防犯カメラの交換

お店の防犯カメラが壊れたため、昨夜、台風が来る前にカメラの交換作業を行いました。 👷
壊れたカメラは屋外に設置されています。これは、暗くなると自動的に赤外線を照射し、モノクロ撮影が行えるカメラです。
以下の写真に示すモニタの中の「Camera 02」を確認したところ、昼間は撮影されるのですが、夜が撮影されなくなっていました。 カメラの赤外線は照射されているようなので、どうやらIR受光部の故障のようです。

その交換の為に買ったカメラは、以下のスペックの中国製のCCDカメラです。

  • 商品名: CCD防犯カメラ(防水 + 赤外線6mmレンズ)
  • 映像素子: 1/4インチ SHARP CCD
  • 水平解像度: 420TVLine (NTSC)
  • レンズ: 6mm
  • ホワイトバランス機能: 有(自動)
  • ゲインコントロール機能: 有(自動)
  • 映像出力: 75Ω/1.0Vp-p
  • 電源: DC 12V
  • LED: 36個
  • 有効距離: IR照射距離 30M
  • 自動電子シャッター: 1/50~1/100,000 秒

少なくとも映像素子が日本製である事が救いかもしれません。
この商品は、ヤフオクにて、2,080円で落札しました。
もしこの商品が日本製ならば、20,000円以上になってしまうのでしょうね。 (..;)

因みに、当店には台湾製のAVTECH社のDVR(Digital Video Recorder)が設置されています。
残念ながら、中国製はクオリティが低く、大概1年以内で壊れます。
このDVRは、ネットワーク機能(Webサーバー)をサポートしていて、外部からDVRを操作する事も可能です。

お店のDVR(以下の写真で銀色の機材)は、光モデムから取得したグローバルIPドレスをPCで自動的にDNSサーバーにダイナミックDNS登録を行うと共に、ルーターの80ポートを解放しています。
よって、仮にIPアドレスが変ってもLANの外からWWWへアクセス出来ます。

以下の通り、無事にカメラの交換作業が完了しました。 \(^_^)/

なお、以下の写真は、私が住むマンションで、私が去年設置した高性能な防犯カメラシステムです。 (エルモ社のVP電源装置とカメラは既存のものを使用)

このクラスのDVRの場合、日本製なら約30万円くらいはします。
私は、海外製(多分、台湾製)を選定したため、約3万円(HDDを除く)で収まりました。
その代わり、マニュアルが未だ無いため、私がボランティアでマニュアルも執筆する事になってしまいました。 Orz
このDVRは、ブルーレイと同じ圧縮規格「H.264」で録画が可能な8chの機種「SecuOn YR068」です。

最近の殆どのDVRは、マウス操作が可能となっており、ネットワークにも対応しています。しかしながら、提案はしましたが、今のところ、我々は当マンションにネットワーク機能を導入しておりません。
このDVRには、8TB(4TB×2units)の内蔵HDD(SATA)を組込みましたので、HD画質(1280×720)だと、約2ヶ月間の連続録画が出来ます。

以下は、マンションの管理組合へ提出した納品用CDRの一部です。

悪質なBOTからのアクセスを制限

 

Mission Impossible     

* このページは、常時更新中です。

本サイトに設置したPerlのアクセス解析プログラムのログとWordPressのプラグイン「NewStatPress」の分析結果を調査しました。
その結果、相変わらず、自身をBOTと名乗らない迷惑BOTから大量のアクセスがある事が確認できました。

そのBOTについてですが、当サイトでは以下のような種類を確認しています。

(1) 手当たり次第に掲示板やコメントフィールドへ商品の宣伝を書き込む「SPAM・BOT」
⇒ “Google No CAPTCHA reCAPTCHA”により、全てガードされています。

(2) WordPressへのログインを試みる「ハッキングBOT」(Brute Force Attack)
⇒ “Google No CAPTCHA reCAPTCHA”により、全てガードされていますし、更に、強固なパスワードに変更していますので、まず大丈夫でしょう。

