ポートスキャン楽しいですか？報告会

ポートスキャンってピンポンダッシュを思い出す。
あまり、人の家を勝手に訪問しないように。

今日の訪問者
Name: pool0078.cvx4-bradley.dialup.earthlink.net
Address: 209.178.146.78
ca-us.earthlink.net

PING打ち返しまくるのは有りですか？（笑）

nat.kumin.ne.jp
手当たり次第にスキャン。

ppp35-26.sala.or.jp
同じく。

>1,2
こいつらのやってる事が犯罪ではないってのが
一番問題だよね

あら？スキャンもダメになったんでは？

>3
適当に電話番号押して、１回ベルなったら切るというはアリ？
個人宅に来る必要はないでしょう。
少なくともトラフィックの増加に繋がるわけだし。
善にも悪にも使われる拳銃を、何も考えずに使わないで欲しいのよ。

Name: user2230.lv.sprint-hsd.net
Address: 208.13.137.21

＞4
ポートスキャンは、現在違法じゃないらしいよ。
ポートスキャンっていうのは、例えば、
泥棒が、玄関のドアや窓を鍵が掛かってないかチェックするのと一緒で、
この段階までは犯罪とはならないってさ。
（週間アスキーに載ってた）

Port 9704をピンポンダッシュされてしまいました。

ログみたら、UDPで60回ぐらい来訪がありました。
誰か我が家へのルートを知りたかったのかな。

さっきPort111をピンポンダッシュされちゃったし。
居留守気分で結構楽しんでます。

The firewall has blocked Internet access to your computer
(Telnet) from 198.79.30.20 (TCP Port 3133).
Time: 08/23/00 23:41:18

The firewall has blocked Internet access to your computer
(IMAP4) from 198.79.30.20 (TCP Port 2114).
Time: 08/23/00 23:41:24

なんですか、これは？

NATIONAL COALITION OF ADULT WEBMASTERS, INCさんが
いらっしゃってるようで。何しにきているのやら。

>9さん
レスありがとうございます。

また来た…。
ADULT　WEBMASTERか。
もしかして、俺のエロ画像コレクションが狙われているのか（笑）

IP:210.170.14.53
NetBIOS:STAFF
MAC:009099171110
DNS:u6053seaple.icc.ne.jp
って、お前スタッフかよ・・

プロバじゃ、月数千件（いや、もっと桁が上かな？）あるらしいっす。ポートスキャン

もしかして、手遅れ？

Outlook Expressを立ち上げると、縁もゆかりも無い所に
繋がる。メールチェックしているのは自分の所のプロバイダ
のアカウントのみ。
しかし、繋がるのは自分のプロバのPOPサーバと、見知らぬ所（笑）。
一体君は誰？

いちいちポートスキャンごときに文句つけるのも
かったるいから放置してるけど、本当に多いな。
明確なスキャンだけでも相当な数だよ。

NAME:40EC6535.ipt.aol.com
finger,telnet,ftpの３つにしつこくしつこく何度も。

pingはピンポンダッシュだけど
ftpやらtelnetはドアのところでガチャガチャと
いろんなカギつっこんで開けようとしている感じ。

> Outlook Expressを立ち上げると、縁もゆかりも無い所に繋がる。
ぉぃぉぃ(^-^;。なおそうよぉ。

ポートスキャンされているってどうやればわかるんですか??

ポートスキャンも不正アクセス？

http://www.mainichi.co.jp/digital/netfile/archive/200007/17-1.html

でも、そのポートのサービスが使えるのか試すのもだめになるんだったら
ネットワークやっていけないよ。

IP:192.5.41.209
DNS:ntp2.usno.navy.mil
これっって・・
milってmilitaryのことかな・・

> ntp2.usno.navy.mil
このマシンがすでに誰かにやられているってことですか？

IP: 193.82.116.168
Node: CONGA
Group: STEPSTONE
NetBIOS: PETEH
MAC: 00D0B718A618
DNS: CONGA
2000-08-25 17:35:33, TCP port probe, CONGA,

IP: 195.61.64.37
DNS: galileu.global-one.pt
2000-08-25 17:23:19, HTTP port probe, galileu.global-one.pt
2000-08-25 17:15:40, UDP port probe, galileu.global-one.pt
2000-08-25 16:49:01, UDP port probe, galileu.global-one.pt
2000-08-25 16:47:43, HTTP port probe, galileu.global-one.pt

21最高（笑）

ntp2.usno.navy.mil (192.5.41.20)
Location: U.S. Naval Observatory, Washington, DC
Geographic Coordinates: 77 03 57.7W 38 55 14.1N WGS84
Synchronization: NTP V3 primary (USNO Master Clocks 1,2, and GPS)
Service area: USA Eastern timezone, others by arrangement
Access Policy: open access for stratum 2 servers
Contact: Rich Schmidt, US Naval Observatory ([email protected])

なんだ、特に問題なさそうだ・・
俺、アホだ(ﾜﾗ

The firewall has blocked Internet access to your computer
(TCP Port 111) from 212.19.202.53 (TCP Port 2931).
Time: 00/08/26 1:04:36

(TCP Port 111) from 211.37.9.53 (TCP Port 2721).
Time: 00/08/26 4:54:32

流れ星を見るような気分

The firewall has blocked Internet access to your computer (TCP Port 27374)
from 199.174.185.195 (TCP Port 3096).
user-33qtee3.dialup.mindspring.com

すいません、教えてください。
どうすれば上のような事が起きるのでしょうか？
普通にネットサーフしてて、知らないうちに他人のIPに
アクセスするというのはあるのでしょうか？
（トロイとか、踏み台にされるとか無しで）

The firewall has blocked Internet access to your computer
(NetBIOS Session) from 211.19.90.105 (TCP Port 2518).

Time: 00/08/26 11:42:56

これってやっぱり悪意があるんでしょうか?

くそー今集中砲火浴びてます(T_T)

The firewall has blocked Internet access to your computer (TCP Port 1400) from 211.2.253.211 (HTTP).

Time: 00/08/26 13:26:18
ネット繋いだ途端…こいつ何者？

すげーむかつく

The firewall has blocked Internet access to your computer (TCP Port 1481) from 211.2.253.208 (HTTP).

Time: 00/08/26 13:31:56

The firewall has blocked Internet access to your computer (TCP Port 1546) from 211.2.253.225 (HTTP).

Time: 00/08/26 13:32:22

The firewall has blocked Internet access to your computer (TCP Port 1547) from 211.2.253.209 (HTTP).

Time: 00/08/26 13:32:24

OCN経由なんだけど何やってんだろうねえ。謎。

３０～３４
ZoneAlarmのLogで
FWINって出てるんだけど13:07:26～13:32:24まで
３２０回もやられた。

dns.elimedia.com.tw (211.75.33.42)
台湾からようこそ（笑）

とりあえず、access to your computerならば
がんがん無視にしてしまうしかないんですよね?
普通のダイアルアップのときは、ルーターだと
ポートをふさげるのかな。
が、でていくパケットを止めるのはなかなか難しかった。

こういうソフト作ったら需要有る？

「報復君１号」
ポート監視＋αのソフトです。
すべてのポートを監視し、管理者の望まないアクセスが有った場合
そのログを記録し、直ちにあらゆる方法で捜査および報復を試みます。
オンライン接続されている「報復君」は相互に連絡を取り合い、
被害にあった「報復君」の連絡が有ると、すべての「報復君」が戦線参加します。
その潜在的な攻撃力は「核爆弾」と同様に効果的な「抑止力」をもたらします。

>>39
ピンポンになるぞ。

にゅーろまんさーっぽく「あいす君」にしようよ(^-^;

# あ、でも侵入者の脳波をフラットにするくらい攻撃しないとダメか。

>40
「報復君」同士は「同盟関係」を結んでおり、相互攻撃しないようにしよう (＾＾;)

なんかうまく働かなくて自爆の嵐だったら、うける。

つーか、ソースアドレス偽造されたパケット送られたら
もろDDoSの踏み台じゃん

パケットのソース偽造などをやらなくとも
「俺は AAA.BBB.CCC.DDD だ！
WWW.XXX.YYY.ZZZ から攻撃されてる！助けてくれ！」
ってウソの被害報告で他の報復君を煽ったら
簡単にDDoSが成立しちゃうね。

報復は犯罪だと思うのですが…
一般のスキルのない人も有る人も公的機関に任せるのが筋だと思います。
ログは何処かに提出した方が良いのでしょうか？

わらえるね。バカ丸出し＞成系？大学。
逝ってよし、ダナ。
ポートスキャンがいつ犯罪になったんだよ。
まったく。

まあ、おれも、日夜やられててウザいけどね・・・・。

犯罪とは書いてないね。
ウザイから、大阪大学に文句を言っただけだろう。
これが、新聞の記事になるところがおもしろいね。

自社のサーバーにポートスキャンかけて
解雇処分になった奴もいるけどな。

他所様のサーバにポートスキャンかけるのは
ネチケット違反でなかったのかい？

ネチケット？
んなもんは初めて２ちゃんに書きこんだときに捨てたよ(ﾜﾗ

tokyo-tc011-p101.alpha-net.ne.jp

1番から総当たり
しつこいっての。

test123 フフフフ

アースリンクって俺のプロバイダーやないか！相手はロサンジェルス
に住んでるぽいぞ。簡単に特定できそうだけど、どうなの？

BlackICEっていうソフトは使っている人居ます？
東陽テクニカ
http://www.toyo.co.jp/
不正侵入防衛システム BlackICE
http://www.toyo.co.jp/security/index.html
使ってはいるんですけど、どうなんでしょうか？

使ってるよ。VECTORから落としてね。
お金は払ってません？？？

うちはＣＡＴＶだけど、ひどい時は１時間に一回、
ポートスキャンかけられてるよ。
見た目では、防いでくれてるみたい。
動作も軽いし、ＬＯＧは詳しく出るし
いいと思うよ。

2000-09-05 20:55:51, Back Orifice ping, mfs-pci-bqg-vty62.as.wcom.net, 2

＞56
お返事どうもありがとです。
ほかの人の評価が聞きたかったので。
どもどもです。

SYN stealth scan を検出してくれるのは面白いかも。
ただ、アタックの説明は必ずしも全部正しいわけじゃない。

所詮、６５００円／１ライセンス　程度のシロモノ。
Windows でしか動かないし。

本気で防ぎたいんなら FW-1 でも入れとけや（藁

体験番と製品版何が違うの？

けど、それ入れたけど、入れたwinから
pingを打つだけでecho reply without requestとか
言う警告が鳴るんだけども。
ヤッホーにpingしたら、侵入者www125.yahoo.co.jpだって…

どうもこのところ同じプロバイダの人が
NetBIOS Session試してくるなぁ。うちのPC見たがってるのか?

