異世界からの訪問者『 127.0.0.1 』

昨今、外部「127.0.0.1」から1000番台ポート へのアタックが急増してるようだが。
この謎の訪問者はいったいだれか。

>>1
自分

>>1 が使ってるプロバイダは Yahoo!BB

>>3
ドイツにもY!BBがあったとは知らなかったぞ。
http://lists.insecure.org/lists/incidents/2001/Sep/0372.html

もう一丁
http://lists.insecure.org/lists/incidents/2002/Jun/0044.html
来てる奴はこのくらいはログ取れよ。

しかし、両方とも古いな。

　　　　　　　　　　　　　　　　　Λ＿Λ
　　　　　　　　　　　　　　　　 （ ´Д｀ ） ｽﾝﾅｯﾃ　　Λ＿Λ　
　　　Λ＿Λ　　　　　　　　　／　　　 ,＼　　　　　 （´Д｀　） ｲｯﾃﾝﾀﾞﾛ
　　 （　´Д｀） ｸﾀﾞﾗﾈｪﾂﾘ　 |　l　　 　l　|　　　　　／　　　 ,＼　
　　／　　　 ＼　　　　　　　 | .;|;;:｡;:,:、| ;|　　　 ..,. |　l　　 　l　|
　　|　l　　 　l　| 　　　 ..,. .,　ヽ 'ﾟ;_｡:_;./ /;-ﾟ;・,｡:ﾟ;:.ﾟ|；;|.　　　| ,|
　　|　|　　　 | _|｡.:_:：゜｡-.;.:゜;／_ﾝ∩ｿ/＼;；:;.:.｡:　 ヽ 'ﾟ;｡_　/ /
　　ヽ ＼_　.｡'ﾟ/　　　`｡:､｀；゜::;.:、,:ﾟ;:　.:..゜:: ﾟ｡:..;: ／_ﾝ∩ｿ/＼　
　　 /＼_ﾝ∩ｿ＼　　　 ﾟ ;:ﾟ..゜:: ﾟ｡:.:.:ﾟ; ﾟ ;:ﾟ..;ﾟ; 　／　 /`ｰ'ｰ'＼ ＼
.　 /　 /`ｰ'ｰ'＼ ＼　　　 ﾟ ;:ﾟ..゜:: ；｡:.:.::ﾟ｡；:;.:ヽ 　<　　　　　/　/
　〈 　く　　　　　/　/　　　 ﾟ ;:ﾟ.｡゜:；ﾟ;ﾟ.｡.:`；:;.:.｡ ＼ ＼　 　 /　/
.　 ＼　ヽ　　　/　/　　　　　.;.:.;.゜::: ；｡: ；:ﾟ.゜:: :　 .〉　）　 （　.く,
　 　　〉　）　 （　.く,　　　　　ﾟ.;ﾟヽ（｀Д´）ﾉｳﾜｧｧﾝ（_,ノ　　　＼.`）
　　 （_,ノ　　　 .`ー'　　　　　;:ヽ（ >>1 ）ノ:ﾟ.;.:;

自分はYBBはないですが、来てました。
2003/09/21 03:09:40: PP[01] Rejected at IN(default) filter: TCP 127.0.0.1:80 >
192.???.???.???:1344

今は静かですが。

　　 ∧∧ ノ⌒ヽ　＜>>1さん、毒まんじゅうをドウゾ♪
　　(*ﾟーﾟ(　 ;;*;; ）　∬
　　　 "U し"：`Ｊ ,,.●;.: ,.ぶりぶり
　　　　　　　　 `;;,･:';,:'∵　 ● ● ● ● ● ● ● ●

>>8のルーターはヤマハ

ヤマハのルーターはどうですか？相変わらず遅いですか？

ヤマハのルーターは相変わらず値段が高いです

なにここ？

127.0.0.1:80から来てるパケットのフラグは？
うちに来てるのはRST ACKがセットされてるけど。

あとこれ参考になる？
ttp://archives.neohapsis.com/archives/snort/2003-09/0034.html

>>14
このパケットが出回る理由になってない気がするんだが…
Blasterってソースアドレス偽装するんだっけ？

>>14
RST, ACKなら自分がコネクション張ろうとして拒否された場合だな。

>>14のリンクによるとwindowsupdate.comが127.0.0.1にされちまってるって事か?
喰らってる奴はdigってみれ。

＼（＾▽＾）／http://www.geocities.co.jp/SiliconValley-PaloAlto/7380/kaorin.html♪

>>16
digってなに？
hostsデータでwindowsupdate.comが127.0.0.1になってるってこと？
それだとパケット自体、外に出ようがないんだけれども。
windowsupdate.comつながるし。
も少し詳しく。

>>18
digはnslookupみたいなもん。
それからhostsじゃなくてDNSの話。

>>16
dig入ってないけどnslookupだとダメなの？
X:\>nslookup windowsupdate.com
*** No address (A) records available for windowsupdate.com

