oneprovider で ipv6 を設定する方法

OneProviderで専用サーバを購入すると、ipv6を購入後に割り振られる。

debian 環境にて設定する方法の記載がおかしかったので、設定方法をメモする。

ps ax | grep dhcp

/sbin/dhclient -4 -v -i -pf /run/dhclient.enp0s01.pid -lf /var/lib/dhcp/dhclient.enp0s01.leases -I -df /var/lib/dhcp/dhclient6.enp0s01.leases enp0s01

デフォルトのdhcpに追記する。

vim /etc/dhcp/dhclient.conf

send dhcp6.client-id DUID;

ネットワークインターフェースでdhcpを設定する

/etc/network/interface

iface enp0s01 inet dhcp
iface enp0s01 inet6 dhcp

ファイルに複数行書かれた処理はprallelで並列処理できる

download_curl.list

curl -C - -o "attach/2007021500122/スクレイピングの結果のファイル名.txt" "http://localhost/2007021500122"
curl -C - -o "attach/2008021600122/スクレイピングの結果のファイル名.txt" "http://localhost/2008021600122"
...
curl -C - -o "attach/2020021800122/スクレイピングの(結果)のファイル名.txt" "http://localhost/2020021800122"
cat download_curl.list | parallel --eta -P10

xargs だとかなり面倒なエスケープが必要になる。ダブルクォート、bash scriptとして反応してしまう文字()[]等が含まれている場合は、 parallelを使用した方が良い。

一つのデータから、複数の抽出を一行にまとめる場合、ワンライナーでは難しいという考えになり、結局このようにした。 sedawkを使えばワンライナーでも処理できるだろうが、かなり複雑になるのでこちらの手法に至った。

Emotetの組織の業界に関しての雑多なメモ書き

Twitterで適当につぶやているアレ

なんかフォロワー0のアカウントで適当につぶやいてるのに、その呟きだけアクセス数が多いので

あくまでも個人の趣味の範囲で分析した内容についてまとめてみる。

Emotetをばら撒いている組織と、ランサムウェアや実際に脅迫してる組織は別

なぜEmotetが活発化したか

昔からボットネットを販売している組織や個人が多かったが、RigExploitKit(以降RigEK)があった為、ボットネット販売業界は活気づいた。

RigEKでは指定したapiを叩くと現在のドメインが提供され、そのドメインにブラウザでアクセスすると指定したマルウェアにブラウザ経由で感染させることができた。

昔放浪中にセキュリティ担当者としてRigEKの組織と接触した経験がある。

5年前ぐらいなので価格は曖昧だが、週15万円でスロット1個を使い放題だった。たまーに安くなって7万円になる。

それでRigEKを使って標的型攻撃のビジネスの傍ら、適当なユーザにも感染させて、その感染させたPCを売るというビジネスが流行り始める。

他のExploitKitもあったが、基本的にxmppで24時間連絡がとれ、hackforumsという英語話者向けのハッカー掲示板でも宣伝することで、基本的にRigEK一強となる。

さらにはイギリス法人のサイバー武器商人、"rekings"氏が現れ仲介をしてくれるようになり、更に増えるようになった。

これで、"感染させたPCを売る"いわゆるbotビジネスが活発化した。

ところが2019年頃にRigExploitKitが終了すると、ほとんどのbotビジネス屋が廃業する。

最盛期には1PC 0.01$の酷い時代になってた。botビジネス屋が廃業したことにより、価格が一気に上昇。

そこで作られたのが、標的型攻撃で多用されていたOfficeマクロマルウェアのメール送信の自動化だ。 これがEmotetといっても過言では無い。

現時点のbot

基本的に価格が上昇したことで、顧客は質を求めており、それがウイルスの売買においては実際のインストール数になる。

そのため、クレームを嫌がる。運営者は自動化したビジネスで儲けたいので、クレームが多そうな掲示板では告知をしない。(規模拡大を狙っている組織ではない限り)

現時点で確認されたのは以下の通り


iNerino氏 (2017年頃から運営中)

Emotet の運営者か広報担当者

最盛期には10,000-15,000 台/1日を感染させ売ってた。

EU部門がOperation Ladybirdによりテイクダウン。

US+発展途上国部門は稼働中。

問題が発生した際に、「仕方ないまた新たな自動化を考えるか」的なことを言ってるので運営者っぽい。

とある掲示板のアイコン自画像にしてるけど大丈夫なのかな?

追記2021/03/18 初期の頃はRigEKを使っていた事がトレンドマイクロで報告されている

Pop-ups and Sites Push Botnets, Miners and Ransomware


exsile

Emotetとは別の組織

botビジネスが活発化した時代に戻ったような広報を行ってる広報担当者。

botビジネスの組織の質は低いらしく、「広報担当の俺と直接取引すれば、マルウェアのインストールに失敗した分、追加できるよ」と豪語する。お前の組織は質が低いんじゃいと叩かれて、スレッドを閉じてしまった。

dnf氏 ロシア語圏向けの広報をしてる。"DNF"というブランドで活動してる。

よくわからない

本当に運営しているのか、ただの再販なのかよくわからない。

あとコンビニバイトで稼いだ金をそこまで突っ込めないので、諦めてる。


Agri_MAN氏 (2011年頃から運営中)

多分、RigEKよりも業界長い。Zeus時代からbotビジネスやってる。

昔、fallout ExploitKit を開発、運用していた。


DonCarlos 氏 (2020年頃から運営中)

再販かな?と思ったけど、そうでもなさそう。よくわからん。


その他諸々

Webサービスも、Telegramを受け付けん。それで逮捕されるかもしれないだろ!