FW-1って何スカ？
説明きぼーん

これか
http://www.checkpoint.co.jp/products/firewall-1/

Rule "Implicit block rule" blocked (socks). Details:
Inbound TCP connection
Local address,service is (socks)
Remote address,service is (38.26.109.196,3029)

ＦＷ－１は高いな～とても買えないね。

Local address,service is (10080)
Remote address,service is (213.154.192.186,2907)

ありとあらゆるポートにありがとう。ﾊｧ

Rule "デフォルトの Back Orifice 2000 の拒否" blocked (Back-Orifice). Details:
Inbound UDP packet
Local address,service is (Back-Orifice)
Remote address,service is (212.211.4.62,2010)

これはちょっと深刻だな。

ところでＷＩＮＷＲＡＰＰＥＲの評価ってどうでしょうか？
これは設定の行いやすさから、私のような新米には使い勝手が
よいのですが、機能的に欠陥があるのかどうか心配です。

ありとあらゆる６４にありがとう。ﾊｧ

ポートスキャンごときでガタガタ言うおまえらって馬鹿？

>>70
こんばんわ、ウジムシ。氏ね。

>>70
がたがたいってるわけじゃないよ。
うざいなと思いつつも、警察が動いてくれるわけじゃないから
しゃーないからこういうスレで愚痴たれてんじゃん。
そもそもお前みたいな脳味噌プリンがポートスキャンしてなにするわけ？

ポ、、ポートスキャンってなんなんだ、、、

ふむ。

ぢゃ君は、脳みそウレタンだね（藁
脳みそウレタンぢゃ何もわからなくて怖いよね～。

>>75
あらら、一匹釣れちゃった。まあいいや。

もう一度聞こう
"お前みたいな脳味噌プリンがポートスキャンしてなにするわけ？"
答えられるもんならいってみな。

お前やその同類の脳浮腫厨房の存在が、平和な町に鍵の必要性を
認識させ、法律を強化させる原因になるんだよ。
”罰則がなければ何でもやっていい”と思っているうちは
頭の中身が２０歳未満だよ。
檻に入れられ、ぶたれなければわからないんじゃ動物と一緒。

>>76
痛いなおまえ。もっと気の効いた事を書けよ。

ポートスキャンも知らない俺のほうが痛い。
誰か教えて。

釣られたのは75のほうだったりしてな（ｗ

↑まちがえた75じゃなくて76ね。

釣られたというか煽られてますね、76 のひと。
多分 70 はほっといて淡々とポートスキャン報告会を続けるのがいい気がする。

>57
うちにもいらっしゃいました。たぶん同一人物だろコイツ。
2000-09-09 19:43:56, Back Orifice ping,
IP: 195.232.122.19
DNS: lon-qbu-bsh-vty19.as.wcom.net

>>81
「釣れた」という言葉で真性厨房を
過敏反応させてしまったみたいで申し訳ない。
ポートスキャンの目的も説明できないとは(;´Д`)
職業厨房かな。

BlackICE入れて２日目でポートスキャンされました。
202.98.70.18
なにやらムカツク(`Д´)ノ

100-80
危険イベント: これは、システムに対し、データの破壊やシステムの
クラッシュを意図した故意のアタックが行われたことを示します。
80-40
重要イベント: これは、システム上の情報に故意にアクセスしようとしたが、
直接には何も破壊していないことを示します。
重要イベントは、適用可能な場合に防御措置を呼び出すことができます。
40-20
注意イベント: これは、今すぐ脅威となるようなネットワーク・アクティビティでは
ないが、システムにセキュリティ上の弱点がないか探そうとしている者がいる
可能性があることを示します。
例えば、ハッカーはアタックを行う前に、システム上にある使用可能なポートや
サービスをスキャンすることがよくあります。
注意イベントの場合、防御措置は呼び出されません。すべての注意イベントが
本来のアタック行為を示しているわけではありません。
20-0
通知イベント: これは、脅威ではないが、注意しておく必要のある
ネットワーク・イベントがコンピュータ上に発生したことを示します。
通知イベントの場合、防御措置は呼び出されません。

Copyright 1999, Network ICE Corporation

黄身わなんか初々しいな
はぢめて２ちゃんねる来た頃を思い出すよ

>>83
あんた、だいぶ病んでるねえ。
あまり「厨房」って言葉を意識しないほうがいいよ。
聞いてて痛いから。

Inbound TCP connection
Local address,service is (Backdoor-g-1)
Remote address,service is (210.71.213.12,3324)

Inbound TCP connection
Local address,service is (98)
Remote address,service is (129.81.170.37,2653)

なんか９８番っていうのが珍しいからアゲェ

98ってなに？ BSDの/etc/servicesにはTACNEWSって書いてあるけど
なんだろう……。

>>86-87
あはは。
お前らのせりふをよんでいると、以前に串系の掲示板で
鍋島氏が暴れていた頃を思い出すな。まさに厨房と蔑まれるに
ふさわしい奴らがうようよしてたよ。そんなおまえらに
「職業厨房」の肩書きをあげるから、気に入ったら使ってくれ。

"お前みたいな脳味噌プリンがポートスキャンしてなにするわけ？"

質問いいすっかね？
>>88-89 は、だいたい0.5秒刻みで他に１０ポートぐらい
スキャンして逝かれたみたいですが、攻撃元ＩＰがバラバラでした。
２１番から８０８０番まで順序よく？スキャンしてるので同一人物で
あることには間違い無いと思うのですが、なかなか巧妙で手口が
私にはわかりませんでした。
こんな便利なツールってありましたっけ？

ランダムでプロキシ変えてるだけだろ。

こういうポートスキャンを検出するソフトってあるんですか？
できればフリーで．．．

source addressを偽装するport scannerってのはザラにある.
こいつを使えば自分のIP addressをlogの海に沈めることも,
赤の他人にport scanningの汚名を着せることも簡単にできる.
「報復君」のideaが頓挫したのもこれが理由.

結局, source addressだけじゃ大した証拠にもならないんで,
せめてここで晒し者にしてやろうってのがこのthreadの趣旨のはず.

晒してねーやん。

何を？

普通、sourceが不正なパケットは自分ところのネットワークから
外に出ていかないようにするんだけどね。
あと、相手先も同様で、外から受け取るはずのパケットのソースが
自ネットワークからだったりするとたたき落とすようにするんだけども。

>99
あらゆるネットワークの管理者が真面目にそういう対応をしてくれれば
IPスプーフィング胸囲^H^H脅威は無くなるのにね。

「IPスプーフィング」のあとに「の」が抜けてるのか?
つーか「(誤変換)^H*n」てゆー表現、寒い。

Unix系の雑誌でクズ記事^H^H^H^Hよもやま話書いてるライターにありがちな表現だな。

それを言っては自信満々の96が可愛そうでちゅ。
とても可哀想なので、僕チンが96君を上位厨房に認定してあげまちゅ。
気を取り直すでちゅ。>>96

┌────────────────────────┐
│　　　　(￣￣).　　　　　　　　　　　　　　　　　　　　　　　 │
│　　　　）　（.　　　　　ダ　メ　ス　レ　認　定　証.　.　　　　　│
│　　　／ 2ch ＼..　　　　　　　　　　　　　　　　　　　　　　　　 │
│　　　|　ΛΛ　 |／￣￣￣￣￣＼.　認定番号. 第５５３２号.│
│　　　|　( ﾟДﾟ)＜　ダメだこりゃ！ |.. 　　　　　　　　　　　　　 │
│　　　＼＿＿／＼＿＿＿＿＿／....　　　　　　　　　　　　　　│
│..　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　│
│ 　このスレが.２cｈ.ダメスレ審査委員会.の定める認定　　│
│　　基準.（第5項.）を満たしていることを.ここに証する。.　　│
│..　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 │
│　　平成１２年９月.　　　　２ｃｈ.　ダメスレ.審査委員会　　　│
│　　　　　　　　　　　　理事長.　ひろゆき＠管直人　 │
│　　　　　　　　　　　　　認定委員.　名無しさん.. 　　　　　 │
└────────────────────────┘
　■ ダメスレ認定を受けたスレッドではsageで発言、
　　　あるいは放置してください。　　 …　ひろゆき＠管直人より

祝レッドゾーン
2000-09-20 20:08:33 ICMP flood 146.188.232.98

皆さんのところ、こういうの来てない？
Sep 20 18:05:05 210.172.128.20:80 -> XXX.XXX.XXX.XXX:2415 UNKNOWN 2*S***A* RESERVEDBITS
Sep 20 18:05:24 210.172.128.20:80 -> XXX.XXX.XXX.XXX:2441 UNKNOWN 2*S***A* RESERVEDBITS
Sep 20 19:31:45 210.172.128.20:80 -> XXX.XXX.XXX.XXX:3813 UNKNOWN 2*S***A* RESERVEDBITS
Sep 20 23:03:56 210.157.27.68:1096 -> XXX.XXX.XXX.XXX:8001 SYN **S*****
Sep 20 23:03:59 210.157.27.68:1098 -> XXX.XXX.XXX.XXX:8000 SYN **S*****
Sep 20 23:04:01 210.157.27.68:1099 -> XXX.XXX.XXX.XXX:3128 SYN **S*****
Sep 20 23:04:03 210.157.27.68:1100 -> XXX.XXX.XXX.XXX:3121 SYN **S*****
Sep 20 23:04:03 210.157.27.68:1101 -> XXX.XXX.XXX.XXX:1080 SYN **S*****
Sep 20 23:04:06 210.157.27.68:1102 -> XXX.XXX.XXX.XXX:80 SYN **S*****
Sep 21 17:58:25 210.172.128.20:80 -> XXX.XXX.XXX.XXX:3724 UNKNOWN 2*S***A* RESERVEDBITS
Sep 21 18:01:28 210.172.128.20:80 -> XXX.XXX.XXX.XXX:3763 UNKNOWN 2*S***A* RESERVEDBITS
Sep 21 23:03:08 210.157.27.81:1062 -> XXX.XXX.XXX.XXX:10080 SYN **S*****
Sep 21 23:03:08 210.157.27.81:1063 -> XXX.XXX.XXX.XXX:8080 SYN **S*****
Sep 21 23:03:10 210.157.27.81:1064 -> XXX.XXX.XXX.XXX:8001 SYN **S*****
Sep 21 23:03:12 210.157.27.81:1065 -> XXX.XXX.XXX.XXX:8000 SYN **S*****
Sep 21 23:03:14 210.157.27.81:1066 -> XXX.XXX.XXX.XXX:3128 SYN **S*****
Sep 21 23:03:16 210.157.27.81:1067 -> XXX.XXX.XXX.XXX:3121 SYN **S*****
Sep 21 23:03:16 210.157.27.81:1068 -> XXX.XXX.XXX.XXX:1080 SYN **S*****
Sep 21 23:03:17 210.157.27.81:1069 -> XXX.XXX.XXX.XXX:80 SYN **S*****
Sep 21 23:03:18 210.157.27.81:1069 -> XXX.XXX.XXX.XXX:80 SYN **S*****
Sep 22 00:09:30 210.172.128.20:80 -> XXX.XXX.XXX.XXX:4818 UNKNOWN 2*S***A* RESERVEDBITS
Sep 22 00:09:30 210.172.128.20:80 -> XXX.XXX.XXX.XXX:4819 UNKNOWN 2*S***A* RESERVEDBITS

ネットワーク境界でのフィルタリング：
IP ソースアドレスを偽ったサービス妨害攻撃をくじく
http://www.ipa.go.jp/security/rfc/RFC2827JA.html

フリーでこういうの検知できるいいソフトないっすかね～

WinWrapper、ZoneAlarm、blackICE
…ってどれもフリーじゃないや（藁

会社で使いたいってこと？
フリーのZoneAlarmは使っているけど。

BlackICE入れたら一晩で五人もスキャンしてくださりました。
しかもみんな私の使ってるプロバイダの人たちみたい。
サポートに連絡したら注意してくれたりするのかなぁ？？

BlackICEってWin2kで問題なく動いてる？

>112
動いてます。2.1cnJね

NortonのPersonalFierwallってどう？
10月に新しいやつでるみたいだけど。

2.1cnJ？

2.1ckJとか2.1clJじゃなくてnってバージョンもあるのかな？
体験版の2.1ckJってのを入れてるんだけど、
アタックFilter failed　侵入者0.0.0.0
ってメッセージしか出ないっす。
[通知]ファイアウォールフィルタが設定できませんでした
という通知も出てる。