>>14のリンク先
感染したクライアントが127.0.0.1:80に接続しようとして拒否されると
他のマシン<RandomIP>にも、ソース127.0.0.1:80なRST ACKパケットが投げられる
って読めるんだけど、あり得る事？

で結局、これの原因はBlaster（の対策にDNSいじったこと）でいいの？

質問ばっかりでｽﾏｿ

>>20
> 他のマシン<RandomIP>にも、ソース127.0.0.1:80なRST ACKパケットが投げられる
> って読めるんだけど、あり得る事？
普通はありえない。
Blasterがソースアドレスを<RandomIP>に偽装するならあるかも。

>>19
勘違いしちゃった。スマソ

>>20
んじゃ、Blast感染してない人は問題ナッシングなんだね
よかった

漏れの所も来ていた…。それも連続で

Sun, 2003-09-21 22:04:59 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1682,LAN
Sun, 2003-09-21 22:06:38 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1437,LAN
Sun, 2003-09-21 22:07:12 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1197,LAN
Sun, 2003-09-21 22:07:28 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1693,LAN

ちなみにOCNを使っていまつ。

セキュリティ初心者質問スレッドpart30
http://pc.2ch.net/test/read.cgi/sec/1063081161/584

IE(試したのは6)を起動した後で、そのIEが初めてネットワークへ接続しようとする時、
localhost:xxxx -> localhost(127.0.0.1):xxxx (宛先ポートは同じ)
でUDPパケットを投げてて、
こいつを弾くとIEのネットワークからのデータ取得動作が極端に遅くなるみたい。
WindowsUpdateでどうこうってのはこれが関わってるのでは？

#そういや昔から気になってたんだよなぁ。これって何してんの？

君たちは飼育されている。

>>25
何してるか知らないけどIEは前からそう。
TCPだし80だし関係ないと思う。

来てる人って。http://127.0.0.1/にアクセスしても同じ警告出る?

>>28
漏れは出ないよ。けど何故？

単純なloopbackの話じゃないから。
いいから、もう。
それぐらい、みんなわかってるから。
よくある、『127.0.0.1は自分だよ！』って突っ込みはナシだから。
そんなの踏まえて、言ってるだけだから。

こういう事かな・・・

あるマシンがワームに感染していた。

このマシンのワームはwindowsupdateにHTTPアクセスで
DoS攻撃を行なった。この時送信元のアドレスをAに詐称した。

windowsupdateのDNSレコードが127.0.0.1に書き換えられていた為、
このDoS攻撃は自分の内部に対して行ってしまった。127.0.0.1はこの
DoS攻撃（HTTPアクセス）の応答を律儀にもAにとどけた為、たまたま
詐称されたアドレスAの>>1が？？？（ワケワカラン）となった。

結局の所みんな知りたがってるのは理論的なことでなく、ハッキング的な人為的な物なのか
あるいはブラスター亜種等のワーム蔓延による半不可抗力的ものかと言う事だな。
自分としては >>31 の内容が一番つじつまが合うような気がするが。

ちなみに自分も1ヶ月前には無かったがここ最近叩かれてる。

アングラでipspoofingの簡単ツールが出回って厨房が、めったやたら
使っていると見た

>>24　のリンク先
http://pc.2ch.net/test/read.cgi/sec/1063081161/584
を見て、サイゲートのパーソナルFW　SPF5.0のセキュ穴
の件を調べてみました。 IP address 127.0.0.1 あるいは
Network Address 127.0.0.0.を詐称したパケットを素通り
スルーさせてしまうというもの。こりゃひどいでつ。ポート
スキャン、DoS攻撃かけほうだい。

サイゲートでは今年の１月に大慌てで修正版をリリース。
以前の版の使用者にはルールで127.0.0.0-127.0.0.255を
ブロックしれ、と言ってます。
http://www.sygate.com/alerts/IP_Spoofing_Loopback_Address.htm

>>33
茂スレにいたあの脳タリンか?

>>34
> ポートスキャン
んな事できるわけねーだろ。

不要な摩擦を避けるため訂正しとこう。
>>33
茂スレにいたあの脳タリンがやってるのかも。

>>35
http://www.google.co.jp/search?q=cache:esFn8cAZ5NoJ:lists.insecure.org/lists/bugtraq/2002/Sep/0131.html+%22IP+spoofing%22+Sygate&hl=ja&ie=UTF-8&inlang=ja
> The Attacker could scan or attack the target host without being
> detected by the personal firewall.