* 4月20日 追記
その後、更にログ解析を進めた結果、ログイン名とパスワードをWordPressのxmlrpc.phpへ送信する方法で、裏口からの侵入を試みる多数のハッキングサイトを確認しました。 因って、そのIPアドレスを本日ブロックしました。

(3) プラグインの脆弱性を利用し、記事の書き換えを試みる「ハッキングBOT」
⇒ 当該プラグインは当サイトでは使用していません。なお、当サイトでは、プラグイン「Revslider」等へのアタックを確認しています。 ⇒ wp-config.phpを閲覧することで、彼らはDBやWebサイトへの侵入を企んでいます。

これらのアタックサイトに関しては、Windows XPやWindows 2000等のセキュリティが脆弱なPCやWebサイトがウィルスに感染し、それを踏み台にして邪悪なBOTへと変貌している可能性が考えられます。

上記の調査結果を踏まえ、これ以上、悪質なBOTの行為を許す事が出来なくなりましたので、この度、特に悪質なBOTへの大規模なアクセス制限を実施しました。

以下は、Apacheの「.htaccess」に追記した当サーバーへのアクセス拒否設定の一部です。
* 10月1日時点において、合計で302個のIPアドレスを昇順に定義しています。

 

これで、BOTで賑わっていた当サイトがかなり静かになりました。 (笑)

【アクセス制限について】
アクセス解析の結果、ApacheによるIPアドレスからホスト名への逆引きが不可能なケースを散見しましたので、ホスト名ではなく、全てIPアドレスの記述により、アクセス制限を実施しました。
例として、以下のように複数のIPアドレスを使って攻撃してくるBOTについては、IPのサブネットマスクを指定する事で対象IPを纏めて拒否するよう設定しました。

 

【サブネットマスクの指定方法について】
これ以降、情報処理技術者の方は読み飛ばして下さって結構です。
迷惑BOTの疑いのあるホスト名またはIPアドレスを以下のwhoisデータベースのサイトで、サーバー情報を取得します。

https://www.cman.jp/network/support/ip.html

実例として、「195.154.188.41」を検索します。
その結果、以下のように当該ネットワークが使用するIPアドレスの範囲が確認出来ます。

inetnum: 195.154.128.0 – 195.154.255.255

これを二進数に展開します。

11000011 10011010 10000000 10000000
11000011 10011010 10000000 10000001
11000011 10011010 10000000 10000010
11000011 10011010 10000000 10000011



11000011 10011010 11111111 11111110
11000011 10011010 11111111 11111111

これで、上位17bitが固定で、下位15bitが可変である事が解ります。
よって、上位17bitを固定するためのサブネットマスクは、以下のように表記出来ます。

11111111 11111111 10000000 00000000

対象IPアドレスに対し、このサブネットマスクと二進数の論理積の演算結果の値が一致すれば、制限IPアドレスという事になります。
このサブネットマスクは、「.htaccess」の中で以下のように記述します。

195.154.0.0/17
または
195.154.0.0/255.255.128.0

未だ全てのBOTを排除していないので、小さなBOTは居ますが、以前よりはかなり静かになった感じがします。
以下は、BOTへのアクセス制限を行った後におけるPerlのアクセス解析プログラムのモニター画面です。

*4月9日 追記
念のため、ログイン画面への総当たり攻撃を防御するためのプラグイン「Jetpack-Protect」も本日有効にしておきました。

*4月17日 追記
不正ログインをチェックするために開発された日本製のプラグイン「Crazy Bone」をインストールしました。

*9月18日 追記
先日、韓国からのDOSアタックやウクライナからのSPAMアタックを受け、サーバがダウンしたため、「.htaccess」を更新しました。以下の記述はその一部です。

なお、robots.txtにおいても、以下のように迷惑BOTからのアクセスを拒否しています。
因みに、SteelerとShim-Crawlerは、東京大学の研究室から来るクローラです。

 