うちも設定を変更するたびに
0.0.0.0が侵入者リストに出てきました。
うざいから、信頼できるIPに登録しました。
他は正常に動作しています。

ftpに行ってみれ。

ftp://ftp.toyo.co.jp/pub/blackice/defender21CNJ/

たしかにあったけど…これってどこからリンクされてるの？
持っていって平気なのか？？

そう思うのなら直リンするのよせ。見つけたら自分一人こっそり
落として使えばいいだろ。わざわざアドレスのっけるなよ。
Anonymous FTPなんだしあそこのHPからリンクされてる
所だからな。まぁいいんじゃないか。

RELEASE 2.1.cnJ (このリリース)
. 不具合: Windows 2000 SP1 で、BlackICE が "filter failed"
イベントを報告する.
ステータス: 修正

だって。めでたしめでたし。

すいませんよく分からないのですが

IP: 211.0.41.165
Node: KABU
Group: PEAR39.COM
MAC: 00402659617C
DNS: kabu.pear30.com

IP: 211.0.237.110
Node: THINKPAD
Group: メルコ
MAC: 444553540000
DNS: p110-dna10aobadori.miyagi.ocn.ne.jp

この2人がなんかしてるみたいなんです。
BlackICEでは
Net BIOS port probe
とでてます。
これは具体的に何をしてるんでしょうか？

http://tako.2ch.net/test/read.cgi?bbs=osaka&key=961896397&ls=50
って事じゃないのかな。

＞122

ありがとう
とりあえず害はなさそうだ

だれかWin95でポートの閉じ方教えて(泣)

211.7.223.129(n01-129.ip-tokyo.highway.ne.jp)
9/23 午後5時半頃
うちの全ホストに対し port 8080 を絨毯爆撃

そんなに proxy が欲しいか?

2000-09-25 17:43:20
NetBIOS port probe (port=139)
IP: 210.150.11.241
Node: VAIO-KOKABU
Group: JHQ
NetBIOS: KOKABU
MAC: 00600888CC4E

KOKABUってなんだろう

>127
トランスコスモス（株）の管理者あたりに
[email protected]ってやつがいるんだろうな（わら

トランスコスモスかい…

2000-09-26 18:17:01
NetBIOS port probe (port=139)
IP: 210.149.243.38
Node: MAACAH
Group: FUCHINOBE-SKK10
MAC: 444553540000
DNS: h038.p499.iij4u.or.jp

この場合は172.16.1xx.xxは，なにをしようとしているの？
1080と2426……

The firewall has blocked Internet access to your computer (NetBIOS
Session) from 172.16.1xx.xx (TCP Port 1080).
あと
(TCP Port 2426).

MACアドレスというのは偽装できるんですか？

同じプロバイダ使っている奴から（複数）ポートスキャンかけられるので
プロバイダにログと一緒に苦情メール送っておいた。約款に
基づき対処してくれるそうだ。

同一プロバイダ内からのNetBIOS port probeが多いのですが
これってその「侵入者」が、意図してやってるのではなく
Windowsの設定でNetBIOS over TCP/IPを切らずに
そのまま使っちゃってるってことですかね??　それともやっぱり意図的なんだろうか?
いちおうルータでPort137～139は出さないように(Over TCPつかってませんが)
入らないようにしてあるつもりなのですが、それでも警告されます。

WIN98で、ポート137～139の潰し方教えていただけませんか？
Service ファイルのところコメントにしてみたけどだめなんですよね・・・
なんか最近なんにもしてないのにモデムランプ点滅しっぱなしなので不安で・・・
これはまた別と思いますけど

>>132
できます。簡単です。

>>134
宛先アドレスが classful な broadcast なら、意図せずに漏れている
ものと思われます。

>>135
TCP/IP のプロパティで「NetBIOS を利用する」とかチェックボックスが
あったと思います（最近使ってないので記憶が曖昧）。それを外せば
NBT が無効になるはずです。

>136
IPアドレスやMACアドレスの偽装やその見破り方ってのは、
どのようなものを読んだら良いでしょうか？

それって、Trojan仕込まれてるだけじゃないの？

>>137
IP Address の偽装は、普段から arpwatch とかで IP Address と MAC Address の
対応関係を把握していればある程度は検出できると思います（DHCP な環境だと
ほぼ不可能ですが）。

MAC Address の偽装の検出は、過去にも議論になりましたが、ほぼ不可能という
結論で一致しています。

なるほど。
では、IPアドレスやMACアドレスの偽装ってどういうメリットがあるんでしょうか？
あくまでﾊｸ関係のため？
と同時に、偽装したらパケットの受信はできなくなるんでしょうか？

意図的じゃなく同プロバイダの他のユーザーにつなぎに行くということは
ありうるの？？

>>140
偽装する目的の多くは、セキュリティの回避でしょう。
IP/MAC Address でアクセス制限をしているのをごまかすといった感じです。
あとは意図的に既存のものと重複する IP/MAC Address を利用して、
ネットワークを混乱に陥れるとか（似せ ARP 攻撃は古典的ながら対処法が
ないということで、管理者の頭痛の種になっています）。

>Fiveさん
なぜかチェックついたままディスエーブルになってて
クリックでけへんのです・・・
>138さん
ううう再インストールしてみます・・・

ありがとうございました。

NetBEUI か IPX 入れてみましょう。

プライベートIPアドレスでDNSに問い合わせてくるアホが
腐るほどいます。これってどこにも文句が言えない最高
（低）なDOS攻撃と言える。
＃もちろんルータで止めておくけど。

ウイルスバスター２００１のパッケージの
パーソナルファイアウオールの項に”ハッカーの進入を防ぐ”
って書かれているのをみて大笑いしてしまった。
”進入って何よ？（ﾜﾗ”って感じ。
いつの時代も厨房狙った商売は大繁盛だね。
あ～ハッカーの進入怖いなあ(ﾜﾗ

＞＞136　こんにちは
私はBlackICEを入れていますがなんとポートスキャンしてきた相手の
マックアドレスが私のパソコンのとまったくいっしょだったのでビックリです。
これってほかっておいても良いのですかねー　チョット心配

>135さん
まずいちど「TCP/IP」の名がついているネットワークコンポーネントの
「バインド」で「Microsoftネットワーククライアント」や
「Microsoftネットワーク共有サービス」などのチェックボックスをはずしてください。
その後、プロパティウィンドの下にある「OK」を押すと
「バインドするドライバが選ばれてません。選択しますか？」と怒られますが
「はい」を選択してください。
(ダイアルアップアダプタやノートで複数のNIC使い分けてる場合は複数あるけど、
とりあえずそれ全部同じように)
TCP/IPそれを全部はずすと(ふつうは１つしかないかも、)
その後「TCP/IPのプロバティ内NetBIOSのタブでTCP/IP上で、NetBIOSを使用可能にする」を
指定解除することができるようになるとおもいます。

補足
その後、共有サービス使いたい場合などは
ネットワークコンポーネントに「NetBEUI」を追加して
そっちに共有のバインドを振り分けてください。
もちろん、共有させたい別のマシンのほうも同じような設定で
NetBEUI入れてください。

>147
BlackICEのバグで自分自身を攻撃者と勘違いするというが
あったと思うけど、それじゃないかな？　調べてごらん。

>150 こんにちは
readme.txtに
>ただし、ある特定の条件下で、BlackICE は自分自身のコンピュータを侵入者
>として検出する恐れがあります.
とありますがIPアドレスもDNSも私とまったく関係がないところです。
実害がない限りはそのままほかっておくしかないのかなー

ほかのポートスキャン20件ぐらいはみんな別のMACアドレスでした。

arena.ne.jpのIPからSOCKS port probeが11回ほど。
なんであんな大手ホスティング会社からくるんだろう?
infosphereなら納得いくんだけどね。
その前後に見ていたwebもarena.ne.jpに関係ありそうなトコないんだけど……。
和geo,impress,ISIZEも使ってない。

地理的にはarenaのサーバセンターから近いのですが、そんなの関係ないしねえ

ポートスキャンされてます。
相手は某総合大学の一研究室内ワークステーションであることが分かったのですが、何か警告を与える、あるいは懲らしめてやる方法はありまえんでしょうか？

>>153
とりあえずpostmasterに警告しとくだけでいいのでは

The firewall has blocked Internet access to your computer (NetBIOS Session) from 210.230.95.151 (TCP Port 1074).
Time: 00/10/03 23:39:14

The firewall has blocked Internet access to your computer (NetBIOS Name) from 210.91.180.211 (NetBIOS Name).
Occurred: 2 times between 00/10/03 23:40:20 and 00/10/03 23:43:20

The firewall has blocked Internet access to your computer (NetBIOS Session) from 210.230.95.195 (TCP Port 1244).
Time: 00/10/03 23:57:26

The firewall has blocked Internet access to your computer (NetBIOS Session) from 210.230.102.211 (TCP Port 1844).
Time: 00/10/04 0:19:38

>154
うちの大学でそれやられると
やった学生が飛びます（笑

>153
それ、飛ばしてやれ～（藁

類似話題につき相互リンク
http://mentai.2ch.net/test/read.cgi?bbs=hack&key=970429103

ていうか、最近 NetBIOS関係へのアクセスが急に増えたように思うんだけどどうよ？

厨房がスキルアップしてきたんじゃない～（ｗ

やっぱり増えてるんだ。
うちはNetBIOS関連はルータのフィルタリングで落としてるんだけど
最近妙に多くてログが流れちゃっていやだからログすら取ってない。

垂れ流しに気づいてないお馬鹿さんが増えたのかなとか思ってたんだけど
なんか理由があるわけ？

> 垂れ流しに気づいてないお馬鹿さんが増えたのかなとか思ってたんだけど
> なんか理由があるわけ？

最近「同じプロバイダの奴からNetBIOSへアクセスされた」って話を
よく聞きます。私もそうなんですが、原因がよくわからないんです。

自分のセキュリティソフト( WinWrapper,BlackICE )のバグ・誤動作かなと
思ったのですが、相手がパケットを「垂れ流し」ているというのもあり得ますね。

これか？
xxtp://www.zaq.ne.jp/zaq/news/virus.html

>162
>これか？
>xxtp://www.zaq.ne.jp/zaq/news/virus.html

情報ありがとう御座いました。

http://inet.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_QAZ.A
より、一部引用↓。

>また、ローカルネットワークの共有フォルダを検索し、フルアクセス可能な
>共有フォルダに"notepad.exe"が存在した場合も同様にリネームして自分の
>コピーを作成します。したがってローカルネットワーク内でWindowsフォルダを
>フルアクセスで共有にしているマシンはすべてにシステム改変を受けます。

「ローカルネットワークの共有フォルダを検索し…」ってところでNetBIOSを
使うんでしょうね。

「ローカルネットワークの…」の部分は「同じプロバイダ内の…」くらいに
読み替えてもいいかもしれないし、「2000年8月9日前後に大量配布」となっ
ているので、最近急に増えた事ともつじつまが合いますね。

135と同じようにネットワークコンポーネントの
NETBIOSにチェックがついててはぜせない状態でした。
148に書いていた方法でチェックをはずせました。
はずしておいた方がいいんですよね？

>「ローカルネットワークの…」の部分は「同じプロバイダ内の…」くらいに
>読み替えてもいいかもしれないし、「2000年8月9日前後に大量配布」となっ
>ているので、最近急に増えた事ともつじつまが合いますね。

東急CATV使ってるんだけど、最近妙にヘンなアクセスが多いなと思ったら
これだぁ。ログを見ると、もろに8/9から共有へのアクセスがポツポツと。
8/10からの増え方が異常なので、たった一日で東急内でマシンがかなりやら
れたと思っていいですね..
今日もすでに11人からアクセスがありました...この人達、ログイン名とIP
垂れ流しだよ。見てないけどウィルスにやられるくらいだからCドラフル
アクセスで共有してるんだろうし..