>>35
このアフォはなんで一人で興奮してるんだ？
こういうノータリヌが立てこもり事件起こしたり
散弾銃でお隣さん射ったりすんだよなー。

>>37
スキャンといえばポートスキャン。そんな>>37に萌ぇ〜〜〜

ゴホンといえば龍角散

>>38
まあ普通の人がスキャンといえばポートスキャンだと
思うのはしかたない。しかしＩＰスプーフィングでセッッション
乗っ取る古典的な例が出てるわけだが、それはどのように
実行されたのか、それを防ぐにはどうすればいいか述べて
みれ。

>>35
回答できる人間は回答する。
回答できない人間は質問する。
質問も回答できないノータリヌは意味なく罵倒する。

>>41　のアンカーは>>35でないのｗ？
なにしろマターリいきましょ

>>41
IPSpoofingには幾つか方法があるわけだが、どの方法に関して聞きたいんだ?

先生ー、質問です。
127.0.0.1をソースアドレスにしたパケットはルーターを越えられるんでしょうか？

>>45
フィルターしてなきゃ超えてくる。

ルーティングの基本は宛先アドレスだけを見るからな。
家庭用の品はデフォルトでフィルタして欲しいものだが。。。
プロバイダもingress/egressフィルタで落せや。

0.0.0.0のinboundなんかは、これの仲間ですか。

>>48
なんだろね？
192.168.0.255とか来出したら嫌だね。

ルータのSPIで防げるじあん。

SPIで防げるのかヨ。へぇー

ログに127.0.0.0があったんで検索したらこのスレ見つけますた。
送信IPは簡単に詐称できることを知りますた。ﾋﾞｸーﾘ。最近も
セキュリティー板でメールのFROMも詐称できることを知りますた。
人間不信だぁ〜

ルーターを使ってるのですがぞぬのTCP flags:ARがLOGに残っています。これはルーターを越えたって事？
>>8 >>23　見たいにルーターのLOGには残っていないです。(BAR-SD)

ちなみに静的フィルターしか付いてないのですがこれでは防げなのでしょうか？

>>53
スタティックフィルターでもブロックできる、ルーターのマニュアル嫁。
WAN側から入ってくる↓こいつらをソースアドレスにもつものをブロックすりゃいい。
インターフェース指定してフィルター書けないルータなら捨てろ。

http://www.blackh0le.net/useful/ip.html
最低
The current list of special use prefixes:
0.0.0.0/8
127.0.0.0/8
192.0.2.0/24
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
169.254.0.0/16
all D/E space
フィルターのテーブルに余裕があって偏執狂ならIANAが予約してるの全部ブロックしてもいい。

>>54
YAMAHAのはデフォルトブロックしてるから
何もしなくていいよね。ね？いいんだよね？
ちょっぴり不安
とくに0.0.0.0/8あたりが。

src:0.0.0.0:68, dst:255.255.255.255:67ならDHCP DISCOVERだな。

能タリンなんて言葉久しぶりに聞いたな。
未だに使ってる人間が居たとは。
たぶん漏れの親父でも使ってないな。

うっせ、じーちゃんに言われるんだよ。

>>56
お！ それそれ
マルチキャストのゴミって事？

>>59
DHCPは始めはアドレス割り振られてないから0.0.0.0で「おいらにアドレスくれる香具師いる?」と
ブロードキャストする。

・・・・で、結局来たらどうなる訳？

ゾヌでの進入検知をしてない訳だが。
来たら侵食でもされるの？

何もされない

これは
ファイアーウォ−ルもルーターも入れてないおいらには
関係ない話ですか？

関係無くは無い。

>>63
ファイアウォールはともかく、ルータは入れたほうがいい。
アナログや ISDN のダイアルアップだからといって安心は出来ない。
パーソル http://www.persol-jp.com/ からアナログモデムや TA を
繋げられるルータも販売されている。
Unix 系 OS 使って自力でゴリゴリやってるとかならともかく、
ブロードバンドでファイアウォールもルータも使ってないなら死ぬ。
マカもたかくくってるぞ危ないぞ。

>>65
おいらブロードバンドなんでやばそう？
Xｐのやつじゃまずいの？

>>66
毎日 Windows Update をやってて、危ない所には一切行かない、
メールの添付ファイルは全部捨てて、HTML メールは読まない。
出処の明らかでないソフトはインストールしない。
2ch に貼られたリンクは絶対にクリックしない。
そんな禁欲的生活を送っているなら大丈夫。
セックスを楽しむ時にコンドーム付けるのと同様、
ブロードバンドする時にルータをかますのは常識。

>>67
そうなんか・・・
ありがとう
お金が入ったらルータ検討してみる
セックスを楽しむ時にコンドーム付けないのがおいらの主義だが

>>68に「転ばぬ先の杖」という言葉を贈ろう

>>68
ルータ入れりゃそれに越したことはないが、パソコン１台の環境なら
　ファイアウォール+アンチウィールス+アンチスパイ+Windows Update
で普通は十分。もちろんウィールス定義ファイルは毎日更新をチェック
する。（セキュ板にいろいろ専門スレがあるから参考に）

