご存じだと思うが,いつも読ませていただいている「セキュリティホール memo」さんとこで,「Zero-Day Season is Not Over Yet」というのが紹介されたのが,26日。「またかよ」とか思っていたら,結構大変になってきているようで,昨日追記が載っていて,一般ユーザもちょっと対処しておいたほうがよさそうなお話。

 「猛威を振る Java ゼロデイ攻撃コード」(つまんないことだが,「振う」ではないのと突っ込んだりして ― 爆)とか,「Oracle Java 7の脆弱性を狙った攻撃について」を読んでいただけば,内容はわかると思うが,「Blackhole:パッチのスピードよりも高速」というのを読むと,こういう商売というのも盛んなんだなあと,素人は変に感心したりするのであった。

 で,我々一般ユーザとしてはどうしたらよいかということですが,「【ゼロデイ攻撃】JREの未修整の脆弱性を悪用した攻撃発生」を参考にお手当ください。蛇足として書いておくと,JavaとJavaScriptは全く別物です。

追記(8/31):
 JREの1.7.0_07が出ました。Update Release Notesによれば,上記のゼロデイ(CVE-2012-4681)に対応したようです。早速,アップデートしました。
 プラグインは無効のままです。自分がよく訪ねるサイトで,今のところ特に有効にする必要も感じないので。

追記2(9/5):
 追記に書いたように,Java 7 Update 7が出たんだが,「先週公開の「Java 7」パッチは不完全、脆弱性が残る--研究者が指摘」なんだってさ。
 いたちごっこもいいところだ。Javaに関して頻度が高いのは認めるが,一ユーザとしては,セキュリティアップデートとリアルタイムプロテクトに努めるしかないのだろうか。ネットなしの生活なんて考えられないしなあ。しかし,「Microsoft Updateと最悪のシナリオ」なんていうのが,一般ユーザについて現実化したらいったいどうなるんだろ。

追記3(2013/6/2):
 「computerworld.jp終了です」ということらしくて,「先週公開の「Java 7」パッチは不完全、脆弱性が残る--研究者が指摘」のリンク先がなくなってしまったので,参考のために保存してあった PDF に差し替えた。

カテゴリー
WordPress

本家のお世話-#41。(Malwareの話)

投稿アップデート情報  追記(6/23)

 臨時サーバには,ウイルス対策ソフトとして,Avira Free Antivirusを入れてある。今朝,これが34個もの「PHP/WebShell.A.1[virus]」を報告してきた。検知場所は,C:WINDOWSTempのphpxx.tmpというわけで,現時点で悪さをしているわけではないらしい。

 当然削除したが,せっかくCentOS6の練習機を建てたので,これでちょっとphpxx.tmpの中を覗いてみた。初体験。こんな感じ。
—————————————————————————————————————————
   <?php
   $auth_pass = "";
   $color = "#df5";
   $default_action = ‘FilesMan’;
   $default_use_ajax = true;
   $default_charset = ‘Windows-1251′;
   preg_replace("/.*/e","x65x76x61x6Cx28ーーーー省略1ーーーーx63x6Fx64x65x28
   ’~~~~省略2~~~~’
   x29x29x29x3B",".");
   ?>
—————————————————————————————————————————
 見たところ,普通のPHP Script。ただし,本体部分は,エンコード後圧縮されている。
 Windows-1251 は キリル文字で,この文字コードで保存されているらしい。
 x65x76x61x6Cx28ーーーー省略1ーーーーx63x6Fx64x65x28 の部分をデコードすると,
eval(gzinflate(base64_decode( 同様に,x29x29x29x3B の部分は ))); になる。本体部分(~~~~省略2~~~~)は,素人が生半可にいじるのは危ないかなと思い,何もしなかった。何か結構,深刻なタイプのBackdoorで Windows にも Linux にも影響があると書いてあるし。