>>163
フロッピーが突然ガリガリいいだすのでおかしいなと思って
トレンドのオンラインスキャンかけて発覚。
ノートと自宅のデスクトップと毎日データ交換してる関係で
両方でやられてました。
とりあえず、毎日、note.comがないか確認してます。

W32.HLLW.Qaz.Aを確認しました。

先ほどまた NetBIOSへのアクセスがあったのですが、この W32.HLLW.Qaz.Aと
いうトロイは感染したマシンのポート7597にバックドアを開けるので、試しに
telnetで TCP port 7597にアクセスしたところ接続できました。

まあ、むやみに他人のポートを叩くと不正アクセス云々と言われるので、
あまりやらない方がいいんでしょうが、とりあえず W32.HLLW.Qaz.Aを
確認できました。

>134さん
148での回答ですがOSがWindowsNT(WS)の場合については
どうしたらいいですか教えてください。

134じゃないけどうちのNT4もあれこれいじっても穴を塞げなかったよ。
素直にFWを挟むか、ZoneAlarmかなんか入れたら?

134です。
明後日くらいまでNT4WSがある場所に行けないので
もうちょっと待っていただけませんか?　>168(169)

とりあえず170さんが教えてくださったように
パーソナルセキュリティ対策ソフト導入したり
ダイアルアップルータを利用しているのなら
NetBIOS Over TCPが使うポートを塞いでおけばよいと思うのですが。

「横浜・し～ぷるねっと金沢」もやられてますね。
BlackICEのアタッカーリストに見覚えあるユーザー名が・・・。

iij4uにもすげーいる。同じ奴が私のPCに毎日訪問してくるよ。
いい加減気づいて欲しい。

MAACAH？（藁

encファイルってどうやって見たらいいの？

207.71.92.193
↑こいつってあやしくない？ログ見たら先月初旬NBTで頻繁に
アクセスを試みてきていたことが判明。

＞169

俺もNT4はよくわからなかった。ていうか俺が無知なだけだけど。
でも、ある程度の対策はできると思う。

・全てのアカウントにパスワードをかける。
・ウィルスチェックをかける
・BlackICE や WinWrapper を入れる
・ルーターで防ぐ

NetBIOSで接続する時には、アカウント名とパスワードが必要なはずだから、
「全てのアカウントにパスワードをかける」っていう一番単純な方法でも
効果があるはず。

この W32.HLLW.Qaz.Aってトロイは相当広範囲に広がってるみたいだけど、
あんまりニュースにならないね。これだけ感染者がいれば新聞の片隅に
載ってもいいと思うんだけど、I LOVE YOUウィルスみたいに破壊力が
強くないと騒がれないのかな？　潜在的な危険性は相当なものなのに。

あと、今はまだ NetBIOSへのアクセスが話題になるくらいだけど、
本当に恐いのは TCP port 7597へのアクセス。NetBIOSの方はトロイが
自動的に繁殖しようとするからで、最悪でもトロイに感染するだけ。

だけど TCP 7597の方はトロイが作ったバックドアへのアクセスだから、
そこには「誰か」の「何らかの意図」があるんだよね。

俺はまだ TCP 7597へのアクセスは受けたことないし、対策もやってるけど、
TCP 7597へポートスキャンかける奴が現れたら、かなり怖いだろうな。

それと、TCP 7597経由でPCを破壊するコマンドを無差別に打ちまくっても
それなりの被害がでかもしれない。要するにサイバーテロ。

　　　　　　　　　( )
　　　　　　　　　ζ

　　　　　　　／⌒ヽ⌒ヽ
　　　　　　　Ｙ
　　　　　　　　　八　　ヽ
　　　　　（　 __／/.　ヽ,,,）
　　　　　丶1　　　八.　 !/
　　　　　　 ζ, 　八.　 j
　　　　　　i　　丿､　j
　　　　　　 |　　八　 |
　　　　　　 | !　 i　　|
　　　　　　　|iし　"i　 '|
　　　　　　　|ﾉ(　　i　 i|
　　　　　　 ( '~ヽ　!　 ∥
　　　　　│　　 i　 ∥
　　　　　　　|　　　!　　||
　　　　　　 |　 │　　　　|
　　　　　 |　　| 　　　 ∥　　／￣￣￣￣￣￣￣￣￣￣
　　　　　　| 　　|　　　　||　＜　　　イクー
　　　　　 | 　　 !　　　| |　　＼＿＿＿＿＿＿＿＿＿＿

REMOTE_ADDR - 202.234.225.102
REMOTE_HOST - p05-dn02sawada.niigata.ocn.ne.jp
REMOTE_PORT - 1645
HTTP_VIA -
HTTP_FORWARDED -
HTTP_CACHE_INFO -
HTTP_X_FORWARDED_FOR -
HTTP_CACHE_CONTROL -
HTTP_PROXY_CONNECTION -
HTTP_ACCEPT - image/gif. image/x-xbitmap. image/jpeg. image/pjpeg. image/png. */*
HTTP_ACCEPT_LANGUAGE - ja
HTTP_CONNECTION - Keep-Alive
HTTP_USER_AGENT - Mozilla/4.7 [ja] (Macintosh: I: PPC)

The firewall has blocked Internet access to your computer (TCP Port 1105) from 133.194.101.222 (HTTP).

Time: 2000/10/11 3:12:56
株式会社リクルート

こんなとこからもきたよ。

誰かnetmonitar使ってる人いる？

今までファイヤーウォールやパケットフィルタなしで
無邪気にアクセスしてた奴らが今頃なに言ってんの。
ちょっとログに記録が残っただけでポートスキャン扱いするシロートが
騒いだってなにもできんよ。

なにも考えずZoneAlarm入れとけ。
設定も簡単だし、使えなくなるソフトも皆無。
無料で配るのはもったいないくらいよくできている。

すまんのぉ、われ。ファイアウォールもパケットフィルタリング
もしとるがログのチェックはしとらんかっただけじゃ。ぞ根あぁｒん
は入れとらんが、のｒとにんてｒねつぇくりｔｙは入っとるのぉ。

ほんまにすまんかったのぉ、ワシらワレのように生まれたときから
クロートやったんとちがうんでの。ま、今度酒でもおごらしてもら
うけ、ちょっとツラかせや。

>ファイアウォールもパケットフィルタリング
もしとるがログのチェックはしとらんかっただけじゃ

ってあほかおまえ。要するに動作確認さえまともにしてなかったってことだろ。

＞要するに動作確認さえまともにしてなかったってことだろ

重ね重ねすまんのぉ。兄ちゃん文章読解力がちぃと足らんようじゃのぉ。
どこに動作確認をやっちょらんと書いてあったんかのぉ。兄ちゃん飯おごら
してもらうけ、ちょいツラかせや。えぇとこ連れったるけのぉ。

>>185
まあまあおちついて。
182は上の方でがたがたさわいでたヘタレと同種ですから
まともに相手をしても疲れるだけですよ。

>>185
ログのチェックもしないで、動作確認したと認識しているのが笑える。
汚い言葉を無い知恵振り絞って書いているのが笑える。
どあほにみえるのが笑える。

＞１８５

さむっ。

185はあほ

ダイアルアップルータで防ぐってどうやるの？
NetBI0Sフィルタってのを有効にしてるけど、それでいいの？

portsentryはどう?
使ってる人いる?
http://www.psionic.com/abacus/portsentry/

まだやってたのかこのスレ(;´Д`)ﾖｸﾔﾙﾜ･･･

＞今までファイヤーウォールやパケットフィルタなしで
＞無邪気にアクセスしてた奴らが今頃なに言ってんの。
＞ちょっとログに記録が残っただけでポートスキャン扱いするシロートが
＞騒いだってなにもできんよ。
これは事実なんだからいい加減認めろよ。
それにしても、おまえらって未だにログをダラダラ書いてるだけで
以前から全然進歩してねーのな。アホくさ。

>>192
だから何ってかんじで笑える。
自分であほって認めているのが笑える。
とにかくめちゃ笑える。

>ダイアルアップルータで防ぐってどうやるの？
>NetBI0Sフィルタってのを有効にしてるけど、それでいいの？

　たぶんそれでいいよ

＞１９２
どのあほのことか説明きぼん。
＞１９３
自分って誰のことか説明きぼん。
最近頭沸いてきて２本語わからん。
アルツは今かしらん。

>>193
＞だから何ってかんじで笑える。
向上心が全く無い心障は幸せだな（ｗ
キミは一生ヒヨコのままで鳴いていなさい
その間に漏れは大空に羽ばたく努力をするよ～ヽ(´ー｀)ノ

>>196
向上心っていうかその能力もないのが笑える。
自分がヒヨコだってわかっているのが笑える。
ニワトリが飛べると思っているのが笑える。
頭悪いのがわかるから笑える。

荒らすなよー

＞向上心っていうかその能力もないのが笑える。
そうやっていつも根拠なしに相手を見下して、自分が最強妄想
していないと安心できないのな。ヨワムシちゃん（ｗ
でもまあ安心しろ、俺はおまえらの100倍は知識があるからな。
なんで分かるかって？
俺がおまえらを見下すのには十分な根拠があるからだ（>>192を参照）
つーことで、何時までも他人が自分と同じレベルだと思ってる天然君は
永久にログ報告会でもやってなさい（ｗ
あ、ついでに自分が出来ないことは他人も出来ないと思ってるヴァカもな。

＞ニワトリが飛べると思っているのが笑える。
漏れはニワトリが飛べないと頑なに信じているおまえが笑えるよ（ｗ
＞頭悪いのがわかるから笑える。
真のバカは自分は賢いと思いこんでる勘違い君だ。つまりおまえ >>197だ（ｗ
まー、俺はバカだが自信過剰のおまえは俺の100倍バカってことだ。
目からウロコが落ちただろ。うはははははひゃひゃひゃくけけヽ(゜▽、゜）ノ

漏れは忙しいので来月くらいにまた書くよ。（ROMはしている）
よっておまえらはそれまで、テキトーにPCに噛り付いて大人しくログオナニーでもしてろ。
じゃあな、視野の狭い理系のPCオタク君ヽ(´ー｀)ノ

スレ削除依頼出そうかな・・・

>>192
煽りに乗っちゃっているのが笑える。
捨てぜりふがおもしろくなくて笑える。
バカを認めているのが笑える。
PCに張り付いてROMしているのが笑える。
とにかくばかまるだしなのが笑える。

>>192
アホ臭い掲示板を一生懸命読んで勉強しているのが笑える。

・・・というわけで、192のばかは事実上敗北宣言を出しているので，
これ以上いじめるのはかわいそうなのでほっときましょう．

Norton Internet Security 2001ってどうですかね？
http://www.symantec.com/region/jp/homecomputing/index.html

>>203
ノートンのは中身がWinWrapperそっくりですよ。
そのものなのかな？
ねだんはアンチウィルスソフトもついて9.800円だからお買い得。
この週末に購入予定。