もっともノートン買うくらいならルータ買ってフリーのセキュソフト入れた
方がいい。実勢１万前後の製品で十分。

PC２台以上ならもちろんルータ必須。NetBIOS+馬鹿ハブでつないだり
してると世界中から丸見えｗ

>>67
ブロードバンドルータ導入によって得られる安全性と最初の1文以外の警告に関連性が無い。

>>70
1台ならFWで間に合って2台以上になるとルータ無しじゃ歯が立たないってのは明らかにおかしいと思うが？
個々のPCにFW入れて運用ってのは手間は増えるが、その手間さえ惜しまなければ1台の時と変わらないと思うが…

>>71
２台になるとLAN内とLAN外の双方と通信しなきゃならない
んだから状況は全然違ってくる。てか、釣りか？

HUB

127.0.0.1 さんから今日も３回……。

サイゲート以外のファイアウォールソフトにはIP Spoofing Loopbackの
脆弱性はないのでしょうか？
NIS2002使用してるんだがブロックしてるのかどうかよくわかりません。

>>72
そのためのFWなんだが釣りか？
設定覗いたことないのか？
それとも詳細な設定殆ど出来ないタイプのFW使ってんのか？

(´-`).｡oO(>>72の言ってる事は間違いでは無いよな・・・ )

>>76
誰がIPフォワードするんだよ。ボケッ

>>75
SygatePFにもそんな脆弱性はない

>>79
>>34に書いてあるように現行バージョンはないけど以前はあった。
SygatePFに今はないとして他のPFは本当に大丈夫なのかとういうこと。

で、なぜ？最近このアタック多いんだ？

>>76
誰でも知ってるような知識の切れ端ふりまわして迷惑がられる
のは職場でやってくれ。それともその性格が災いして失業中か？

>>82
自分に言い聞かせてんの？失業中なのか。。

>>82
会社で何か嫌な事でもあったのか。
お兄さんに話してみなさい。

2ch信者が図星突かれて逆に煽り始めた

失業者が逆に煽られて「２ch信者」などと宣巻い始めた

平日の9時
素晴らしい奴らだ。

http://aa2.2ch.net/test/read.cgi/accuse/1062154461/944
おら、2ch信者は所詮そんなもんさ。

また哀れな自覚の無い鸚鵡返ししかできない視野の狭い2ch信者を改心させてしまった。。。

>>87
高卒さんにはわからないかもしれませんが大学では1限から講義があるとは限りませんよ。

>>90
http://aa2.2ch.net/test/read.cgi/accuse/1062154461/946
>基本的に常に偉そうにしている。嫌味を言うときだけ敬語になる。

実に素晴らしい2ch信者だ。
特徴に合致している。
批判要望板で自分なりの意見を書き込んでみてはいかがかな？

インターネットでうろうろしていたら　レジストリを書き換えられたみたいで
アダルト画面が勝手に立ち上げって仕方ありません
どうすればいいでしょうか？

>>91
アンチ2ch教信者以外批判要望板なんていきませんよ。

>>91
そんなに2chが嫌いならYahoo掲示板でも/.でも個人サイトのBBSでも好きなところ逝けよ。

>>83-84
煽って誤魔化そうとしないで、>>78に答えろよ。

>>95
ICSでもISPから複数IPでも何でも良いだろ。
2台以上になると利便性の面でルータだろうな。
外れ掴まされると痛い目にあうようなので興味があるならハード板逝ってくれ。

まあ何はともあれ>>76の内容は大間違いなわけだが。

　　| ＼
　　　|∀｀)　ﾀﾞﾚﾓｲﾅｲ･･ﾇﾙﾎﾟｲｳﾅﾗ ｲﾏﾉｳﾁ
　　　|⊂
　　　|


　　　　　♪　　Å
　　　♪　　　／ ＼　　　
　　　　　　ヽ(´∀｀ )ﾉ ＜ぬるぽ
　　 　 　　　 (　 へ) 　　　
　 　 　 　 　　く 　　　　　　



　　　♪　　　　Å
　　　　　♪　／ ＼　　　
　　　　　　ヽ（ ´∀｀）ﾉ　＜ぬぽぬぽ　
　　 　 　　　 (へ　 ) 　　　　ぬるぽ
　 　 　 　 　　　　 >　　　　

大間違いは>>71じゃろ。

俺はルーター無いとブローバンドできないとおもてたよ

それで、真の原因はなんだよ〜

トロイ、ワーム、ウィルスの類？

厨房のツールを使ったイタズラ？

どっちなんだよう。

Teardrop?

