[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:0251] Re:ZAQインターネットユーザからの攻撃?
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:0251] Re:ZAQインターネットユーザからの攻撃?
- From: "Hirokazu Dota Kawashima" <kawasima@xxxxxxxxxxxxxx>
- Date: Fri, 12 Oct 2001 16:06:48 +0900
どた・かわしま@横浜です。
----
Fri, 12 Oct 2001 15:41:30 +0900 (JST)に投稿された
[[connect24h:0249] Re:ZAQインターネットユーザからの攻撃?]にて
HIRAMOTO Koujiさんの記事より引用
----
> うちでの例ですが、ある国内のダイヤルアップユーザとおぼしき逆引き
>FQDN を持つ所から port 137 あたりを何度かつついた形跡がありました。
>で、その時は多分暇だったんでしょうけど(笑)、うちの Webサーバのアク
>セスログを突き合わせてみると、ごく普通にうちのコンテンツを辿ってい
>るのと同じタイミングで port 137 がつつかれていました。
なるほど。こういう例もあるんですね。
この例の場合は、WWWサーバと、137をつつかれたホストは同一ですか?
うちの例の場合は、137番単独アクセスでサーバ機能は殺してあるはず
なので、これは適用できないですか?
>おそらくホスト名あたりの確認のために、
>SMB (NetBIOS) のパケットが漏れてるんだと推測しています。
(^^;)確かに・・・いまだにnetbiosはなんでこのタイミングで吹くねんと
いいたいときあります。というより、windowsシリーズが意味不明な
パケットいっぱい撒いて、困ることが多いです。
(この間はWinMEが239.xx.xx.xxのアドレスを吹いていて、ダイヤルアップ
ルータが起きてまうし)
> ポートフィルタリングはちゃんと設定してるつもりなので、よほど悪質
>なものでない限りは無視することにしています。もちろんログはちゃんと
>残していますが。
tiny personal firewallをデフォルトで使っていたらログ残ってなくて
ショックでした・・・(^^;) #一回適用ボタンを押せばいいみたいですね
>・某プロバイダA社のユーザの IPアドレスからポートスキャンを受けたの
> で、調べてくれってサポートにいったら、証拠のログ送ってくれってい
> われたので、細大漏らさず送ったけど、その後何の音沙汰もなし。(こ
> ちらからは催促などはしてませんが)
今zaqの担当者と少し電話で話をしまして
(って仕事しないでこんなことしていいんだろうか)
やっぱりログログというんですよ。まぁ証拠なんでしょうが、この間は、
tiny personalのアラームのあがっている画面イメージを送ったら、
「ログがほしい」といわれ・・・
1,[12/Oct/2001 15:56:54] Rule 'Packet to unopened port received': : In UDP, hoge
[aaa.bbb.ccc.ddd:2301]->localhost:2301, Owner: No owner
画面に出ている情報とログにかかれる情報って何ら変わらないとは思うんだけど・・
#たとえば、IPパケットのTTLとかそういう情報があるならまだしも・・・
でわでわ
----
Hirokazu Dota Kawashima
E-mail:kawasima@xxxxxxxxxxxxxx
--[PR]------------------------------------------------------------------
【FreeMLからのお知らせ】
ユーザー登録すると、MyPageっていうとっても便利なページが使えるように
なります。
例えば、MLの過去ログが見られたり、アドレス変更も簡単に行えます。
http://www.freeml.com/reg_member1.php
------------------------------------------------------------------[PR]--