FreeNAS 9.2.1.8 アップデート情報

2014/9/29にFreeNAS 9.2.1.8へアップデートしました。
更新内容を見る限り、以前トラブルになったsamba関係はまだ対応されていないようです。

Bug #5751: AFP: unable to create folders after upgrade to 9.2.1.6
Bug #5808: Corrupted freenas filesystem
Bug #5820: Using the NONE cipher causes replication to erroneously report failure
Bug #5839: Need to break Windows and Mac sharing types apart
Bug #5897: Setting Active Directory User Permissions
Bug #5906: After permanently changing jails hostname, the PBI control server does not get started anymore.
Bug #5909: ahci.c does not list Marvell 88SS9183 flash memory controller
Bug #5919: Emulex driver version 10.0.664.0 causes Freenas to hang, update driver to 10.0.747.0
Bug #5927: Can’t change permissions on volumes when Active Directory integration is enabled
Bug #5983: LDAP connection assumes ldaps when using start_tls
Bug #6024: 32 bit buildworld failures
Bug #6026: 9.2.1-BRANCH has build issues
Bug #6043: CTL generation script may have stuff in it that depends on master database schema that can’t be backported
Bug #6052: Proposed patch to address a problem with autorepl.py
Bug #6067: Upgrading to FreeNAS 9.2.1.7 causes bad SSL cert creation
Bug #6089: Merge ZFS unmap improvements to TrueOS 9.2.1-BRANCH
Bug #6154: CIFS share with Unicode character: service won’t start
Bug #6199: Patch various bash vulnerabilities
Bug #6237: AD Service not working – AD Directory Services Control missing from webgui after GUI upgrade
Feature #5570: add some values to ctl.conf

ロードマップを見ると9.2.1.9も近いうちリリースされそうです。
Bug #6154: CIFS share with Unicode character: service won’t start
このバグで日本語のディレクトリ名を共有できませんでしたが、今回できるようになりました。(確認済み)

WordPressのxmlrpc.phpへの攻撃について

いつもよりもWordpressが遅くてどうしたんだろう…
と思い、サーバの通信を確認した。

# netstat -n
稼働中のインターネット接続 (w/oサーバ)
Proto 受信-Q 送信-Q 内部アドレス            外部アドレス            状態
tcp        0      0 XXX.XXX.XXX.XXX:15151  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15152  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15153  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15154  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15155  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15156  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15157  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15158  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15159  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61721     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61722     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61723     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61724     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61725     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61726     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61727     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61728     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61729     TIME_WAIT

なぜか同じIPアドレスが80ポートへ大量にアクセスしている。
それもどこかを経由しているような漢字がします。
80番ポートにアクセスしているのはわかるので、Webサーバのログを確認した。

142.0.44.50 - - [05/Oct/2014:07:35:16 +0900] "POST /xmlrpc.php HTTP/1.0" 200 595 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
142.0.44.50 - - [05/Oct/2014:07:35:23 +0900] "POST /xmlrpc.php HTTP/1.0" 200 595 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
142.0.44.50 - - [05/Oct/2014:07:35:35 +0900] "POST /xmlrpc.php HTTP/1.0" 200 595 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
142.0.44.50 - - [05/Oct/2014:07:35:46 +0900] "POST /xmlrpc.php HTTP/1.0" 200 595 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
142.0.44.50 - - [05/Oct/2014:07:35:57 +0900] "POST /xmlrpc.php HTTP/1.0" 200 595 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

xmlrpc.phpにアクセスしていることが判った。インターネットで”Wordpress xmlrpc.php”を検索すると、DoSの踏み台やPingbackなどいろいろなことに利用されてしまうようです。

xmlrpc.phpをリネームしてとりあえず、再起動しました。
それからは遅くもなくなりました。
Wordpressを使用する場合は、注意が必要です。

FreeNASのCHECKSUMをクリアする

朝気が付くと黄色点滅している。
クリックしてみると以下のメッセージが表示されている。

The volume hokuyo (ZFS) status is ONLINE: One or more devices has experienced an unrecoverable error. An attempt was made to correct the error. Applications are unaffected.Determine if the device needs to be replaced, and clear the errors using 'zpool clear' or replace the device with 'zpool replace'.

以前HDD故障してリプレースした後にクリアしていなかったのが原因です。

# zpool clear XXXXX

これで正常になりました。