>>102
IPアドレスの偽装とパケットの不正フラグメントアタックは関係ないと思われるんですが、、、？。では、その道に詳しい方、御教授願います。

外からの127.0.0.1モニターしてみたけど、ハンドシェイクしようと
いうようなパケットは全然来なかった。
1つだけ囮らしきサーバーに返すのあったけど。

パケットをモニターした結果は、RST,ACKがセットされてるのかな？だとすると、、、31の説明で一見落着な感じですね。ループバックしてこれ読むとさらに納得すました。
ttp://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.html
ttp://archives.neohapsis.com/archives/snort/2003-09/0034.html

>>105
ＢＩＮＧＯですね。
SymantecのHPを下まで読むとDOS攻撃の産物だと言うことが推測できます。

原因：Blaster.Worm

それじゃぁ、もういいな？
　　　　　　　　∧∧　　ミ　＿　ドスッ
　　　　　　　 (　 　,,)┌─┴┴─┐
　　　　　　　/　　　つ.　 終　 了 │
　　　　　〜′　/´　└─┬┬─┘
　　　　　　∪ ∪　　　 　 ││　_ε３
　　　　　　　　　　　　　　 ゛゛'゛'゛

>>100
ルータ使わずにブロードバンドしてる奴は変態かキチガイ

>>107
やふーｗ

>>104
ということは感染したのは自分とこのLAN内のPCなんですか？
外部じゃなくて。

結局なんだ

>>110
>>31

>>109
俺もこれが知りたい。

>>112
だから>>31よく嫁よ。　感染してんのは外部の第三者。

　シマンテックが推奨するように企業やプロバが
　DNSサーバのWindows UpdateのDNS情報を
　127.0.0.1に書き換えた→ワームがWinUpdateに
　DDoS攻撃をかけようとDNSを見に行くとIPアドレス
　127.0.0.1に解決されてしまう→127.0.0.1は自分自身
　だから、自分に向けて攻撃パケット送出ｗ→自分
　自身がこの攻撃に応答→ワームがそのときたまたま
　詐称したアドレスに向けてその応答を送出→
　詐称されたアドレスでﾜｹﾜｶﾗﾝ???状態

という流れ。ワームはマシンA(IP=aaaaaa)上で活動して
いるが、ワームは送出元IPをランダムに詐称（IP=asdfqwerty）
しているので、マシンAは自分自身(127.0.0.1)にパケットを
送っているにもかかわらず送出元IPがasdfqwertyに認識されて
しまう。そこでasdfqwertyに応答パケットを送り出す。


しかしFWのログに127.0.0.1が出る理由はほかにもありうり。
localhost間の複数のプログラム（ブラウザと広告チェッカーとか）
の通信が間違って表示されるなど。

しかしどっちにしても実害はないから気にすることない、が結論。

ではこのパケットが多い香具師はあちこちに自分の名（IP）を語る香具師がいると言うこと？

この、わからずや〜〜〜〜〜〜！

ﾜﾗﾀ

すまん、いま始めてきたのだが、も一度説明して
>>31が理解できん

>>117
>>14

いいかげんに終息してほしいんだが。
もうここ１〜２ヶ月IP変えても数分おきに位に来てる。

もまいら、今どきブラスターに感染してんじゃﾈｴｰﾖ、ｺﾞﾙｧ。

http://www.cyberpolice.go.jp/
ここの、10/16
「Blaster.EワームのDoS活動に起因すると考えられるトラフィックの増加について」
の中に、
「送信元IPアドレス127.0.0.1、送信元ポート80のTCPパケットの増加について」
が分かりやすいな。

ttp://www.cyberpolice.go.jp/detect/pdf/H151016_127.0.0.1.pdf
トラヒックの増による負荷増大などを招きかねないものであることを念頭に置き、
他のBlaster 亜種の活動も含め、今後の動向に注視していく必要がある。

とらひっく・・・

>>121
ふつーに使うが。>トラヒック
違和感憶える>>121は素人。

違和感は覚えるだったな。

虎ひっく、つーのは昔どっかの学会がそういうDQNな表記に
決めちゃったの。情報通信学会だっけ？

一般文書中じゃ異様だし、専門用語としては定着しちゃってるし
困るんだよな。

しかしこのスレも細々ながら長く続くよなｗ

Ｋ察庁のこの資料見ると、
http://www.cyberpolice.go.jp/detect/pdf/H151016_127.0.0.1.pdf
結局>>31、>>113の推理のとおりだったわけだ。セキュ板住人
のレベル高いな…

●●●マスコミの 「盗聴／盗撮」 は許されるの？その６●●●　　　　http://natto.2ch.net/mass/kako/1000/10003/1000393251.html
783 名前： 郵便屋 投稿日： 01/10/12 07:22 ID:eqc3p.xc
>だからさー、ドラマや小説のネタにして誰にどういうメリットがあるの？

メリットがあるかないか、というより、嫌がらせや脅しが目的だろ。
嫉妬や妬みのようなくだらない理由で嫌がらせする人っていっぱいいるよ。
普通はありえないと思うだろうけど。
変な不祥事が連発しておこることが事件に取り上げられてるけど。
世の中くだらない個人的感情で仕事をする馬鹿な人がいっぱい、いるんだろうと思う。