XMPPでOMEO/OTRじゃなきゃ受け付けん。っていう組織も見かけた。

Emotet逮捕で... 業界は再活発化

1000PC / 100$ が大体定価で、大口なら割引みたいな価格で収まってる。

インフラ用意して、感染率を上げて販売窓口も自動化すれば、感染手法を週1ぐらい考えるだけで儲かる。

Operation Ladybirdで業界の均衡が崩れて、新たな参入組織が増えているように見える。

このようなタイプのマルウェア脆弱性を突いたりするようなものではなく、普通のアプリケーションとして実行して命令サーバーへ接続する。

いたちごっこになるだけで、永久に無くならないだろうなと思った。

そもそも。なんでEmotetの組織と気づいた?

"Emotet"ふーん。そんなのあるんだ。みたいに他人事だったけど、監視しているbotショップの2窓口のうち、片方が停止。1週間後ぐらいに"Operation Ladybird"の情報が飛び込んできたので、"Emotet"の組織とわかった。

phpの三項演算子を使ってpreg_matchを即時取り出す

php三項演算子が使ってみると便利だったのでやってみた。

preg_matchで三項演算子を使ってみると即時取り出せるので便利だったので使ってみた

function random(){
  return preg_match('|[a-zA-Z]{10}|', base64_encode(random_bytes(20)), $m) ? $m[0] : random();
}

三項演算子では

$答え = true/false ? trueならこの値を出力 : falseならこの値を出力;

となる。つまり preg_matchでは

true/false = preg_match('|pattern|', "data", "match array")
"match array"を出力
そうじゃなきゃ別のを出力(一番上のは、もう一回試す)

となる

2秒ぐらいのループ推奨音楽をffmpegとffplayでループ再生をシェルでする

むかし、DTMサークルの立ち上げに関わったことがあり、2-3秒ぐらいのループ推奨のwavサンプルを貰った。

これを、作業するときに聴きたいと思ったのだが、再生ソフトで1曲ループさせると、2-3秒の音楽の終了とともにブチっと毎回途切れてしまう。 Spoitfyのプレイヤーだとこれがないのだが、わざわざ再生ソフトで再生するのも面倒だったので、ffmpegとffplayでやろうと思った。

まず、最初にフォルダ内のの'.wav'拡張子の音楽を探し、そのファイル名をパイプラインで送る

find . -type f -name '*.wav' | 

これだと、2-3秒で次の音楽へ移行してしまうので、ループ処理をする。

xargs -I% ffmpeg -t 3600 -stream_loop -1 -i % -f wav %.output.wav

そのまま保存しても良いのだが、1時間のループ処理をすると、元は複数ファイル合わせて100MBぐらいだったのが、50GBに化けてしまった。

そこで、パイプライン処理をして、エンコードしたループ音源をそのまま再生するようにする

ffmpeg -t 3600 -stream_loop -1 -i % -f wav - | ffplay -i -

という事で、完成

find . -type f -name '*.wav' | xargs -I% ffmpeg -t 3600 -stream_loop -1 -i % -f wav - | ffplay -autoexit -i -

音声をステレオにしたり、ffprobe等で確認したオーディオコーデックを指定する

find . -type f -name '*.wav' | xargs -I% ffmpeg -t 3600 -stream_loop -1 -i % -ac 2 -acodec pcm_s16le -f wav - | ffplay -autoexit -i -

ついでに、再生順序をランダムにする。

find . -type f -name '*.wav' | shuf | xargs -I% ffmpeg -t 3600 -stream_loop -1 -i % -ac 2 -acodec pcm_s16le -f wav - | ffplay -autoexit -i -

これで作業効率アップ間違いなし

oneproviderを使用する上で注意する事

どうもonline.net系列大好きおじさんです。(online.net は Scaleway へブランド名を変更しました)

oneproviderを再び購入したのだが、その上で注意した方がいいことを書いていく。

2022-02-21に再度わかりやすいように書き換えました。

oneproviderの利点

世界で1番安いサーバ会社がOVH。ただし通信の品質は月2TB以上使うと悪くなる。

世界で2番目に安いサーバ会社がonline.netことScaleway。
250Mbps無制限というような帯域制限があるものの通信総量制限がないので、
通信品質を含めれば、実質世界で1番安いのがScaleway。

そのScalewayの再販専門業者が、Scaleway以外の鯖も再販し始めたのが OneProvider.

