【IT】TCP23番ポートへのアクセスが増加、Linux機器の探索か - 警察庁調査 [14/12/19]©2ch.net

TCP 23番ポートへのアクセスが増加、Linux機器の探索か〜警察庁観測レポート
【Impress Watch】（2014/12/19 13:06）

全国の警察施設のインターネット接続点に設置したセンサーによる観測で、11月にはTCP23番ポートに対する
アクセスが大きく増加したほか、NASを対象とする攻撃が観測されたとする調査結果を、警察庁が公表した。

Telnetで使用されるTCP23番ポートに対するアクセスについては、IPヘッダーのTTLの傾向などから、観測した
アクセスの大多数はLinuxが稼働しているサーバーや組み込み機器が発信元になっていると推測された。また、
国内の発信元IPアドレスの中には、ビルなどにおけるエネルギー管理システム(EMS)の管理画面が確認できた
ものも存在しており、警察庁では注意喚起を行っている。

http://internet.watch.impress.co.jp/img/iw/docs/681/128/npa.png
TCP23番ポートに対するアクセス件数の推移(警察庁発表資料より)

観測されたTelnetのログイン試行については、そのIDとパスワードの組み合わせを集計した結果においても、
セットトップボックスや、監視カメラの記録に利用されるデジタルビデオレコーダー、IPカメラルーターなどの
組み込み機器の出荷時初期値と推測される組み合わせが複数確認された。

このことから、TelnetについてはLinuxサーバーだけでなく、Linuxベースの組み込み機器を踏み台とした探索が
多数行われていると分析。探索対象についても、同様にLinuxサーバーやLinuxベースの組み込み機器が
狙われていると推測されるとして、注意を呼び掛けている。

また、11月には国外の特定メーカーが製造するNASを標的とした攻撃が観測された。この攻撃については、
TCP8080番ポートで稼働しているウェブ管理画面を介した2種類の形態が確認されている。1つ目の形態は、9月に
明らかとなったbashの脆弱性を悪用するもので、メーカーからは脆弱性の修正プログラムが提供されている。
この攻撃は9月下旬に観測され、10月には観測されなかったが、11月に入って再び観測されるようになった。

2つ目の形態は、パスワードを変化させログイン試行を繰り返す攻撃で、特に11月23日に集中して攻撃が
観測され、約60種類のパスワードを用いてログインが試行されていた。

警察庁では、近年のNASは高度化が進み、インターネット経由で外部からアクセスして使用する機会も
増えつつあるが、十分な対策を取らず不用意にインターネット上に公開すれば、攻撃の対象となる可能性がある
ことに注意が必要だとしている。

ソース: http://internet.watch.impress.co.jp/docs/news/20141219_681128.html

プレスリリース:
インターネット観測結果等
http://www.npa.go.jp/cyberpolice/detect/pdf/20141218.pdf

23番ポートを塞げばいいの？

うちに置いてるQNAPへのアクセス数がひどい

nasuneもやばいのかね

ｗａｎ側は百鬼夜行の世界、引きこもった方がいい

nasに入れてるエロ動画が囲碁に変えられるのかぁ

60GB のC drive
HDDの空き容量が昨日から極端に少なくなって
午前中いきなり空き容量3GB→15GBに戻った
勝手に中で何か増殖したり減ったり何なのこれ？