969 名前： 文責：名無しさん 投稿日： 01/11/04 13:30 ID:nZuvB+Z1
>>951
関係者というのは、盗聴された私と親しい間柄にある人や、知人のことです。
たとえば家族とか、電話で話した人、家で話題にした人、友人等です。
家族が知人と電話で話した内容がネタになった事があったり、知人の名前が
ドラマに使われたりします。

970 名前： 967 投稿日： 01/11/04 13:52 ID:v3mAO06V
>>969
あるね。最低だな。最近じゃ不治てれびとか。業界内の遊び感覚でやってると思うね。

トラヒック
http://www.google.co.jp/search?q=%E3%83%88%E3%83%A9%E3%83%92%E3%83%83%E3%82%AF&ie=UTF-8&oe=UTF-8&hl=ja&lr=

トラフィック
http://www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=%E3%83%88%E3%83%A9%E3%83%95%E3%82%A3%E3%83%83%E3%82%AF&lr=

トラヒィック
http://www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=%E3%83%88%E3%83%A9%E3%83%92%E3%82%A3%E3%83%83%E3%82%AF&lr=

フレッツADSL経由で、プロバイダはニフティを使っているけど、
ルーターのログを見ると、自称？ 127.0.0.1:80 から、WAN側のいろんな
ポート番号に毎日アクセスされているような感じ。

だけど、ポート番号は、いわゆる well known なものじゃなくて、1024よりも
大きな番号ばっかり。

これって、もしかして外部からの不正アクセスでもなんでもなくて、ルーター
それ自身のNAT機能のバグか何かじゃないかという気もするけど、プラネックスの
ルーターで、そういう話って誰か聞いたことあります？

おっと失礼しました。
ちょっと上の発言に、そのものズバリの情報へのリンクがありますね。
すみませんでした。

なるほど、ご近所にワームにやられたマシンがあるということですね。

トラヒックは電話系の人がよく使うみたいですね。
ＩＴ業界ではトラフィックが一般的ですが、たまに
ＮＴＴのおじさんなんかがヒックって言います。

電電公社のお役所言葉っていうイメージがある。

相変わらず、来てます

ba5000pro(2003-11-01 15:03:40)INFO : TCP from:127.0.0.1 to:219.xxx.xxx.x src port:80 dest port:1990 IP Spoofing packet is detected.
こんな感じでログがｲﾊﾟｰｲ

>>120
ここ見るまで何これ？って感じだった。

ウチはこんな感じ。

Your router Alert Information

Time: 11/03/2003, 22:05:32
Message: IP Spoofing
Source: 127.0.0.1, 80
Destination:xxx.xxx.xxx.xxx, 1023 (from PPPoE1)

この三連休で７００通もアラート来てました・・・。
カンベンしてほしい・・・。

俺かも・・・

とにかく選挙には行きましょう！誰に入れてもいいからさ。

ニフティに、「127.0.0.1を名乗るパケットが届いて嫌なんだけど、
なんとかならない？」と、問い合わせたら、こんな返事が来たよ。
「おまえの、ログの読み方が間違っているんだろうね」だそうだ。
とほほほ。

ご連絡いただいておりますアクセス元のIPアドレス「127.0.0.1」 は、ルー
プバックアドレスと存じます。断定はいたしかねますが、今回のご連絡につい
ては、不審をいだかれる類のものではないと思われます。

なお、ご利用のルーターの動作については、弊社では詳細はわかりかねます。
ログの見方や設定などについてご不明な点がございます場合は、メーカーサポー
ト窓口へご相談ください。

>>137
>>121でも教えてあげたら

age

Norton Internet Security 2003を使ってるんですが、
ある人から計30回もｱﾀｯｸがありました。
もう侵入されたかもしれませんが、
どこの国の人か調べる方法を教えてください。
あと、どのポートが狙われたのかを調べる方法と、
そのポートを閉じる方法を教えてください。

>>140
セキュリティ初心者質問スレッドでも聞いてただろ。
マルチポスト (・A・)ｲｸﾅｲ!

第一このスレッドとはスレ違いだろ、死ね。

1日でぴたりと収まったな。

元旦以降はずっと静かだったのに復活？
16日0時以降、１時間平均5〜6回来てる…

きてるよー。ルータにログが残ってる。
驚いてウイルスチェックしてしまったが、異常なし。
ルータ内のマシンが全部寝ている時にもあるから、やっぱり外部からなんだろうなぁ。