体験版があるね。
今ダウンロード中！

煽りあってる厨房約２名？はハッククラック板にでも逝ってくれ
せっかくまとも（笑）な人達が煽りを無視しているのに台無し

明らかに201のほうが阿呆だな。
Norton Internet Security 2001
とか言ってるところから、その素人さが伺える。

本当厨房率多すぎ。
板のレベル下がる一方で全く目新しい情報が無いし
ネットワークスペシャリスト板作ってくれ～（懇願）

>アホ臭い掲示板を一生懸命読んで勉強しているのが笑える。
アホ臭い掲示板にしている元凶はおまえだろ。
全く自覚無しか。
ということで、まともそうなスレを適当にあておいた。

他のスレッドに飛び火するといけないのでさげちゃおう。
報告会をしているネットワーク初心者の皆さんはこちらでどうぞ。
初級ネットワーク板　http://mentai.2ch.net/hack/index2.html

どうやら >>201はタダの無能な煽りだけが趣味の厨房、相手するだけ無駄。
他の奴等は、雑誌やUGサイト、上級者に煽れるままにログを取り始め
たのはいいが、初心者で知識が浅い為、ルータのsyslog機能の利用法
やPC側でのアクセスログの内容が理解できない。結局、自分のPCに何
をされているかワカラナイので、ポートスキャンに対して過剰に怯え
まくる。タダのpingをポートスキャンと勘違いしていたり、自分のPC
が吐いてるパケットまで外部からのものと思い込む。また、ポートス
キャン＝進入と勘違いしている初心者ばっか。

自分のPCを攻撃される不安から、初心者がこの板に無意味なログをダ
ラダラ書き込む。すると、初心者やセキュリティ系の話が大好きなハ
ッククラック板の厨房が、ポートスキャンという言葉に引き寄せられ
て、ウジャウジャ集まってくる。
その結果、勘違いした厨房が低レベルなスレッドを乱立。
http://mentai.2ch.net/test/read.cgi?bbs=network&key=971385862&ls=50
http://mentai.2ch.net/test/read.cgi?bbs=network&key=971294307&ls=50
http://mentai.2ch.net/test/read.cgi?bbs=network&key=971221267&ls=50
今まで専門的で理解不能だった板に、厨房でも理解できるようなスレ
ッドが立つことによって、他の厨房までそのスレに寄生し始めて、特
定のスレッドのレベルが急激に低下。暫くすると厨房が我が物顔でス
レッドの乱立や駄レスをしまくり、固定ハンや上級者は書き込み辛く
なり、有益なスレッドが自然に減っていく。最終的には板全体が厨房化。

>>211
笑えるなおまえ。

あげるなよ213の楽学生。

うるせえ、214の窓際オヤジ。

なんで判るんだ。電波か? >>214 >>213

あーつまねー

つまんねーならあげるなよー

電波の恐怖を知りました。

>>211
低い自分の知能レベルでものをかたるなって。
言葉の端々に馬鹿さがにじみ出てるよ。

>ポートスキャン＝進入と勘違いしている
はぁ？だれもそんなこといってないよ。
いっぺん病院に行ってこい。それともすでに通院者か？

厨房うぜえ

自分のPCを攻撃される不安から、初心者がこの板に無意味なログをダ
ラダラ書き込む。すると、初心者やセキュリティ系の話が大好きなハ
ッククラック板の厨房が、ポートスキャンという言葉に引き寄せられ
て、ウジャウジャ集まってくる。
その結果、勘違いした厨房が低レベルなスレッドを乱立。
http://mentai.2ch.net/test/read.cgi?bbs=network&key=971385862&ls=50
http://mentai.2ch.net/test/read.cgi?bbs=network&key=971294307&ls=50
http://mentai.2ch.net/test/read.cgi?bbs=network&key=971221267&ls=50
今まで専門的で理解不能だった板に、厨房でも理解できるようなスレ
ッドが立つことによって、他の厨房までそのスレに寄生し始めて、特
定のスレッドのレベルが急激に低下。暫くすると厨房が我が物顔でス
レッドの乱立や駄レスをしまくり、固定ハンや上級者は書き込み辛く
なり、有益なスレッドが自然に減っていく。最終的には板全体が厨房化。

W32.HLLW.Qaz.A感染者増殖中だっちゅうのにね。
↓「GNUTELLA」の宣伝してるよ。
http://www.mainichi.co.jp/news/selection/news06.html

ＪＣＯ：
被ばく者総数は６６７人　科学技術庁報告。

リンク位まともに貼ろう。

おっと、毎日のリンクこっちね。
http://www.mainichi.co.jp/news/selection/archive/200010/13/1013e097-400.html

sage

コーリア方面からのスキャンがなんか頻発
なんかあったのか？

ばかばっかで笑える。
さーポートスキャンしよう。
される側じゃなくてする側の方がおもしろいよ。

自分のPCを攻撃される不安から、初心者がこの板に無意味なログをダ
ラダラ書き込む。すると、初心者やセキュリティ系の話が大好きなハ
ッククラック板の厨房が、”ポートスキャン”という言葉に引き寄せ
られて、ウジャウジャ集まってくる。
その結果、勘違いした厨房が低レベルなスレッドを乱立。
http://mentai.2ch.net/test/read.cgi?bbs=network&key=971385862&ls=50
http://mentai.2ch.net/test/read.cgi?bbs=network&key=971294307&ls=50
http://mentai.2ch.net/test/read.cgi?bbs=network&key=971221267&ls=50
今まで専門的で理解不能だった板に、厨房でも理解できるようなスレ
ッドが立つことによって、他の厨房までそのスレに寄生し始めて、特
定のスレッドのレベルが急激に低下。暫くすると厨房が我が物顔でス
レッドの乱立や駄レスをしまくり、固定ハンや上級者は書き込み辛く
なり、有益なスレッドが自然に減っていく。最終的には板全体が厨房化。

まるで厨房ホイホイだ。

SNMP discovery broadcast
DNS port probe
ポートスキャンされてるのかな？

Norton Internet Security 2001
これってスキャンに対して効果どうなのよ？

233の続き
Blackice の方がいい？

＞Norton Internet Security 2001
＞これってスキャンに対して効果どうなのよ？
まさにポートスキャン＝進入と勘違いしている。厨房丸出し。

＞２３５
でどうなのよ？（ｗ

粘着厨房sage

わからん坊sage

厨房丸出しのキミにはおすすめだから是非買いなさい。
あ、買ったとしてもここでイチイチ報告しないでいいからな。
どうしても報告したくなったら、とりあえずハク板か、パソコン一般
辺りの脱初心者板でやるといい。
あの辺りだったらキミと同じレベルの人がいっぱい居るから流行る。
案外自作板辺りもいいかもね、LAN厨房率高そうだし。
とりあえずsage

＞２３９
面白がって厨房を煽るな
放置かsageで

>>233
ノートン調子いいです。
わざわざポートスキャンくらいで報告しないように設定できます。

ノートンは黒氷よりいいね
しょうもないポートスキャンを ignore するからねぇ
＃スキャンした奴をプロバイザーにチクる楽しみは無くなったが。

>＃スキャンした奴をプロバイザーにチクる楽しみは無くなったが。
相当ヒマ人のようだ（ｗ

＞２４３
一人沈めました（ﾜﾗ

sageる奴が多いとがぜんあげたくなるわな。

＞２４４
浮き沈みは別にど～でもいいけど相当ヒマ人みたいね。
大学生かな。

182の書き込みあたりから雲行きがあやしくなってきたね
せっかくのまったりスレッドが。

ここは、なぜか詮索するひと多し。

ちゃんときろくにのこるほうがいいよぉ

先日ReGet1.6Free起動中発覚！調べてみると
Exodus Commnications Inc. (NETBLK-ECI-7) 1605 Wyatt Dr.Santa Clara,CA 95054US US
Coordinator:Center, Network Control (NOC44-ARIN) [email protected]
Domain System by:NS.EXODUS.NET 206.79.230.10 NS2.EXODUS.NET 207.82.198.150
Netblock: 216.32.0.0 - 216.35.255.255(この中の216.33.199.123がTELNETしてきた)
今の所自分のPCにTELNETの影響は出ていないが気味悪ぃ
皆の意見を求む　サテドウスル？

>>250
パーソナルファイアーウォールいれれば良いのでは？
ちゃんとブロックしてくれるでしょう。

>243
暇です

ZoneAlermはどこで手に入るの？　フリーソフト？

あはははは♪

＞２５０
それ　ウイルス

赤くなってsage（汗

ageだろ。

やっぱレゲットだめでしょ
会社で使ってる人は要注意！

www.zonelabs.com

krドメインからの来訪者が多いのは俺だけかな？

それと
.netでホームページが韓国語のプロバイダからのが増えてる

>260 261 うちんとこもおなじ-　な-んかあったわけ？

まだやってんの？
ポートスキャンくらいでがたがた言うなよ。

>263
がたがた

>263
同上

新潟潟

ここはポートスキャンって単語を知っていると偉いとでも思っているしかいないのか?
ログ見てオナニーしてろ。

>267
おまえはどういった立場の人間なの？

これから毎週、貴様らのテストを行う

http://nnw.nikkeibp.co.jp/nnw/index.html

コッチだ
http://nnw.nikkeibp.co.jp/cgi-bin/nnw-quiz.cgi

明日までに提出

>>270
ばーか
そんな知識必要なわけねえだろ。

＞＞２７０
ぐぇ
わかんないです。＜死

>267
意味不明

自爆ネタ

１１３ＰＯＲＴによく来てる奴がいるなー
なんて思ってたら自分がアクセスしてるサイトからだった。
馬鹿すぎ俺。
ａｕｔｈってＲＥＪＥＣＴしなくていいのかな？
詳しい人教えてくださいおねがいします

>>274
ident ですよね？。現状では機能していないと思ってよいと思いますよ。
私はふさいでいます。

俺のパソコン
Telnetポートね。パスワードはなし。
キャラクターベースの顔画が出てくるからね！
プロバイダーぐらい教えろって、、だめよ！
今から３０分間だけ、顔画デーモン上げとくからね！
バッファオーバーフローとかするかもね！＜一応対策済みのつもり

Ｆｉｖｅさんからレスもらってしまうなんて＜ドキドキ

あ、でも閉じてて正解かな。
よかったぁー♪
もしあけてたらやばい事も多いのかな？

>>276 276です
風呂入ってくるのでデーモン落とすね！
windows98だけど、重要ポートに反応するように
しているが、今までアクセスされた事はない。
ダイナミックＩＰだからかな？

>270
あほか、お前、俺様にくだらんクイズ出すなよ。
もちろん、正解だぜ。

>>276
訂正
バッファオーバーフロー＞バッファオーバーラン

>>275
ウチは律儀にidentサーバ上げてるよ
お返事してくれる相手が少ないのは事実だけど。
でもフィルタでバサっと落とされるとアレだね。
UnreachablePortが帰ってきた方が。。。

UDP137のアクセスが6月くらいから急増した。
1日100件程度。

既出。

fortunecity.com へアクセスすると妙なポートでパケット飛んできませんか。

UDP Portscan
IP: 203.182.20.166
DNS: rad16.via.or.jp

はぁ

http://www.kawamura.ne.jp/minato/index.html
なんか、飛んでくる。
なんでしょうか、これは。

>286
俺、異常なし。飛んでこないじゃねーか。

>>286 は
 >>274 と同じことなんじゃないのかなぁ

http://members.nbci.com/_XMCM/arsiclub/index.html

286です。
くやしいです。
懲らしめたいです。
力を貸してください。
こんなこと、許されていいのでしょうか。

どうでもいいが、>>286のURL、ソースに
SSIが丸だし、、、

　　　 ∧⊂ヽ　　／￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　 (ﾟДﾟ)ﾉ＜　オイ！ゴラァ！マイクロソフト３０分に１回PIN撃つのヤメロ！ゴラァ！
　　　　| ⊃| 　　＼＿＿＿＿＿＿＿＿＿＿＿＿
　　　　| 　 |
　　　　⊂ノ～