１９番ホールが狙われています

>>4
sumane

win以外はどのポートが開いているか調べるの面倒だしな
どうなっても知らん

>>国外の特定メーカーが製造するNASを標的とした攻撃が観測された。

どこのメーカーだ、8080で管理画面にログインするってだけじゃ判らんぞ

ポートチェックでぐぐるとテストしてくれるサイトがあるから自分のPCにアクセスできるかテストしてみろ

全国の警察施設のインターネット接続点に設置したセンサー

なにこれ？

>>13
刑事ドラマで出てくる野外監視カメラ

>>13
分かりやすくセンサーって書いてるだけで、
実際はログ分析スクリプトかなんかじゃないの

TCPの23ってtelnetだろ？
今時そんなに使ってるのないって。
ciscoのルーターとか、RaspberryPIとか、ってあれ？？

NASを外に晒すとか恐しくてできねー
外からアクセスしたいならVPN使えや

デフォルトそのまま放置はよくある

またメルコか！

ポートって24で言うところのソケット？

中国に外注した

前にFTPサーバ設置したら、
2週間ぐらいで韓国からブルートフォースアタックきたわ。

未だに21、22、23を無警戒に開けているやつがいるとはな。

設定ミスやOSのバグも考えられるから、
完全なシステムなんてないわ

完全に情報流出防ぎたいならネットワークに繋がないほかない

よくわからんけど塞がないとダメなんだな。

>>3
QNAPは
http://jvn.jp/jp/JVN55667175/index.html
こんなの出てるからな。塞いどかないと危ないぞ。

Telnet開けてるのなんてもう絶滅危惧種だと思うけどな
ありうるとすれば組み込みやってるNASとか

Androidをlinux扱いするとまああるかもだ

telnetをデフォで動かすスマホのファームを配布してたら
Androidユーザでは気付かないヤツの方が多いぞ

２２番の辞書攻撃があまりにウザイから
SSHを２３で開いとけば安全なんだよ

>>23
つーか、今どきのOSでも、ポート設定ってホワイトリスト方式じゃないんだ？

今どきWAN側のtelnetポートが開いてるなんてそうそうないだろ

ビデオレコーダーに使ってるNASもやばいの？

自宅鯖のHTTPだって、
ポート80をやめて
そのまま平文のまま
ポート443で開いておくだけで
もう攻撃受けないわ。

とりあえずポートをデフォから変更すればびっくりするほど静かになる

自鯖のFTPがハクられてルーマニア人の共有鯖になってた時はワロタ

ポート23なんて、誰も空けてないんだから
「危険」とかないから。

>>35
ワロてないで止めろよw
ルーマニア人は何の悪さしてたの?

リスクもわからんで、よく外に口あけてんなと思う

定番のポートはルーター設定で全部閉じてある。
ルーターの管理者パスワードも変更済み。

ぽーとすキャン

sshも煩く叩かれてるんだよなあ

>>1
今どき、telnet生かしてるヤツなんているのか？

つーか基本的にはfirewallでふさがれてるだろ

悪さしないならどうでもいいよ

>>37
マトリックスがアップされてみんなに落とされてたw
あとハックツールとかエロビとか色々上がってたw
その後ssh以外は全部閉じたよ

アホか
いまどき23/tcp開けてるLinuxなんかあるか

ルータなしで直に接続してる知障がいるのかｗ

勤労感謝の日には休むのか
コンピューターのくせに生意気だぞ

http://i.imgur.com/nmrdDYX.png
23と2869が開いてるのかな

>1
WANにつなぐ必要のないポートは全て閉じておくのが正しい
安い家庭向かルーターでもそれ位簡単に設定できる

日本国内のゾンビサーバー

>>50
つーかデフォでそうしとくのが当然でしょ

sshもポート変えるでしょ、普通

>>20
ソケットはアドレスとポートのセット

>>49
LAN側見てどうすんの

>>47
IPスプーフィングあるからルーターかませば安全なんてすでに過去の話

すまん、専用マネージドサーバー借りてるんだけど、こういうのよくわからん。
どんなこと勉強すりゃいいの？

telnet自体を調べているとは限らないが
23番ポートが開いていれば、管理されてないUNIX（今ならLinuxか）の可能性が高い。
適当にアクセスして、応答のあったIPアドレスを収集して
後で何かに使おうとか考えているのかも？

もっと問題なのは、意識してないところにサーバーが大量に入っていて
その中には穴があいていて、
既に侵入されていて、さらに踏み台にされている機器が大量にあることだね。