*9月26日 追記
アクセスログの解析から、WordPressのピングバック機能を利用したDDOS攻撃の形跡も確認しましたので、本サイトのピングバック機能を無効に設定しました。
参考記事は、こちら ⇒ 注意喚起:WordPressの機能を悪用したDDoS攻撃対策のお願い

プラグイン「Disable XML-RPC Pingback」をインストールする事でピングバック機能を無効にし、更に、「.htaccess」に以下の定義を追加し、リモート投稿プログラム「xmlrpc.php」へのアクセスも禁止に設定しました。

迷惑BOTを排除

先ほど、このサーバーが突然重くなったので、その原因を調査しました。

そこで、先日、組み込んだperlのアクセス解析プログラムの画面を覗いたところ、
有名なドイツのSPAMロボット「clients.your-server.de」からの攻撃を受けている事が判明しました。

Spam Bot

Spam Bot

早速、Apache の「.htaccess」に以下の行を追加し、当サーバーへのアクセスを拒否しました。

 

なお、yandex.comは、ロシア最大の検索エンジンらしいのですが、このBOTも頻繁に来るので、ちょっと迷惑しています。

その下のkyivstar.netは、whoisで調べてみると、どうやらウクライナのネット企業のようです。 Wikipediaによると、ウクライナ最大のモバイルネットワーク事業者との事。
おそらく、これもBOTと思われます。

その後、中国から短時間に1000件近くの異常なアクセスがあったので、そのIPアドレス(湖北省)もアクセス拒否にしています。

今後、どうするかは未だ決めていませんが、検索系のBOT(GooglebotやBingbotなどのクローラー)は除外とし、それ以外のSPAM系BOTはどんどんサーバーレベルで排除していこうと思います。

光回線で45,000円のキャッシュバック

店舗「ラビリンス」の通信回線は、ADSL回線でしたが、通信業者の勧めで、先日、光回線(So-net 光 with flets-S)に変更する工事を行いました。
ADSLのモデムはレンタルでは無く買い取りなので、光に換えても特に安くなる訳ではありません。
光回線に換えた理由は、この時期に申し込む事で、So-netのキャンペーンが適用され、最大で45,000円のキャッシュバックが貰えるからです。 (^_^;)

回線の変更に伴い、ラビリンスの通信設備も少し拡充させました。
今回は、当店独自で立てたアクセスポイントに加え、NTTが提供する公衆無線LANサービス「光ステーション」の計2台の無線LANルーターを設置し、合計4個のSSIDを用意しました。

*光ステーションとは⇒ https://flets.com/hikaristation/
*FLET’S SPOT アクセスポイント検索⇒ http://www.e-map.ne.jp/p/ntteast/nmap.htm?lat=35.331836111&lon=139.352669444&his=ar

無線LANの暗号方式は、各種端末を考慮し、WPA2-AESとWEPの2種を設定しています。
光ステーションですが、Androidなら無料Wi-Fiへ自動接続できます。当店のアクセスポイントへは、WPSボタンでの簡単接続が可能です。
なお、店内には、通信カラオケ「DAM」の無線LANも設置していますが、VPN方式なので、DAM以外には使えないのが残念です。

ラビリンスのネットワークには、防犯カメラのビデオWebサーバーが接続されているため、今回の工事ではNTTの光ルーターをモデムとして動作させるようにしました。
ビデオWebサーバーは、ハブから2セッション分岐で接続された二つのルーターのうち、PCに接続された方のルーターから、一つのポートを解放しダイナミックDNSによりインターネットからアクセス出来るようにしています。
ご参考のため、当店のネットワーク構成図と関連機器の写真も貼っておきますね。 (^_-)

ネットワーク構成図

ネットワーク構成図

光ステーション

光ステーション

無線LAN

無線LAN

DAM-G100BB

DAM-G100BBシステム

デンモクiD

デンモクiD (無線LAN接続)

ビデオWebサーバー

ビデオWebサーバー

ビデオWebサーバーのクライアント画像

ビデオWebサーバーのクライアント画像