207.46.73.6
207.46.9.7
207.46.138.8
207.46.9.6

　　∧ ∧　／￣￣￣￣￣￣
　　( ﾟДﾟ)＜ゴラァ！俺はなんもしてねぇぞ！ゴラァ！
　　ﾉつつ　＼＿＿＿＿＿＿
～/　ﾉ
ι' Ｕ

Microsoft (NETBLK-MICROSOFT-GLOBAL-NET)
One Microsoft Way Redmond, WA 98103 US
Netname: MICROSOFT-GLOBAL-NET
Netblock: 207.46.0.0 - 207.46.255.255
Coordinator:
Microsoft (ZM39-ARIN) [email protected] 425-936-4200
Domain System inverse mapping provided by:
DNS4.CP.MSFT.NET 207.46.138.11 DNS4.CP.MSFT.NET 207.46.138.11

／￣￣￣￣￣￣￣￣￣￣￣￣￣
|　警報鳴りっぱなしで寝られねぇぞ！ゴラァ！
| 　どう責任とってくれるんだ？！
＼＿＿＿＿＿　＿＿＿＿＿＿＿
　　　　　　　　 ∨
　　　　　　　　 C∧ ∧
　　 ___　　　　○(ﾟДﾟ#)
　／◎＼……C｜　＼
==============================================

不正コピーがばれてるぞ・・・。

　　∧ ∧　／￣￣￣￣￣￣
　　( ﾟДﾟ)＜ゴラァ！ピーコしてねぇぞ！ゴラァ！
　　ﾉつつ　＼＿＿＿＿＿＿
～/　ﾉ
ι' Ｕ

　　∧ ∧　　／￣￣￣￣￣￣￣￣￣￣￣￣￣
　　(,,ﾟДﾟ)　＜ゴラァ！じゃなく「ゴルァ！」だべゴルァ！
　 /　　|　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿
　（＿__ﾉ
／

普通のプロバイダでIPアドレスが可変なのにこんなことがあるんですか？
それともここで話してるのはサーバーを管理している人が話してるの？

>>299
ネタ ? それとも本当に紛れ込んだだけの人 ?

で、ｉｄｅｎｔって実際なんだったんでしょうか？
１１３はとりあえず閉じておけば正解ですか？
よかったら詳しい人おしえてください

　　∧ ∧　　／￣￣￣￣￣￣￣￣￣￣￣￣￣
　　(,,ﾟДﾟ)　＜失敬ギコハニャーン＞２９７
　 /　　|　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿
　（＿__ﾉ
／

皆さん、どうやってポートスキャンがあったかどうかを
調べているのですか？

/var/log/ 辺りにもそれらしきものはないし・・　

syslog

>>303
　それかmessagesとか。
っていうか、syslogdの設定によるだろ(少なくともlinuxの場合)

/etc/syslog.conf
みるとどこにログが吐かれるかわかるでよ

フリーでTAでの直接接続でログの取れるツールってないですか？
Winです。

よろしくおねがいします。

シリアルで直結ならWinでログとりゃええやん。

>>308さん
すみませんWinでのログの取り方ってどうするのでしょうか？
無知なもので・・・

よかったら教えていただけるとうれしいです。

ネットワン、マクニカ、ソリトン、ビジネスポート
どれがいいの？
情報求む

↑スレ乱立させて申し訳ないです。
”ネットワン、マクニカ、ソリトン、
どれがいいの？ ”　
関係別スレにつくりました。
お騒がせしました。

#test 211.8.84.66=linksys IKOPAC792 test#

すみません、解決しないので上げさせてもらいます。
TA直接接続で外部からのアクセスログをとりだいのです。

>>308さん
シリアルのログを取るということなのでしょうか？

BlackICEやNorton Internet Securityを導入してみたのですが、
ポートスキャンに対するログが取れません。
何か設定があるのでしょうか？

すみませんがもう一度よろしくお願いします。

>>318
netbios関係のログ記録を有効にすればいいだけじゃねえか。
それもわからないなんて言うなよ。

>>313だったな。ごめん

ZoneAlarmとNortonInternetSecurityを入れているだけの
厨房です。
ネットに接続していると3～4時間に一回くらいはZoneAlarmが
警告を出すのですが、その警告が大抵韓国からのアクセスに
よるものです。と言うか、殆ど韓国です。
さすがに不気味です。

どういうことなんでしょうか？
単純に日本人が嫌いで泡を吹かせてやろうと考えているのか、
暇人が多いのか。
皆さんの所へも韓国の友人は頻繁に訪れていますか？

CATVでルーターを使ってインターネットに接続しているのですが、
時々ルーターのsyslogに以下のようなログが出ます。
何なのでしょうか？

2000/11/14 16:52:32 192.168.1.1: (kern.info)kernel: Packet log:
input REJECT eth1 PROTO=6 xxx.yyy.zzz.49:2051 xxx.yyy.zzz.57:139
L=48 S=0x00 I=21285 F=0x4000 T=125 SYN (#19)

xxx.yyy.zzzの数字が同じですから、同じCATVのユーザーさんだとは思いますが・・・
WINが起動時に勝手にパケット吐いてるんでしょうかねぇ？(←無知ですんません)
試しに139にコールくれたPCにこっちからセッション張ってみたら
みなさん、共有フォルダをお持ちでした・・・・。(恐ろしい)
WINの仕様でしょうか？

zaqですか？

少し前に、変なアクセスには接続先に finger をかけてroot までメールを
送るようにしてみました。
そうしたところ、下のヤツがかかりました。
でも、読み方がわからないのです。(^^;

From root 略
Date: 略
From: root <root>
To: root
Subject: in.ftpd-xx-xxx-xx-xx.xxx.xx.com

[xx-xxx-xx-xx.xxx.xx.com]
Login: xxx Name: (null)
Directory: /tmp/.x11 Shell: /bin/bash
On since xxx Jan x xx:xx (EST) on pts/0 from xxx.xxxx.ed.jp
3 minutes 33 seconds idle
No mail.
No Plan.

この場合、xxxx.ed.jp が踏み台にされてxxx.xx.comからアタックをかけられて
いるのでしょうか？
それともxxxx.ed.jpの人物からアタックされているのでしょうか？
今どきfingerとはなぁ、と思いまして。

x-xxx-xx-xx.xxx.xx.com が接続してきたホスト。おそらく
踏み台でしょう。xxx.xxxx.ed.jpからログインしてる。

逆fingerかけてメイルで送るってのはやらない方がいいですよ。
メイル爆弾喰らう危険性がありますから。悪意を持って何万回も
そのポートにアクセスされたら...とか考えたほうがよいですよ。

確かに最近.krドメイン方面から、ポート139へのアクセスが多いですね。

私はportsentryというIDSを入れて、普段サービス提供してない
いろんなポート番号にトラップを仕掛けておいて、
アクセスが来たらblackholeルーティングして叩き落してます。

http://www.psionic.com/abacus/portsentry/

http://www.psionic.com/abacus/portsentry/
http://www.psionic.com/abacus/portsentry/

お聞きします。私はＨＰを開設してるのですが、
そのＨＰにＦＦＦＴＰでＵＰしようとしたとたんに
動作が不安定になって落ちてしまいました。
バスターのログには入力行為が行われたと書かれていたんですが、
実際どうゆう行為が行われたか教えてください。
よろしくお願いいたします。

>325
バスターって正式名称はどういうソフトウェアなんだろ
FTPするとき、PASSIVE MODEにすればいいんでは？

ZoneAlarmのログに、
「FWOUT,2000/11/15,07:23:58 +9:00 GMT,172.16.1.2:0,172.16.1.254:0,ICMP」
こんなのがあったんですけど、どういう意味ですか？

最近、台湾からのお客さんがよく来られるんですが・・・
どうも彼らはただの踏み台のようです。
みなさんwinでcドライブに共有かかってたし・・・。
中にはcのルートにトロイ本体がいた例もありましたよ。
やれやれ。。。。

俺はzaqとwakwakが多いんだけど踏み台っぽいな
詳しくは調べてないが

>330
なんで今更あげたん？

って、俺もsage入れるの忘れてた・・・・。
宇津田ι脳

この件MSに問い合わせたことがあります。
その回答
－－－－－－－－－－ここから----------------

MSは、世界中にある膨大な量のWebを保守、運用しているため、特定サーバ
に混雑が集中しないよう、混雑を分散させるためにBig/IP、および3DNSと言うシステム
を使用しております。

とくに、3DNSは、世界中にあるサーバの混雑状況（トラフィック）のバランスをとるために
使用しております。各サイトにあるBig/ipやホストから、さまざまな情報を一定間隔
ごとに収集しています。

この情報収集の過程で、お客様のDNSサーバへ問合せを行います。
これが、お客様のサイトにお送りしたpingの発行です。

【目的】
3DNSは各サイトから収集した情報を基に、お客様がMSのホームページに接続した際、
もっとも混雑していないサイトにあるページを自動選択し、そこに接続させるのが
本システムの目的です。

サーバーのセキュリティー等に関しては、問題がないことを確認致しましたので、ご理解いただけます様宜しくお願い致します。

この度は、混乱を招きして申し訳ございませんでした。
以上、今後とも宜しくお願い致します。
-------ここまで-------------------------------------
ちゅうことらしい。

http://www.securityfocus.com/frames/?content=/templates/article.html%3Fid%3D126
これは？

>>334
ふむ。そういうことだったのか。
ウチのサイトここ１週間くらい続いてるのね。自ネットワーク内専用の
DNSキャッシュサーバへのアクセスだからルータでフィルタリングされてる。
これっていつまで続くの？フィルタしないでUnreachable返せば止まる？

Jan 8 17:43:01 gw PP[LEASED] Rejected at IN(default) filter: UDP 207.46.9.7:28001 > 210.xxx.xxx.xxx:53 (DNS Query [])
Jan 8 18:54:19 gw PP[LEASED] Rejected at IN(default) filter: UDP 207.46.138.9:14544 > 210.xxx.xxx.xxx:53 (DNS Query [])
Jan 8 19:47:13 gw PP[LEASED] Rejected at IN(default) filter: UDP 207.46.73.6:28309 > 210.xxx.xxx.xxx:53 (DNS Query [])
Jan 8 20:12:55 gw PP[LEASED] Rejected at IN(default) filter: UDP 207.46.138.9:36410 > 210.xxx.xxx.xxx:53 (DNS Query [])

かんべんしてくれ。

やっぱ気になっている人多かったんだ。
ウチの場合、ソリューションプロバイダ登録してから
だらだらping が飛んできて、
マイクロソフトに問い合わせたけど、調べますとかいって
３３４の答えもらうのに２週間以上ぐらいかかった。
それ以前に誰もマイクロソフトに聞いた人いなかったのかな。。

ポートスキャンだけは、違法じゃないんですね？？
その後に、攻撃だとか。いろいろしたら、違法なんですか？

>>339
どこが違反なの？

むやみにポートスキャンするのは違法だろ！
スキャンする正当な理由があるならべつだけど、、、
個人に対して、無意識なやるとか、、、
ユーザの回線を圧迫するとか、、、
玄関のドアをうるさく叩くのは迷惑。覗きも同じ。