>>8
例の画像はよ

家にVPN用のポート開けてるけど、NASじゃない専用サーバにリダイレクトさせてるから
外部からは直接NAS参照できないと思う

sshよりssl+telnetの方が便利じゃね？

フレッツ光だけどルーター噛ませればおｋ？

>>55
あっなるほど

>>13
IDSかIPSかと。

そりゃ確かに今時telnet開けてるようなところは、セキュリティスカスカだろうから、
ねらい目としてはアリか。

またネトウヨか。

>>62
モデム（ONU）の後に入れればおｋ

>>67
発信元IPアドレスがクラスCプライベートでかつWAN側からくるものをデフォルトで遮断できてる家庭用ルーターは限られるよ
設定すらできないってのもありそう

telenetってルーターで塞いでないの？

>>45
上手にサーバを公開すれば美味しい物が勝手に入ってくると

telnetなんて使うなよｗ
使うならインターネットにアクセスするな

>>7
システムのシャドーコピー取ってんじゃないの？
期限切れのが弾かれて、一時的に増えたとか？

>>68
自分で設定しないといけないからな
理解できていないと苦しいな

ネットの入り口にルーターをかませばこういう危険は無くなるのにな。
法律で義務化しても良いくらいだ。

よくわからないけどルータかましとけば大丈夫なの？

俺の後ろのセキュリティホールは常に開いてる。

>>75
おまえみたいなのを、大馬鹿と言う

>>2
23番ポートからウイルス注入するが正解

>>29
fail2ban がお勧め

私の彼女にポートスキャンの痕が！

>>62
フレッツのその器具自体ルーターだろ
>>68
ソースアドレスが192.168のパケットがどうやってインターネットから来るんだ

IPの成りすましなんて、今は不可能だから。

プレステ４のＯＳってLinuxベースだったよな？

なるほど、ワカラン

>>77
大馬鹿じゃなくて普通じゃないかな
俺もITエンジニアだけどネットワークのことは良くわからない

ルーターかましておくほうが安全

アンドロイドもWiFi設定にプロキシの設定があるから
自宅串をかませておくだけで、どこに通信してるかが
手に取るようにわかる

>>57
なるほど、こういうやつを狙うんだな

市販の動画サーバーとかファイルサーバーとか
裏でLINUXが動いててポート２３が最初から空いてる奴がいる

http://av.watch.impress.co.jp/docs/news/20140117_631178.html

PCHシリーズはとても便利に使ってるけど
ポート２３でいきなりルートシェルが動いてて
閉じることもパスワードを設定することもできないから
大好き

だからなんだよｗ
パスワード破りの8割は内部犯行

そもそもポート23番を使ってるかどうかすらわからん

Deny from all

とりあえず俺の家のDMZは中韓台露イランはiptablesでお断りしている
北京からやたらDenyされているのは確認している

２３締めてない程度なら、他の入り口も空いてそうって普通思うわなw

>>57
iptables でインプットは全部ドロップにして最低限操作に必要なsshだけ開ける
あと必要に応じて好きなポート開ける
cronで5分おきにftpやsshのログ確認して同じIPアドレスから何度もアクセスがあれば
そいつのソースアドレスへnmapとwhoisして何者か確認して不正アクセスログのhtmlに追加し
iptablesにそいつを追加してブロック

もう一般向け回線の1024未満のポートはISP側で閉じとけよ
元々規約で鯖立て禁止してるところが殆どだし開けとく意味が無い

全く意味が解らない単語が多過ぎ
解説文ｸﾚｸﾚ

アナル男爵、よくお世話になったけど今どうしてんだろう。。。

誰かやさしく解説して！

ゆむ りむーぶ てｌねｔ したった

pogpplug とか大丈夫なんかな

せめてsshにして

ナイスポート

ポート塞いでない奴がいるのかよ。
23が空いてるとか初歩的な事を放置してる鯖管理者っているのかよ

【速報】最強おっぱい決定戦「P―1グランプリ」開幕！　全部見せます　お色気全開の水着バトル！
あの人気アイドルグループからも続々参戦決定!?