 どこから着弾したのかと思って調べてみたが,よく分からない。よく分からないが,Apacheのログに,
   78.85.9.30 – – "POST ~/uploadify.php" 404 "Googlebot/2.1" <<– 関係部分のみ抜粋
というのが,phpxx.tmpと同じ時間帯にズラッと並んでいた。自鯖上には uploadify.php は1枚もないから,HTTPエラーコードはすべて404になっている。これは失敗しているけど,開いているポートから,tmpファイルとして送り込まれたということだろうか。この辺りのことが,もともとよく理解できていないのだが,今回調べてもまだよく分からない。ご存知の方は,ご教示いただけるとありがたいです。

 ところで,uploadify.php だが,6月9日づけで,WordPress Exploit Alert: Uploadify.phpという記事が見つかったから,脆弱性があるらしい。既に,パッチが出ているのかどうかははっきりしない。

 書き忘れるところだった。UAがGooglebotになっているが,逆引きすると,ホスト名は a30.sub9.net78.udm.net になるので,詐称は明らかなようだ。

追記(6/23):
 今日,WordPress Exploit Alert: Uploadify.phpを見に行ったら,新しい情報が書き込まれていた。関係のある方は,参考にされるといいかもしれない。

カテゴリー
WordPress

本家のカレンダー-#2。

 気づいたかたもおられると思うが,PHP 5.4.x 系にアップグレードしてから,ブログ(英語日本語)の1行カレンダーの投稿日が表示されなくなっていた。気にはなっていたが,例の crash + restart のほうが問題で,そのままにしていた。

 ブログのカレンダーについては,本家のカレンダー。にも書いたとおり,ずっと同じものを使ってきた。最初は,Movable Type,次は,WordPressで。今回の件に関して,プラグインの作者のページにお問い合わせも書いてみたが,長らくお返事がないので無理なのかもしれない。自分でスクリプトも見たが,お手上げ。

 crash + restart が落ち着いてきたので,何か他に使えるプラグインがないかと探してみた。1行表示のカレンダー(「さかなのぺんぎん的日記」というサイトだったが,どうやらなくなったようで,2012/7/26からリンク切れが出るようになった。)というのがあった。対応バージョンは古くバージョンアップもされていないようだが,作者の方が「標準でついてくる get_calendar() というカレンダーを表示する関数の、HTML を書き出す部分をごにょごにょしただけのものです」と書いておられるので,かえって大丈夫かなと入れてみたら,無事動いた。よかった。

 さかなさん,ありがとうございます。

カテゴリー
WordPress

WordPress File Monitor Plus 1.4.x

投稿アップデート情報  追記(2017/1/24)

 WordPress File Monitor Plus 1.4が出た。Windows系のサーバの場合は,必ず,1.4.1を使ってください。1.4ではうまく動かないとScottに連絡したところ,素早く対処してくれたのが,1.4.1です。

 主たる改良点は,WordPress File Monitor Plus に検索させたくないサイトを設定するときに,ワイルドカード(*)が使えるようになったこと。

 すでに,1.3 を使っている場合は,現在の設定は,アップデート時に自動的に新しい書式に変更されるが,新規導入の場合は,もちろん手動での設定が必要。指定場所は,「無視するディレクトリ/ファイル」のところ。

 書式については,絶対パスでも,*.txtのような形式でも可。自分の指定したいファイルの存在場所をよく考えて,うまくいく方法を使ってください。

追記(2017/1/24):
 WordPress File Monitor Plus は開発終了の模様。 Fork として WordPress File Monitor があるのでそちらを使うといいと思う。

カテゴリー
WordPress

Facebook, Twitter & Google+ Social Widgetsを入れてみた。

投稿アップデート情報  追記(4/20)

 流行に乗ってみようかと,「いいね」ボタンと「Tweet」ボタンを付けてみた。ホームのところもつけたらあまりにもうっとおしかったので,個別ページと固定ページを表示したときだけに見えるようにした。
 しかし,それでもうざい気もする。使ったプラグインは,Facebook, Twitter & Google+ Social Widgets。

追記(4/20):
 結局,「Google+」も追加した。

カテゴリー
WordPress

覚え書-#7。

 XREAと@pagesにWordPress3.3.1のシングルサイトを構築したけど,XREAのサイトからは通知メールが来るが,@pagesのサイトから通知メールが来ない。というわけで,の「WP Mail SMTP」をインストールした。