広範囲な法的解釈であれば、まあ違法だな。。。

>>341
もし覗かれたら恥ずかしいし。

リナックスでピングはたのしいぞ

3台で攻めれば、サーバーダウンです

ポートスキャンは違法じゃありません。
スキャンする正当な理由は必要じゃありません。
迷惑な行為ではあるかもしれません。

Jan 20 11:31:36 rose nscd[162]: [ID 484914 user.notice] gethostbyaddr: fukrbb002.ac.kddnet.ad.jp. != 210.169.4.2
Jan 20 11:31:36 rose nscd[162]: [ID 484914 user.notice] gethostbyaddr: osargs002.ac.kddnet.ad.jp. != 203.140.128.50
Jan 20 11:31:37 rose nscd[162]: [ID 484914 user.notice] gethostbyaddr: obprgs002.ac.kddnet.ad.jp. != 203.140.128.58
Jan 20 11:31:37 rose nscd[162]: [ID 484914 user.notice] gethostbyaddr: gsr-osa4.kddnet.ad.jp. != 210.132.126.221
Jan 20 11:31:38 rose nscd[162]: [ID 484914 user.notice] gethostbyaddr: gsr-ote4.kddnet.ad.jp. != 203.181.99.69

ドライブの共有設定を「このフォルダを共有しない」にしていても、
ふと見てみると、「共有する」になってたりします。

これって、大丈夫なんでしょうか？

>>347
NTか2000なんじゃねーの？
管理用に、ドライブとシステムディレクトリは共有外せないよ

Web共有と、共有を間違った…

Web共有は「しない」になってるから、大丈夫か・・・
sage

つーか、外しても再起動すると戻る、かな？

ウイルスか？

あれ？何故IPが出たんだ

>>352
ウィルスの仕業だよ（藁

test

空欄でfusianasanだったのね…
かちゅ～しゃ使ってたから…

自分のポートで開いているポート番号を知らせてくれるツールって
ありませんか？

netstat

>>357
netstat -a >c:\temp\netstat-a.txt

CATVインターネットで、あるBineLinuxホストから
3分に一度定期的に、同一セグメントに対して
udp 513 remote loginが飛んできます

これってなんでしょう？？

>>359
udpの513ってrloginじゃあないぞ

login 513/tcp #remote login a la telnet;
who 513/udp whod #maintains data bases showing who's

あれ、FWのリポートがおかしいかな？
メッセージはremote login a la telnetなんだけど

ちゃんとモニターしてみます

1 42.XXXXX XXXX *BROADCAST
UDP Src Port: RLOGIN, (513);
Dst Port: RLOGIN (513);
Length = 260 (0x104) VINE xxx.xxx.xxx.255 IP

モニタ上もこんな感じだった

yasaiサーバーアクセスすると1241/TCPへお返事が来るよ

下のところからDNSとRPCたたかれたんだけど（^^;）。
メルアドからしても、ナンカいかにもな感じだな…。

Korea Internet Information Service V1.0 ( created by KRNIC, 1999.6 )

query: 211.36.203.30

* 廃越奄淫誤拭企廃 whois 繕噺澗瀬(http://whois.nic.or.kr)拭辞
馬獣奄郊遇艦陥.

繕噺馬重背雁 IP爽社澗焼掘税亜脊奄淫拭拝雁吉鷺薫脊艦陥.# ENGLISH

IP Address : 211.36.203.0-211.36.203.31
Connect ISP Name : DOUBLELINE
Connect Date : 20000211
Registration Date : 20000215
Network Name : CDICO

[ Organization Information ]
Orgnization ID : ORG100483
Name : CDI
State : SEOUL
Address : 1Fl, Dongyoung Bldg, 10-20,
Zip Code : 135-010

[ Admin Contact Information]
Name : Hyochul Kwak
Org Name : CDI
State : SEOUL
Address : 1Fl, Dongyoung Bldg, 10-20, Nonhyun-Dong, Kangnam-Ku
Zip Code : 135-010
Phone : +82-2-546-6324
Fax : +82-2-546-6328
E-Mail : [email protected]

[ Technical Contact Information ]
Name : Hyochul Kwak
Org Name : CDI
Address : 1Fl, Dongyoung Bldg, 10-20, Nonhyun-Dong, Kangnam-Ku
Zip Code : 135-010
Phone : +82-2-546-6324
Fax : +82-2-546-6328
E-Mail : [email protected]

# KOREAN

IP 爽社 : 211.36.203.0-211.36.203.31
尻衣 ISP誤 : DOUBLELINE
ISP 尻衣劾促 : 20000211
拝雁鎧蝕去系析 : 20000215
革闘趨滴戚硯 : CDICO

[ IP 紫遂奄淫舛左 ]
奄淫壱政腰硲 : ORG100483
奄淫誤 : 松巨焼戚
獣亀誤 : 辞随
爽社 : 悪害姥轄薄疑 10-20 疑慎柵漁

[ 淫軒奪績切昔弘舛左 ]
戚硯 : 飲反旦
奄淫誤 : 松巨焼戚
獣亀誤 : 辞随
爽社 : 悪害姥轄薄疑 10-20 疑慎柵漁 1寵
穿鉢腰硲 : +82-2-546-6324
Fax : +82-2-546-6328
穿切酔畷 : [email protected]

[ 叔巷奪績切昔弘舛左 ]
戚硯 : 飲反旦
奄淫誤 : 松巨焼戚
獣亀誤 : 辞随
爽社 : 悪害姥轄薄疑 10-20 疑慎柵漁 1寵
穿鉢腰硲 : +82-2-546-6324
Fax : +82-2-546-6328
穿切酔畷 : [email protected]

だからなに？

>>365
俺も同じところから来たよ
The firewall has blocked Internet access to your computer (TCP Port 111) from 211.185.45.194 (TCP Port 3688).

Time: 01/03/28 0:16:26

interqのWWWにアクセスすると
訳のわからんパケットが飛んでくるのは何故？

迷惑である。

ログをプロバに送りつけてプロバ追い出してやりたい。

どんな文面が良いかね？
というか、やった事ある人プリーズ。

（ネット初級板にも書いたけど、こっちのほうがあってそうなんで…）

IP: 202.224.32.2
DNS: falcon.asahi-net.or.jp

こいつ1時間以上4回もスキャンしてくるよ…
迷惑すぎ。

15回だった

また来やがったよ
しつけー

falcon.asahi-net.or.jp
ここASAHIネットのDNSだった。

アクセスすると即効真っ赤なスキャンが来るよ
その後もココから怪しいスキャンが度々着てるし、プロバも怪しいもんだ…

やろうと思えば何でも出来るんだし…

大体最初に突然スキャンしてきたのはそっちだって。
もうASAHIネットは恐くて使えん。(別にクレーマーじゃないが)

ブラックリスト作ってるとか変な話も聞くし。
無料プロバなんか使ったら死ぬほど酷そう…

変なことはとても出来ん、、、、、

まだココあったのね
今日ココまでの来訪者ねFウォールはゾヌ使用（ｗ

FWIN,2001/03/30,09:23:10 +9:00 GMT,202.219.175.227:1302,211.19.79.164:20000,TCP
FWIN,2001/03/30,10:14:02 +9:00 GMT,206.11.239.158:53,211.19.79.164:53,TCP
FWIN,2001/03/30,10:14:50 +9:00 GMT,211.62.42.178:4039,211.19.79.164:111,TCP
FWIN,2001/03/30,10:20:06 +9:00 GMT,210.171.1.11:50442,211.19.79.164:20000,TCP
FWIN,2001/03/30,10:21:28 +9:00 GMT,210.171.1.11:54470,211.19.79.164:20000,TCP
FWIN,2001/03/30,10:23:28 +9:00 GMT,210.171.1.11:61152,211.19.79.164:20000,TCP
FWIN,2001/03/30,11:08:42 +9:00 GMT,210.190.203.68:1142,211.19.79.164:20000,TCP

最初はIP辿ってたけどもう飽きた
警告しているって事は落としているんだろうって
勝手に納得してね（´ー｀）

BlackIceを使ってるけど、精度はいいの？
こんなにしょっちゅう叩かれてるのが信じられないよ

DNSに自分で問い合わせておいて
（おおかたブラウザに張り付いてる絵や広告だろうが）
返事が来る前にブラウザを終了させて、あて先の無くなったDNSの返事に
警告を出すソフトは仕方がないとして、それを攻撃を受けたと騒ぐ
厨房どもはなんとかならないのか？

すんません、どなたかこの件について教えてもらえませんか？
http://mentai.2ch.net/test/read.cgi?bbs=network&key=980639366&st=606&to=606&nofirst=true

7回目のbeepで、端末の前に座った君
名前を言わなくても
IPですぐ分かってくれる

ファイヤーウオールから落ちるパケット
でもすり抜けた瞬間が一番幸せ

嫌なことがあった日も
君に会うと全部フッ飛んじやうよ
君に会えない　my offline days
IPを見れば自動的に it will be cloud

It's automatic
source見るだけで
ポートスキャンかけられるだけで
ドキドキ止まらない
Noとは言えない
I just count down

It's automatic
スキャンかけられると
nuke起動してみたい
ひたすら流したい
パケットの雨アラレ
I feel so good It's automatic

>>376
たしかに・・・。
ポートスキャンも思いっきり広いレンジに対して遊び半分てのが多いが、
非ネットワーク接続だと監視対象のIPアドレスがひとつだからそこに
スキャンがあると「自分に対して」アタックしてるって思っちゃうんだろうね。

207.213.220.70
[08/Apr/2001:22:00:27 +0900] "GET /scripts/..%c0%af..%c0%af
..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af
/winnt/system32/cmd.exe?/c%20dir HTTP/1.0" 404 257

httpdのログにこういうのがたまにあるんですがこれって大丈夫
なんですかね？WINNTとあるからlinuxは大丈夫そうに感じるけど?
ftpにも接続があるんですが弾いているみたいです。
遊びでLinux立ち上げているんですが、厨房なんでおしえていた
だければ幸いです。
韓国や中国をネットサーフィンした後は多いみたいです。

137ポートを永遠とスキャンされてます。
あと、トレンドマイクロからローカルアドレスにpingが飛んできます。
それで質問ですが、jpnicのwhoisでも所在がわからないIPアドレスは、調べようがないのでしょうか？
せめて国元くらい知りたいので・・

今来たやつ暇だったから追ってみた　202.107.231.61
title見てみ

IISだけのバグだから大丈夫。
wu-ftp とか bindとかは気をつけて。　

レス有難うございます。
bind等はこれからアップデートしてみます。

フレッツなんですけど、回線を切ってIPの割り振りが
が変わるとたびたびそういうアクセスがあるようです。
暫くすると落ち着くんですけどね。

多分、前に同IPを使用していた人がヤバ系のサイトに
いってたとか自家FTPサーバたててたのかな？
なんて勝手な解釈してます。（ﾜ

鬱だ氏のう

>>379
自分の管理下のホストをなめるようにスキャンされると腹も立つよ。
一台二台ならともかく公開してあるマシンを片端から
爆撃のようにスキャンしていきやがる。

>387
うちはルーターでフォワードしてるからスキャンされても別に気にならん。
80と25しか空けてないからな。

>>387
そんなに腹立つ？オレも気にならない方だけど。

＃時に53/tcpと111/tcpは未だ旬なのかなぁ。ちっとも減らない・・・

最近、毎日のようにxxxxx.dip.t-dialin.netからftpdとか探られてますが
何なんでしょう。複数台を舐めるように。

ポートスキャンが楽しいというよりその後の行為が（一部の人には）
楽しいんでしょう

u

うちはルーターがあるからこないよ。
なんでだろ。ルーターあるからかな・・・
あったらポートスキャンて出来ないのかな？

refused connection from 61.218.190.147, service telnetd (tcp)
refused connection from cobalt-81.ixpres.com, service telnetd (tcp)

この辺しつこくアタックしてくるんだけど、telnetポートがあいてるよ。
きっと踏み台にされてるんだろうね。
みんなは使っちゃだめだよ。

>>381
国元？
JPNIC whoisではご存知ないかもしれませんが
JPだけあってJPの国のwhois情報しか持っていません
適切なwhois serverを参照してくだちい

>>394
ルータのログ見てる？ルータのログを見ればポートスキャンされてるか
どうかわかると思うけど・・・

Alert message 100002c: "The firewall has blocked access to
your computer (ICMP Echo Request ('Ping')) from 200.34.109.102."