https://www.youtube.com/watch?v=wlhr-dwajR8

大学に納入する機器なんかだと、well-known ポート開けてて
パッチ当ててないとすぐに侵入されるよ。

ちょっと前にコピー機とか侵入され放題とかいう話聞いた時には
さもありなんと思った

Telnetだっけか

そうです
セキュリティは大切ですよ
情になど流されてはいけません

telnetの利点は、何やってるか通信監視で把握できることだけだな
sshは各ホストの鍵を集めなきゃならんからめんどい

>>109
そういえば FTP で暗号化してないログを送った馬鹿者がいたわ。

>>２
はい
外からは全ポート〆

23番ってどこにあるの？
パソコンの裏側見てるけどわかんない。
どんな形のやつですか？

>>112
こんなの

ttp://www.rj45-modularjack.com/photo/pl1218739-led_rj45_smt_100m_rj_45_lpjg_lpjk.jpg

うちの水槽カメラは80番ポートだったかな

うちのSSHは65537番ポート

自宅の機器は直接外からのアクセスは切ってL2TPipsecでLANに入らないとアクセス出来ないようにしてるが逆にVPN乗っ取られたら丸腰だわ

>>95
ありがと。
trendmicro.comからのアクセスがものすごいのは知ってたからこいつはブロックしてる

>>81
パケット偽装
IPスプーフィングで調べてみ

>>68
馬鹿か。

以前のRTシリーズも設定が必要
していなければやられてる所もあるかもね
ルーター頼りでLAN内が甘いと問題になる
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-spoofing-filter.html

「ご冗談でしょう、ファインマンさん」だったかな？

金庫破り名人なファインマンさん曰く
「大抵の人は金庫の番号を出荷時から変えてない、製品ごとの番号を覚えとけばおｋ」

泥棒はガードの甘い家を狙う、みたいなモンかしらん。

ローカルネットワークで一番無防備なのはテレビかも知れない。

ルータの内側にあるならだいじょうぶだよね？

モデムのポート設定でWAN側の23番は拒否になってたわ

>>118
帰りのルートどうするんだよ？
いまどきシーケンス番号の頭はランダムだしつながった振りは難しいぞ。

いまどきtelnetなんて使ってるやついんの？ｗ

>>126
馬鹿の馬鹿さ加減は果てしないからな

今どきtelnetのポート開けてるアホっていないだろ

古いWiFiルーターとかFONなんかはtelnetがデフォで開いてるからな
赤の他人がファーム書き換えてセキュリティアップしてあげることもできるｗ

>>13
FWかIDS／IPSでしょ

>>125
プロバイダによるけどRPFチェックが入ってたらそこで落とされるな

telnetコマンドは80ポート開くのに1回使っただけだな

おまえら何でそんなに詳しいんだ

あー、FONって危ないんだ。ソフトバンクでもらったFON使ってるけど止めるかな。

telnetを最後に使ったのはたぶん20年くらい前だ

>>129
古いWIFIルータだけじゃなくて、Cisco　Catalyst3850とか2960とかデフォであいてるよ。

>>35
ルーマニア国旗に見えて、実は…。

>>133
工事担任者の資格を取ると、全てとは言わないけど、ここで出ている用語のほとんどは解るようになるよ。
種類はDDと総合ね。

今どきtelnetのポート塞いでないサーバーなんて存在するのか

今でもtelnetってよく使われてるの？

>>128
開けてるんじゃなく、開いてる、のを気をつけろって話だよ、バカ

NAS狙いとか？
ちょっと前、キャノンだかの複合機プリンタをネットに公開してる企業があるって
ニュースあったけど、グローバルIP使い放題でうっかりみたいなケース狙ってんのかな？
貧乏人には関係ないな

>>138
総合種持ってるけど知らんわw

>>138>>143
俺も総合種持ってるがTCP/IP関連は全然習わなかったぞ。

>>136
Catalystはスイッチだぞ、LANで使う製品だ
よっぽとザルじゃなきゃ管理VLANと一般ユーザーが使うVLANとを一緒にはしないと思うが

>>138,143,144
電話系の資格だからやらんと思う。
資格だと情報セキュリティスペシャリストとかじゃね。

>>143-144
ずいぶん前に取得したんじゃない？
今年の参考書には、IPスプーフィングや踏み台攻撃、ポートの働き、ポートスキャン、IDS、IPSくらいの
話は載っているよ。動作原理や概要があるくらいだけど。

