月: 2017年4月

日経新聞4月2日付け紙面に「優待バブル」について書かれていた．企業が株主を集めるために優待を新設することが増えていること，個人株主が優待をもらうためにクロス取引をしていること，欧米の企業には優待がほとんどないことなどが解説してあった．私はこの記事を読んで，バブルになるなんて杞憂だと思った．だって日本株の取引金額の6～7割は外資なのだ．外資は優待なんて気にしない．残りの3～4割が国内投資家だが，そのうちの3割を機関投資家が占める．機関投資家も優待を気にしない．個人投資家は国内投資家の7割．全体に対する割合は2～3割である．個人投資家がいくら優待目当ての取引をしたって，株価に影響するようなことがあるはずがないと思った．しかも，使っているのはクロス取引．これでは株価に影響しようがないじゃない．

コーヒーが身体に良いだの悪いだの様々な研究成果が発表されている．最近の研究結果を総括すると「1日3～4杯までなら身体に良い」ってのが結論だった．ところが，先日また新たな研究結果が発表された．1日3～4杯までってのは同じだが，コーヒーを飲んで身体に良いのは女性だけっていう内容だ．えー，男性はダメなのかー．これが本当ならちょっと残念だ．飲んだら身体に悪いという結果ではないのが救いだが．

今日は通信が普通にできるなと思ったら，passwikiのコメント欄に迷惑書き込みがあった．なんとなく分かった．迷惑書き込みを消去すると攻撃が起こるみたいだ．自分がせっかく書き込んだURLを消されて立腹しているということなのかも．と言うことは攻撃を防ぐ手立てがない間は，迷惑書き込みを放置した方が良いかも．消極的だが仕方がない．

問題の通信パケットは，httpプロトコル的には正しくてルーターを素通りしている．サーバーマシンのSELinuxが弾いているが，通信自体は成立していて通信パケットは全て受信しているみたいだ．この通信が通信路を占拠している．ルーターにはIPを指定して弾く機能はない．ファームウェアアップデートすれば，知られているDoS攻撃の対策は自動でやってくれるみたいだが．

自宅の通信環境が心配だが、先にしなければならないことがある。マンションの会計業務だ。3月末で会計年度が終わったので、総会での報告に向けて決算資料の作成だ。通帳の記帳は4/1に銀行のATMで済ませてある。あとは書類の作成だ。朝から始めて13時までかかった。妻が手伝ってくれなかったら夕方までかかっていただろう。妻に感謝。6ケタの足し算引き算をするのだが、私は電卓で、妻は暗算でやった。妻は珠算をやっていたので暗算が得意だ。私はと言えば、6ケタの暗算は昔はできたかもしれないが、今はできない。こういう暗算をやった方が認知症にならずに済むような気がする。どうでも良い計算（買い物のレシートとか）をこれからは暗算でやるようにしようかな。

ルーターのログを見てみた。match access list packet discardedってのが2秒に1回記録されていて、udpの137番のパケットが廃棄されていた。これは犯人ではない。だって廃棄されているのだから。それに2秒に1回では問題ない。じゃあ、ルーターのファイアウォールが理解できないか、ルーターを素通りしているパケットが原因だ。

サーバーの/var/log/messagesを見ると、1秒間に3回SELinuxが警告を出していた。

Apr 2 08:41:59 xxxxxx setroubleshoot: SELinux is preventing the httpd from using potentially mislabeled files (/var/www/html). For complete SELinux messages. run sealert -l 61c4d152-ffcd-4125-ab87-4a4b0e2c4432
Apr 2 08:41:59 xxxxxx setroubleshoot: SELinux is preventing the httpd from using potentially mislabeled files (./passwiki.php). For complete SELinux messages. run sealert -l 5ddae690-835a-43d3-bdd6-e0c3f25cd7b6
Apr 2 08:41:59 xxxxxx setroubleshoot: SELinux is preventing the httpd from using potentially mislabeled files (./64696172792F3230313030xxxxxx). For complete SELinux messages. run sealert -l 495c6b67-4104-4a40-bba7-36e9fc17db34

どうもこれが犯人っぽい。httpdのアクセスログやエラーログを見るとこれに関するログは記録されていない。どうやらSELinuxが破棄してくれているようだ。1秒に3回は多いのだろう。

sealert -l 61c4d152-ffcd-4125-ab87-4a4b0e2c4432を走らせろって書いてあるので、やってみたらSELinuxのメッセージが（ありがたいことに日本語で）出てきた。しかし、読んでも内容が分からない。

First Seen Sun Nov 13 14:04:09 2016
Last Seen Sun Apr 2 09:43:36 2017

とあるので、この攻撃は去年の11月から始まったようだ。passwikiのコメント欄への迷惑書き込みが始まったのも去年の11月だ。これはpasswikiをターゲットにした攻撃のようだ。SELinuxが弾いてくれているが、ルーターは正常なhttpアクセスと思って通している。サーバーの負荷は上がっていないので、SELinuxが弾く労力は問題ではないのだろう。通信が遅くなっているので、通信の量が問題だ。

うーむ、元のIPを指定して弾くことがルーターの機能にあるだろうか。なければお手上げなんだが。今もルーターのACTランプは点滅を続けている。通信もひどく遅い。

自宅の光回線がめちゃくちゃ重い。何もアクセスしてないのにルーターのACTが点滅し続けている。httpdのログを見るとAhrefsなるbotが異なるIPアドレスからアクセスしているようだけど、毎分1回くらいで、これが原因で重いのではなさそうだ。うむむ、ネットワークのことをあまり分かっていないので、TCP/IPより低いレイヤーのこととなるとお手上げだ。ルーターのログを見てみれば何か分かるのかな。まさかDDoS攻撃を受けているのではないよな。面倒だけど、wikipediaで勉強して対処するか。そのwikipediaも回線が遅くてまともに見られないのが辛い。スマホでアクセスするか。ああ、情けない。