 今度もうまく働いてくれるだろうか。一応,テストメールは無事に来た。

カテゴリー
WordPress

Ajax Edit Commentsフリー版(v.5.0.7.0)のLAMP系での使い方。

投稿アップデート情報  追記2(2/7)  追記3(2013/1/12)  追記4(1/25)

追記3(2013/1/12):
 うれしいことに, Ron が戻ってきて, v.5.0.13.0 がリリースされた。試してみたらこれは,楽に動くようだ。 12 日現在,日本語化ファイルは旧いものしか同梱されていないので, v.5.0.13.0 用をここに置いた。

追記4(1/25):
 最新版の日本語化ファイルは,右下の「いろいろ」のところ,あるいは,ここから落とせるように変更した。

———————————————————————————————————————————————
 Ajax Edit Commentsフリー版(v.5.0.7.0)の件の追加記事です。

 昨日から,juneさんと一緒にああでもないこうでもないとやってきたが,どうやらできた気がする。@pagesとXREAと,どちらも同じ方法で成功したのでその方法をまとめておく。

 WP Ajax Edit Commentsのフォーラムにも後で報告しておこうかな。

 使えるようになっても,「Stack overflow at line: 2 too much recursion」のエラーは残る。今回,このエラーのせいでAjax Edit Commentsフリー版(v.5.0.7.0)が動かないのではないかと誤解したところからややこしくなったが,結局は別の問題のようである。

 では,一つずつ手順を書いていく。

  1. ダッシュボードのプラグイン・メニューから,Ajax Edit Commentsバージョン 5.0.7.0を新規追加で,あるいは,アップデート・メニューからインストールする。インストールの終了時にプラグインを有効化するボタンがあるが, ここでは絶対に有効化してはいけない。
  2. FTP接続ソフトでサイトにアクセスし,/wp-content/uploads の直下にaecというディレクトリを作り,パーミッションを707or777にする。
    新しいAjax Edit Comments はスクリプトがaecというディレクトリを作って使うようになっているのだが,所有権とパーミッションの設定がうまくいかないくて,動かないようだ。
  3. ダッシュボードのプラグイン・メニューから,Ajax Edit Commentsを有効化する。aec下にはadmin.js,edit-comments.css,ajax-edit-comments.js,comment-editor.css,frontend.js,popups.js が必要だが,この時点では,admin.jsとedit-comments.cssしかない。Ajax Edit Commentsの設定ページに行って,[設定の更新]ボタンを押すことで,他の4つのファイルも生成される。
  4. スクリプトが生成した admin.js,edit-comments.css,ajax-edit-comments.js,comment-editor.css,frontend.js,popups.js の所有者がサーバになっているので,これを他のファイルと同じく自分に変更する。shellが使えるならコマンドを打てばいいが,たいていは無理。そこで,まず,aecをそっくりダウンロードする。
  5. 次にaecをそっくり削除する。中だけを削除しようとしても所有者が違うのでうまくいかないよ。ここで,2.でaecを手動で作成したことが生きてくるわけ。まぁ,場合によっては,ディレクトリが空でないと削除できないということもあるかもしれないが。
    削除後,再度aecを作り,ディレクトリのパーミッションを707or777にする。
  6. aecの中の6つのファイルをアップロードし,パーミッションを606or666にする。

 これでうまくいくはず。健闘を祈る(爆)。

追記:
 本家のファイルを見ると,aecの下に <?php // Silence is golden. の記載されたindex.phpもある。これも手動で作っとくべきかな。