とりあえず工事担任者規則第38条2を抜粋しておく。
（略）資格者証の交付を受けた者は、端末設備等の接続に関する知識及び技術の向上を図るように
努めなければならない。

中華産のIPカメラがやばいってこと？

telnet外に開けてるところあるの

CCENTかCCNAとれ
ついかでLPICをLevel1でいいからとっとけ

これぐらいまとのな知能あったら3ヶ月でとれる
うちの会社の新人はLPICを1ヶ月で、CCNAを3ヶ月以内にとれないと将来なくなる

>>147
十年以上前。当時はISDNの話ばっかりでつまらんかったが、最近はそんなことまでやるのか。

＞資格者証の交付を受けた者
業務に関係なく趣味で取っただけの俺みたいな人間にも適用されるのか…
そんな規定あったっけ？と確認してみたら、当時はこの条文（第三十八条第二項）はなかった。

いまTelnetが開いてるのはほとんどWindowsだろうよ

telnetてコマンド自体は今でもよくつかうけど、サーバ側はもう長いこと使った事ないな。

ポート変更したsshのみは基本
telnetなんてローカルから復旧するときくらいしか使わんやろ

チャンコロセヨ！

>>152
WindowsですらデフォルトでTelnetサーバが動いてたのは２０００まで（たしか）
それにWindowsの場合幸か不幸かコマンドライン操作が基本でないから
そもそもtelnetの需要が無い。

だからどちらかといったら、危険なのはUnix系。
まあふつうサーバ以前にネットワーク的にブロックしてると思うけどね。

俺のラズパイちゃんは
SSH　→22922
HTTPS→44443
にポート番号変えてる。Telnetなんて問題外だろ。
初めから起動してねえし・・・

うちはDDNSとwolのためだけにラズベリーパイ置いてるけど、ルータにVPNで繋がないとあかんようにしてるわ。
ただVPNで普通に入られたら何にもガードないな

>>141
そういうことじゃないだろ・・・

>>141
「開いてる」からとかじゃなくて
外部に対してtelnetサービス公開してる時点でアホなんですが

>>157
はいはい、
nmap -sT - sU -p "*" TARGET_ADDRESS

ポートスキャニングのこと？

>>1
＞アクセスの大多数はLinuxが稼働しているサーバーや組み込み機器が発信元になっている

これは某国製のネットワーク機器を買ってきて家のネットにつなぐと内外のネットにポートスキャンを始めるってこと？
ロシアで見つかった中国製のアイロンにネット攻撃用のチップが搭載されてたみたいに？

２３番ポートって普通に開いているものなんか？
オレんとこは起動すらさせてないけど

あちこちのLinux鯖が攻撃受けまくりｗ

8080か、あの頃のＣＰＵは簡単でよかったな。冷却ファンすら要らなかったし。

>>70
ルーマニアの炉マニアがいたりしてなｗ

シダックスは

AのアプリケーションをコンパイルするにはBというアプリケーションが必要
BのアプリケーションをコンパイルするにはCというアプリケーションが必要
CのアプリケーションをコンパイルするにはDというアプリケーションが必要
(以下延々と続いて結局使えない)