>>397
ルーター内部にはポートスキャン出来ないの？
○.○.○.○ってＩＰがあって、ルーター内部で192.168.0.5ってしてるんだけど
そのマシンに外部からポートスキャンするにはどうしたらいいの？

あなたのルータはただ単にルーティングしてるだけなのですか？
すべての外部アクセスが許可されているのならそうなるけど・・・
あなたのルータは何を使ってるのですか？

>>400
netgenesisってやつです。
ログも何も、初期設定のままいじったこと無いのでわかりません。
ルーティングは勝手にやってくれてるみたいです。
四台つながっていて全部ネットに接続できますし。

inetd[42051]: refused connection from line-172.190.ADSL.ycn.com, service ftpd (tcp)

うちのクラスCグローバルに全部スキャンかけてる気がする。
むかしゾーン転送許可されてたからかなぁ。

>>401
え～とね、あなたのアドレスがポートスキャンされた場合
netgenesisのポートがスキャンされているわけ。
で、netgenesisは初期設定で、WAN側からのアクセスは一切拒否。
LAN側からのアクセスはすべて許可になっているはず。
ということで、ポートスキャンされても、LAN側のホストからは
分からない訳ね。netgenesisはファイヤーウォールのログ出せたんだっけかな？
もし、出せればポートスキャンされたかどうかわかるけどね。
ちなみに、自分のアドレスを自分でポートスキャンするには
ttps://grc.com/x/ne.dll?bh0bkyd2
からどうぞ。

http://www2.to/05F

tracerouteってポートスキャンとおもわれます？

>>397
１パケットごとのログなんかとったらまともなパフォーマンスは絶対でないよ
だから、それがデフォルトになってるようなルータは無いと思われ

ってわけでルータのログ見ても何も分からんと思われ

ポートスキャン　恐ろしい

嵐が来たんでIPとったんだが、どうやってポートスキャンすんの？？？

218.141.70.128

バカ上げ

>>410
セキュリティ板へどうぞ。

日付: 2002/05/30 時刻: 16:56:29
未使用ﾎﾟｰﾄ遮断機能が通信を遮断しました｡詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ﾛｰｶﾙｻｰﾋﾞｽは 12.238.158.60,ms-sql-s(1433)

http://www.zdnet.co.jp/news/0205/22/ne00_spida.html　　これかな？

日付: 2002/05/30 時刻: 17:05:23
未使用ﾎﾟｰﾄ遮断機能が通信を遮断しました｡詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ﾛｰｶﾙｻｰﾋﾞｽは 61.158.188.136,http(80)

こんなのもあった・・・
この人　79131719255380818283110135139

BlackIceのログで
TCPポートスキャンの侵入者
詳細にこんなのが出た。
しっかり名前が出てて笑った…

IP: 61.213.111.252
Node: 橋本一信
Group: 豊里連合
DNS: j111252.ppp.asahi-net.or.jp
NetBIOS: 橋本一信
MAC: 444553547777

>>415
それいいな(藁

俺も見てみたい、実際に

コンソールから
telnet 218.141.70.128 1
telnet 218.141.70.128 1
telnet 218.141.70.128 2
telnet 218.141.70.128 3
telnet 218.141.70.128 4
.
.
.
telnet 218.141.70.128 65535

ってつながるか調べる

23

22

セキュリティ板へどうぞ。

BlackIceってそんなオーバーヘッドなことやってのか、、、
そりゃ遅くなるわけだよな

nslookup 61.193.69.123

Name: FLA9Aaa123.tky.mesh.ad.jp
Address: 61.193.69.123
一分に１０回ぐらいくろーきんぐしてくるんだけど。

あらら

あぼーん

みんな、ひまだなぁ。

ｳｲﾙｽバスターのログを見たら
トロイの木馬がブロックされてたんだけど、
送信元が自分のIPになってて
送信先が知らない人のIPになってました（172.135.**.229でリモホは～～aol.comでした）
送信ポートは6699で送り先は1120でした。
トロイって自分のところから送るの?
誰か教えて

やっぱAGE

>>426
セキュリティ板へどうぞ。

初心者用質問スレッド Part14
http://pc.2ch.net/test/read.cgi/sec/1029675971/

ログ取り始めてわかったことだけどWindowsってパケット撒き散らしてるんだね。

>>429
ローカルにな

別によそのネットワークに迷惑かけてないから安心しろ

>>426
板違いだから、セキュリティ板で聞くが良い。

トロイの木馬の故事（?）を思い出してみればいい。
招き入れてしまった木馬に潜んでいた兵士は内部から攻撃し、
城門も中から開けてしまったとさ。

つまり、内部から外に向けて何か情報を犯人に送りつけているか、
通信を中から開始することで閉じているユーザポートを空けているかどちらかだろう。

>>430

それが、UDPがとんでもないところに飛んでくよ。

>>432
DNSじゃないの？

>>433
禿げ同

ついでに言うと、Windwosがじゃなくてパーソナルファイアウォールが怪しいパケット出してんだろ
スキャンしてきたSrcIP逆引きしたり、相手にFingerだのnbtstatだのかけてるんじゃないの?

>>433
あとNTPね。
最近、自分でNTPの設定しておきながら「アタックされてる」とか
いう馬鹿が多すぎて困る。

>>302
使ったことも評価したことも無いけど、
これって完全にソフトウェアベースだよね？
こいつ自身がボトルネックになりそうで怖い

Bridgingもできないし、やっえｔることはLinuxでLVSやるのと一緒だよね
どうせソフト処理するなら猛烈に高スペックなPCサーバでLVSやる方がパフォーマンスでそうな気はする

#使ったことの無い人間の無責任な憶測だから信用しないように

失礼、誤爆です

137:139へのパケットは企業と思われるところからよく飛んでくるね。
あと1433も（笑）

192.168.0.1

ポートスキャンは何使う？
nmap?

（＾＾）

あぼーん

linuxでnmap使ってます。
nessusが強力らしい
でもwindows版のnmap,nessusは使い方がよく分からない。
大体この手のツールは英語でしか説明がないし
誰か日本語で解説して欲しい。

>>445
ttp://www.puni.net/~mimori/nessus/
ttp://www.ryu.dyn.to/Security/Nessus.html
ttp://hoy.wl.me.titech.ac.jp/~yuji/linux/yesterday/nessus.html

せめてこれら３サイトはチェックしましたか？
そうでなければななしの貴方には無理です。早くお休みください。
英語が読めないなんて貴方は消防ですか？厨房でも理解できる内容です。

〃ノノ人ノ) Yoshi Yoshikawa
(c ⌒ .^ 　 http://crossgate.loops.ne.jp
人_ ーノ Mail [email protected]

強姦軍団スーフリメンバーリスト
■和田真一郎（早稲田大学２文２年）
東京都豊島区高田3-11-14-405 **-3203-3032 ***-9322-3333
■沼崎敏行（早稲田大学３年）横浜市緑区寺山町 ***-4922-5488
■小林潤一郎（早稲田大学４年）新宿区中落合１ ***-1850-0588
■藤村翔（日本大学３年）神奈川県茅ケ崎市今宿 ***-8313-9239
■小林大輔（学習院大学経済１年）横浜市泉区西が岡２ ***-7637-1513
佐藤慎一郎(サヴ)***-4386-6180東洋大学
飛田　祐介***-4247-9174横浜市立大学　辻　純平***-9051-6081東京理科大学
江澤　匡亮***-3043-2811早稲田大学　　西井　薫***-4450-0033東洋大学
木村　直人***-3534-1741早稲田大学　　細見　圭太郎***-7882-5434大阪府立大学
谷田　詔一***-5880-1668京都大学　　　足立　浩雅***-9096-3148帝塚山大学
山川　貢太***-9257-1367京都文教大学　川崎　慧　***-5057-4366早稲田大学
島崎　諒　 ***-6118-3415 帝京大学　　　高山　知幸***-4734-1922東京大学

p64065-adsau12honb2-acca.tokyo.ocn.ne.jp ：03/06/24 00:14 ID:baPdJAU0
218-42-229-118.eonet.ne.jp ：03/06/24 00:14 ID:edLrKc1y
YahooBB218178176013.bbtec.net ：03/06/24 00:17 ID:XeVdPtof
248-35-229-91.adsl.waseda.net.pp ：03/06/24 00:37 ID:baPdJAU0
123-netfu.waseda.ac.jp ：03/06/24 00:44 ID:wqi15aT0
(スーフリ擁護者晒し）

あぼーん

Windows でファイル共有が有効になっているマシンを探すツールって無いでしょうか？
マルチスレッドで高速スキャンが可能なのがベストなんですが。

あぼーん

　　　　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　・３・） (　　＾＾）＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

あぼーん

あ

a

長寿スレですね！
凄いですね！

JWordの勝手なインストールを止めよう！

http://www3.ocn.ne.jp/~techu/stop_jword.html

簡単な設定で悪質な自動インストールを防げます
中国人の作ったＩＴテロソフトＪＷｏｒｄを排除しよう！

ポートスキャンってピンポンダッシュを思い出す。
あまり、人の家を勝手に訪問しないように。

今日の訪問者
Name: pool0078.cvx4-bradley.dialup.earthlink.net
Address: 209.178.146.78
ca-us.earthlink.net

PING打ち返しまくるのは有りですか？（笑）

ポートスキャンのやり方教えてください。
私は全くわからないので、防御する方法も知らないです。

ポートスキャンされる→仕返す→ポートスキャンされる→仕返す→ごにょごしょ→相手は女→SEX

age

ここ数日五月蝿い奴。

zaq3dc031e6.zaq.ne.jp
61.192.49.230
大阪府
CATV

すみません質問させてください。
なんだか今朝からノートン先生が、
ポートスキャンされたんで相手を遮断しますねって騒ぐんです。
が、その相手というのがルータなんです。
プロトコルはUDP、ポートは50000～60000代でランダム。
これってどーゆーことなんでしょうか。
ルータが遮断されちゃうと全部つながらなくなるから困るし
かといって単に無視しろと設定するのもなんか怖いし。

宜しくお願いします。

ほすほす

http://www.2ch.net/accuse2.html　より

６　荒しの定義
　何を以って荒しと認定するかについての問い合わせには基本的にお答えしません。
　　　（中略）
　保守荒らしも無駄にサーバリソースを消費する行為なので、禁止します。

僕の肛門もポートスキャンされそうです！＞＜

巡回

アタック！

やったっことない

2000 >>1-332(332)
2001 >>333-408(76)
2002 >>409-440(32)
2003 >>441-454(14)
2005 >>455-456(2)
2006 >>457-461(5)
2008 >>462(1)
2009 >>463-465(3)
2010 >>466(1)
2011 >>467-468(2)
2012 >>469(1)　←　現在ここ

うむ

たのしい？