追記2(2/7):
 一応無事つかえてはいるけれども,どう考えてもWordPressのプラグインとはいえない。インストールして有効化したらすぐ使えるというのが,こういうプラグインのスタイルである。プラスアルファとして,オプション設定が必要なことはあるが,サーバの設定じゃあるまいし,FTPで接続してとかshellを使ってとか,ゴリゴリやらなきゃならないなんて,WordPress本体の設置においてすらまれなことだ。ましてや,ものはプラグインなんだから。
 Ver.4.1.8.3までは原作者のAjay と Ronald の名がみえるが,history.txtを見ると4.1.9.9からはRonの名前だけで,現在はその名すらない。なんかどうもすったもんだを感じさせる記録だネ。
 1月末にRonに出したメールにはすぐに返事が来て,もう手を離れているのでそれほどできることはないけれど,何とかいろいろやってみるということだった。ネット上に旧安定板が出ているようだが,もしかしたら彼が関係あるのだろうか。本当のところは分からない。すべて藪の中だ。
 いずれにしても,現在のバージョンについては,http://ithemes.com/ に責任がありそうなので,サポートフォーラムを見に行ったが,どうも頼りになりそうになく感じたので,Ajax Edit Commentsのサポートからもらったメールに入っていたとこ宛てに,苦情を書いてみた。一昨日のことだ。しかし,今のところ返事は来ていない。どうなるかわからない。http://wordpress.org/extend/plugins/wp-ajax-edit-comments/ での対応を見ていると,あまりあてにはなりそうにない。このプラグインがこのせいでダメになるとしたら,残念なことだ。

カテゴリー
WordPress

Ajax Edit Commentsフリー版のバージョンアップ-#2

投稿アップデート情報  追記2(1/27)  追記3(1/30)  追記4(2/4)  追記5(2013/1/12)  追記6(1/25)

追記5(2013/1/12):
 うれしいことに, Ron が戻ってきて, v.5.0.13.0 がリリースされた。試してみたらこれは,楽に動くようだ。 12 日現在,日本語化ファイルは旧いものしか同梱されていないので, v.5.0.13.0 用をここに置いた。

追記6(1/25):
 最新版の日本語化ファイルは,右下の「いろいろ」のところ,あるいは,ここから落とせるように変更した。

———————————————————————————————————————————————
 昨年の12月16日に,Ajax Edit Commentsのサポートから,

As of January 1, 2012, we will no longer be supporting the Ajax Edit Comments plugin as a premium plugin. We will be uploading the full version of the plugin to the WordPress.org repository, where users that wish to continue use can download any future updates for free.

というメールをもらった。で,「有料版を使いたい人は云々」と続くのだが,私は別にほかのものには興味がないので,いつになったら,WordPress.org repositoryにフルバージョンが載るだろうと楽しみにしていた。
 今日になって,ダッシュボードのプラグインのところにアップデートの通知があったので見に行ったら,Ajax Edit Comments v5.0.7.0 が出ていた。おおーッ,ということでさっそくアップデートした。

       WordPress2.83.1以上が必要で,3.1.1にも対応。
         スクリプト内は3.1以上になっていた。ごめんなさい。(1/28訂正)
       最終更新: 2012-1-19   になっている。

 必要な方は,Ajax Edit Comments v5.0.7.0用の日本語化ファイルを落として使ってください。
 
 
追記:
 Ajax Edit Commentsとは全然関係ないんだけど,mysql-5.5.20-win32.msiが出てたので,一昨日アップデートした。mysql-5.5.18-win32.msiへの単なる上書きインストールで無問題。

追記2(1/27):
 Ajax Edit Comments v5.0.7.0についてだが,自鯖はWAMP系なので無問題だった。が,LAMP系だと,/wp-content/uploads/aec のパーミッションを707あたりにしておかないと,fopenのWarningが出てまともに使えないようだ。

追記3(1/30):
 コメントを読んでいただくと分かるように,現在少し前のバージョンを使用中である。v5.0.5を上書きして消してしまったのだが,まだ正規のライセンスが切れていなかったことを思い出して,昨年末に出た有料版を本日再ダウンロードしてきた。もしかしたら,近いうちにこれにするかもしれない。フォーラムのコメントを見るとv5.0.5も動かないというものが多いのだが,我が家ではこのバージョンは普通に動いていたので,少なくとも見かけ上は!!