という変なOSだが、唯一iptablesだけはいい
シンプルで

APTとかYUMとかでインストールすればいいというバカがいるが

「それは誰かが作成してアップロードしてくれたから」に過ぎず、
誰も作成してアップロードしてくれなかったらAPTやYUMは役立たず

だから俺はそんなもん一切使わない
自分でやれないやつはペペックスは無理

ところが自分でやろうとすると「素直にwindows使ってる方が生産的」という事態になる

telnetなんて何年ぶりだろ。
もう10年以上ご無沙汰だ。

Linuxよりも日本の病状の深刻さが際立つスレだな色んな意味で

今23番を外に開放しているアフォなんているの？

VPSが流行ってるおかげで、２２番を外から直接アクセス出来たりする。
サービス提供会社は、ポートをデフォのままにするな、って口を酸っぱくして警告してるけど。

23なんてデフォルトで塞がってるだろうが

個人ＰＣとかじゃなくて、企業の昔の担当者が設定ミスして、そのまま外に繋がってる、
クソ古い放置プレイの特殊装置（製造装置等）とか、ねらってんだろ。
そういうのでも、１台クラックできたら、イントラネットに入られるからな。

>>23
エロサイト等からウィルス仕込まれて開放させられてるかもしれんよ

Montavista Linuxとか入ったルーター結構あるだろ？(´・ω・`)家庭用じゃなくて企業用のやつとかな

>>172
中には開放してる。管理用に。

実は刑○所の懲役データもハッキングで書き換え可能。
行政文書開示請求すると刑◯所の設計図すら合法的に入手可能。

rhelの4くらいからは後からtelnetサービス立ち上げるの面倒。

telnet開けてるなんてそうそうないだろ。
不安なら外部からポートスキャンしてくれるサービス使って調べとけば。

外からも中からも管理用として別に隔離されてるところなら、
NW機器の管理のために開けてるでしょ

>>182
ばーか

お前らそれより警察にモニタされてることを気にしろよアホか

>>184
お前みたいに警察にモニタされてヤバいことやってないからOK

Linuxカーネルに複数の脆弱性が発見
http://news.mynavi.jp/news/2014/12/19/333/

ポートなんて勝手に閉じてるンだから問題ないだろ
ＸＰだけど、ルーターなんて解してないし、ずっとＸＰについてるＦＷでやってるけど
誰も攻撃してこないよ

すみません。
インターネットに無関心な私にはTCP23番ポートとかLinux機器とかわからない言葉ばかりです。
どなたか解説をm(_ _)m

>>125
帰りのことなんか考えてない
udpが一発通ればいい。

POIのマシーンが始動し始めたのか

これでウチの回線もやたら帯域使ったんだな
電算にポート塞がせるか

>>13
夜中に、電柱の所に立ってるおっさんをよく見かけるだろ？
それが、これ。

初心者学習ソフトのバグの悪寒

上にも下にも朝鮮の裏に支那の暗躍あり

ほとんど組み込みだろ

ID：root
PASS：kuroadmin
どうぞよろしく

中国か韓国製のルーターとNASいれてるやつ
あと、中国か韓国からOEMしてるルーターかNASいれてるやつ
おまえら、交換しとけ

>>195
インフラ系の組み込みはやばいな
同時多発停電とか水道とめるとか、
放火もできる
こわすぎだろ

>>188
LINUXがOSの名前、
TCP23番ポートってのがメジャーな通信ソフトで使われている通信用の回線

WindowsでもMacも同じだな

>>186
組込Linuxが正体のＡｎｄｒｏｉｄなんかすげー脆弱性ありそうだけど

>>200
Apple信者乙
脆弱なのはおまえの脳

秋口から最近まで、PCが毎日ブルースクリーン連発で買い換えなきゃと思ってたのに、
今は全くそれがなくなって元に戻ったみたい

あれは何だったんだろう？

>>202
PCの中、掃除しろ

>>4
kamone

>>152
ここ近年のWindowsはデフォルトでtelnetは閉じてるよ。
telnet自体デフォルトではインストールされてなくて、必要なら
インストールしなきゃいけない。

＞アクセスの大多数はLinuxが稼働しているサーバーや組み込み機器が
＞発信元になっている
LAN接続の外付けHDD製品などを次から次へと踏み台にして連鎖的に乗っ取る？

＞国内の発信元IPアドレスの中には、ビルなどにおけるエネルギー管理
＞システム(EMS)の管理画面が確認できたものも存在しており
アタックしてくる機器のストレージとは自由にやりとりできるってことか？

なにこの便利な共有システム