つまり、世界で実質1番安く専用サーバが手に入るサイトだったりする。

実際月1000円程度で通信総量制限無しの専用サーバがレンタルできるのは世界中探してもここぐらい。
ちなみにOVHの超格安専用鯖は月600円だ。日本の専用鯖業界が月数十万と考えるとぶっ飛んでる。
OVHには解約ページが無いから直接連絡しなきゃいけないという闇があるけどな。

旧online.netでも「世界中のサーバ買うならoneproviderを勧める」とトップページの真ん中の右側にロゴマークとリンクが貼ってあった。 実際、割引期間中はScalewayより1/3ぐらいの時もある。 再販屋価格なので他の国のサーバーでも元の業者から買うより安く専用サーバが買えるのが利点。

IPMI Sessionが使える

なぜIPMIセッションを使うのかの理由をチケットで送る必要があるが、10分ぐらいで返信が来て使えるようになる。

oneproviderの問題点

本当、いくつもある。レビューサイトなんかに星1付けられまくってるぐらい、評価が悪い。

レスポンスの遅さ

oneproviderはただの再販屋で、物理的なサーバに関する問題が起きても対処に時間がかかる。だから、追加IP注文しても、数日かかる事はざらにある。

納品の遅さ

注文して、4-6時間後に納品完了したよ。というメールが届く。
で実際ここから、30日間の課金が始まるのだが、サーバに触れられない!?

FAQを見ると納品には1日~3日程かかると書いてある。
納品完了メールが届いてから、1日立たないとOSのインストールすらできない。
もちろん、その間の課金される。

管理画面にはOSの再インストール中の為、45分~1時間、触れません。という表示が出て、これが1日続く。

初めての時は5日遅れで納品された上、これをされたのでブチ切れて英語で怒りのチケットを送ったら、数日分繰り上げてくれた。

前の顧客の設定やデータが消されてない!?

いや、今回見たら残ってたんすよ。前の顧客のメールサーバのデータがそっくりそのまま。

更にはコントロールパネルのIP逆引きのドメインまでそのまま残ってた。

前の顧客がWindowsを使っていたら、レスキューモードのOSを立ち上げ、ログインして、HDDをwipeして、そっから管理画面でOSを再インストールできる。
これをしないと、コントロールパネルからのOSインストールすらできない。
ん?これって鯖屋の仕事では...

OSインストールの遅さ

OSのインストールに 1-3時間覚悟しておいた方が良い。

特に proxmoxの場合は普通に3時間かかる。
管理画面にはOSのインストール中のメッセージが消え、ログインできるように見えるが、まだ実行中。

IPMIセッションからコンソールログインしたら、iptablesで他のログインを弾いていて、数回再起動したので、どうやらインストール作業中なのだと気づいた。

まとめ

普通にやばい。

コントロールパネルからOSインストールできない場合は、fdiskコマンドやddコマンドを使ってHDDをマウントしてwipeすることができないと、そもそもサーバに触れられない。

Linuxコマンドに触ったことのない人では買っても使うことすらできない可能性がある。

あと、解約する前にHDDをきれいにしておかないと次の顧客にデータを盗まれる可能性もある。

世界で最安値のサーバだからね。しょうがないね。ただ、衝撃だった。

Yahoo!ボックス の分割されたフォルダをマージする

Yahoo! プレミアムの解約

最近記事を更新してなくて、"この広告は、90日以上更新していないブログに表示しています。"の広告が出てしまったので、適当に書いてみる。

最近、Y!mobileを解約した。 ふらふらと旅をしてたので、ぷらら lte 無制限を使用しており、サービス終了時に工事が必要ない回線を探していて、Softbank AirY!mobileセットで契約した。

通信速度が遅い等の問題はあったが、SoftbankAirのポート解放できないので、SoftbankAirとの決別し、居候先と交渉してフレッツ光に変えた。

Y!mobile会員は自動的にYahooプレミアムアカウントとなるため、色々と使用していた。

先日解約した際に問題となったのは、Yahoo!ボックスの容量無制限が解除されたこと。

意識してなかったが、一時期MicroSDが壊れてしまい、スマートフォンのバックアップ先として、Yahoo!ボックスを使用していた。

Yahoo! ボックスのダウンロード

Yahoo! ボックスなのだが、ダウンロードする際に、zipでダウンロードという機能があり、1GB以上ファイルがある場合、分割してダウンロードされる。

以下のようなファイル名でzip圧縮される

Yahoo!バックアップ_01.zip
 - Yahoo!バックアップ
   - フォルダ
Yahoo!バックアップ_02.zip
 - Yahoo!バックアップ
   - フォルダ
...

せめて .part1.zipにして欲しい。

ダウンロードしたフォルダのマージ

いわゆる、マージ機能を持つコピーツールって結構少ないんだなと感じた。 GNU系で対応していたのはの以下の通り

rsync -a
cp -T (旧版では非対応のもある模様)

それで、Yahoo!ボックスのマージをしてみる。

Yahoo!バックアップ_01
 - Yahoo!バックアップ
   - フォルダ
Yahoo!バックアップ_02
 - Yahoo!バックアップ
   - フォルダ
...

こんな感じで解決した

rsync -av Yahoo\!バックアップ_02/Yahoo\!バックアップ Yahoo\!バックアップ_01;