追記4(2/4):
 Ajax Edit Commentsフリー版(v.5.0.7.0)のLAMP系での使い方。,書きました。

カテゴリー
net radio

ネットラジオのはじめ方-#4。

【2016.06.01時点の話】
 公式からのダウンロードは,フリーバージョンでも,レジストしないとできなくなってしまった。それもかなり細かい情報まで記入を求められる
 そんなこんなで,うちのネットラジオ局はやめちまった。

【2014.09.20時点の話】
 Radionomy に売られた(アセッ)あとの SHOUTcast DNAS を使った「新・ネットラジオのはじめ方」を書いた。新しく自前ネットラジオ局を建てる場合には,参考になるかも……。

【2014.06.26時点の話】
 すっかり忘れてて追記が遅くなってしまったが, SHOUTcast 2 Tools のダウンロード先が SHOUTcast Home にきちんとできている。次のリンクページからダウンロードできる。BroadcastNow

【2014.02.26時点の話】
 AOL が Winamp と Shoutcast を手放した関係で, SHOUTcast 2.0 Tools , Winamp のダウンロード URL が変わっています。「WinampとShoutcast。」をお読みください。
—————————————————– 追記ここまで

 「 ネットラジオのはじめ方-#3。」で書いたようにオンデマンドで手こずっているんだが,生中継のことにふれたので,そのことについて書いておこうと思う。

  1. コンソールから,”C:Program FilesSHOUTcastsc_serv.exe” sc_serv_simple.conf でサーバを起動する。
  2. WINAMP を起動する(バージョン5.621。散見するところでは,バージョンによって挙動に違いがあるらしいので,書いておきます)。設定が済んでいるので,SHOUTcast Source DSP が一緒に起動する。まだの場合は,「ネットラジオのはじめ方。」を読んでやってください。
  3. SHOUTcast Source DSP の Output タグのところで,Connect ボタンをクリックして接続。まぁ,設定がきっちりできて,ネットラジオがしっかり動くようになったら,Auto Connect のチェックボックスをチェックしておいてもいいと思うが……(図1)
  4. Input タグをクリックし,図2のように Input Device を Line In(Legacy mode) に変更。
    Input Setting は44100Hz,Stereo。別のにしたら音がひずんだ。44100Hz,Stereoというのは,一番スペックを要求するわけだが,マイクからの音声も別のセッティングにするとひずむので,やむを得ず,このまま。マイク自体の設定を弄ればいいのかもしれないが,どこを触ればいいか今の時点では私にはわからない。
  5. 図2の真ん中より少し下にある Open Mixer をクリック。録音コントロール(図3)とボリュームコントロール(図4)の窓が開く。生放送の場合,録音コントロールのデバイスは,マイクかwave出力ミックス(この名称はサウンドデバイスによっていろいろあるようで,うちのでもステレオミキサーになっているPCもあった)にする。ここをマイクにすると,図2の赤丸のところをどんなに弄ってもマイクからの音だけしか入力できない。
    したがって,DJのように音楽を一緒に流したいというときは,必然的にwave出力ミックスにしなければいけない。
    ) 我が家にはいまだにWindows Vista/7 がないのでよくわからないが,両OSではサウンドデバイスのうちwave出力ミックスはデフォルトでは無効になっているらしい。有効にする方法は,ネットで見つかると思うので,OSが Vista/7 の場合は,先にそこから取り掛かってください。もちろん,wave出力ミックスの機能のないサウンドカードを使っている場合は,どうあがいても無理だから,ハードから換える必要がある(爆)。
  6. ボリュームコントロールのほうでは,マイクが有効になっている必要がある。入力されたものが,サウンドデバイス上で再生される必要があるらしい。全ミュートになっているが,これはスピーカから聞こえる自分の声が邪魔で,横のテスト機(クライアント用)からの音がはっきりしなかったので,ミュートにしているだけで,実際にはここのチェックを外していないと,On Airのモニタができない。
図1

図2

図3

図4

 あとは,Push to Talk か Lock を押して,マイクからいろいろしゃべってやれば,テスト機でそれを聞くことができる。図2の赤丸のところがMixerのレベル調整だから,ここを弄って実際に放送を始める前にいろいろ試してみるといい。録音したものを流すのと違って,生放送だといろいろと忙しいから,先に十分練習してからやったほうがいいと思います。 <---- 自戒。