「着信アリ」って映画を連想した

04/01/19 午前 12:38:42Rst attack127.0.0.1 -> 127.0.0.1
04/01/19 午前 12:38:42通信の要求127.0.0.1TCP(1794)
04/01/19 午前 12:38:10通信の要求67.241.170.18TCP(135)
04/01/19 午前 12:37:51通信の要求218.223.97.53TCP(25575)
04/01/19 午前 12:37:30通信の要求127.0.0.1TCP(1222)
04/01/19 午前 12:36:20通信の要求127.0.0.1TCP(1722)
04/01/19 午前 12:36:12通信の要求220.111.197.139TCP(25575)
04/01/19 午前 12:35:24通信の要求203.136.81.59TCP(25575)
04/01/19 午前 12:35:22通信の要求61.214.162.57TCP(135)
04/01/19 午前 12:35:03通信の要求127.0.0.1TCP(1276)
04/01/19 午前 12:34:41通信の要求210.233.192.68TCP(25575)
04/01/19 午前 12:32:32通信の要求61.215.216.19ICMP(2048)
04/01/19 午前 12:32:06通信の要求61.214.110.197TCP(135)
04/01/19 午前 12:31:29通信の要求218.222.55.140TCP(25575)
04/01/19 午前 12:31:19My address127.0.0.1
04/01/19 午前 12:31:19通信の要求127.0.0.1TCP(1176)
04/01/19 午前 12:30:54通信の要求220.221.252.17TCP(25575)
04/01/19 午前 12:30:33通信の要求61.214.145.24TCP(135)
04/01/19 午前 12:30:27通信の要求61.214.182.114TCP(135)
04/01/19 午前 12:29:44通信の要求67.30.218.205TCP(135)
04/01/19 午前 12:29:32通信の要求68.212.139.202TCP(135)
04/01/19 午前 12:27:33通信の要求127.0.0.1TCP(1176)

あ〜〜気色悪い！！

前にもまして大量に来るようになったな

最近ひどいね。まぁ実害ないからいいけど。

つーかこいつが半数を占めるまでになって来たのだが…

ここ２日は全然ないなー。

また始まった模様

firewallのlogに images.real.com [127.0.0.1]ってあるんだけど、何これ？

04/02/17 午後 3:21:41My address127.0.0.1
04/02/17 午後 3:21:41通信の要求127.0.0.1TCP(1033)
04/02/17 午後 3:19:31通信の要求63.225.132.27ICMP(2048)
04/02/17 午後 3:16:06通信の要求200.43.118.174UDP(137)
04/02/17 午後 3:15:23ポートスキャン169.254.26.61TCP(139)
04/02/17 午後 3:15:23通信の要求169.254.26.61TCP(139)
04/02/17 午後 3:15:23ポートスキャン192.168.10.1TCP(139) <<
04/02/17 午後 3:15:23通信の要求192.168.10.1TCP(139) <<注目
04/02/17 午後 3:15:23ポートスキャン220.175.37.210TCP(139)
04/02/17 午後 3:15:23通信の要求220.175.37.210TCP(139)
04/02/17 午後 3:15:00ポートスキャン213.33.236.110TCP(445)
何気にblock logを見ていたら・・・こんなものが。
割り振っているLocalは192.168.116.0/24だし、訳わからん。
あわててウイルススキャンしたけれど、問題なしだった。う〜〜〜む？

１２７．０．０．１　はハッカーですね！！

20日の夜からログが凄いことになってるｗ

127.0.0.1 へのアクセスのセキュリティ警告について（シマンテック）
http://service1.symantec.com/SUPPORT/INTER/nisjapanesekb.nsf/3c0446b8d7bec4b385256c470047c0ed/ccae00d24a10e3dc49256c6b002f51b7?OpenDocument

試しに127.0.0.1にpingでも打ってみたら

ループバックアドレス（127.0.0.1）で
www-http でリクエストすると

[PLK YU LEE MO FAN MEMORIAL SCHOOL] って

hkドメイン siteに繋がります。loopbackなのに、謎な世界に繋がっている。

どーしてなの？教えてｴﾛｰｲ異世界人！！

http://127.0.0.1/
http://127.0.0.1/english/eindex.htm

telnet 127.0.0.1 80

>>158
生き残りの春厨か... 盗んだ串使ってるだろ。

http://ahohasse.hp.infoseek.co.jp/rouzin.html
このじいさん、

最　　強　　だ　　と　　思　　わ　　な　　い　　か　　？

>>161
面白いネタサイトだな。

>>161 乙、逝ってよし。

ﾍ(^ε^ﾍ)(ﾉ^３^)ﾉ 　あぐぇ〜

ああ、ウザイ
DateTime From IP To Port
[2004-05-31 03:10:41] | From:[127.0.0.1] | Port:[1985] | [Blocked]
[2004-05-31 03:11:32] | From:[127.0.0.1] | Port:[1241] | [Blocked]
[2004-05-31 03:52:03] | From:[127.0.0.1] | Port:[1381] | [Blocked]
[2004-05-31 05:11:34] | From:[127.0.0.1] | Port:[1867] | [Blocked]
[2004-05-31 06:24:04] | From:[127.0.0.1] | Port:[1550] | [Blocked]
[2004-05-31 06:24:37] | From:[127.0.0.1] | Port:[1310] | [Blocked]
[2004-05-31 06:24:54] | From:[127.0.0.1] | Port:[1806] | [Blocked]
[2004-05-31 06:39:56] | From:[127.0.0.1] | Port:[1679] | [Blocked]
[2004-05-31 06:53:55] | From:[127.0.0.1] | Port:[1694] | [Blocked]

>>165
異世界からの訪問者ですね。
ええっと。まあ、なんだ。その。

おとといから127.0.0.1からの不正アクセス来なくなったYo.
自分が踏み台になってたことに気づいたのかな。

age

osorubeshi 127.0.0.1

127.0.0.1/32

filter 0 reject in * * * * 1025 0
filter 1 reject in * * * * 1080 0
filter 2 reject in * * * * 1243 0
filter 3 reject in * * * * 2049 0
filter 4 reject in * * * * 4000 0
filter 5 reject in * * * * 4444 0
filter 6 reject in * * * * 6000-6063 0
filter 7 reject in * * * * 7070 0
filter 8 reject in * * * * 12345 0
filter 9 reject in * * * * 27374 0
filter 10 reject in * * * * 27573 0
filter 11 reject in * * * * 27910 0
filter 12 reject in * * * * 31785-31792 0
filter 15 reject in 192.168.254.000/24 * * 135-139 * 1
filter 16 reject in * * * 135-139 * 0
filter 17 reject out * * * 135-139 * 0
filter 18 reject in * * * * 135-139 0
filter 19 reject out * * * * 135-139 0
filter 20 reject in * * * 445 * 0
filter 21 reject out * * * 445 * 0
filter 22 reject in * * * * 445 0
filter 23 reject out * * * * 445 0

filter 24 reject in 010.000.000.000/8 * * * * 0
filter 25 reject in 172.016.000.000/12 * * * * 0
filter 26 reject in 192.168.000.016/32 * * * * 0
filter 27 reject in 192.168.254.000/24 * * * * 0
filter 28 reject out * 010.000.000.000/8 * * * 0
filter 29 reject out * 172.016.000.000/12 * * * 0
filter 30 reject out * 192.168.000.016/32 * * * 0
filter 31 reject out * 192.168.254.000/24 * * * 0
filter 32 pass in 192.168.254.000/24 * 6 1026-65535 80 1
filter 33 pass in * 192.168.254.000/24 6 80 1026-65535 0
filter 34 pass in 192.168.254.000/24 * 6 1026-65535 25 1
filter 35 pass in * 192.168.254.000/24 6 25 1026-65535 0
filter 36 pass in 192.168.254.000/24 192.168.000.001/32 * 1026-65535 53 1
filter 37 pass in 192.168.000.001/32 192.168.254.000/24 * 53 1026-65535 0
filter 38 pass in 192.168.254.000/24 * * 1026-65535 110 1
filter 39 pass in * 192.168.254.000/24 * 110 1026-65535 0
filter 40 pass in 192.168.254.000/24 * 6 1026-65535 443 1
filter 41 pass in * 192.168.254.000/24 6 443 1026-65535 0
filter 42 pass in 192.168.254.000/24 192.168.000.007/32 6 * 1026-65535 1
filter 43 pass in 192.168.000.007/32 192.168.254.000/24 6 5800 1026-65535 0
filter 44 pass in 192.168.000.007/32 192.168.254.000/24 6 5900 1026-65535 0
filter 45 pass in 192.168.254.000/24 192.168.000.007/32 6 1026-65535 25 1
filter 46 pass in 192.168.254.000/24 192.168.000.007/32 6 1026-65535 110 1
filter 47 pass in 192.168.000.007/24 192.168.254.000/24 6 25 1026-65535 0
filter 48 pass in 192.168.000.007/24 192.168.254.000/24 6 110 1026-65535 0
filter 53 reject in 192.168.254.000/24 * * * 1080 1
filter 54 reject in 192.168.254.000/24 * * * 8080 1
filter 55 reject in 192.168.254.000/24 * * * 5850 1
filter 61 reject in * * 6 1024-65535 80 1
filter 62 reject in * * * * * 0
filter 63 reject in * * * * * 1

FTPｲﾗﾈ

追記；世の中のパソコンには、マッキンとウィンドウがあります。私はマッキンはできません。
時代はフローラです。沼田さんは私のアドバンスを無視してマッキンを買いました。
沼田さんのマッキンはマウスのボタンが一つしかないんです。私のフローラは２つ有ります。勝ちです。
ではまた。＜P＞このページはヒクションです。

※OSはマックとウィンドウズしかないようです。
フローラ　不明、機種の可能性あり
アドバンス　多分アドバイスだと思われ
ボタンが1つしかないマウスを見たことないがボタンの数で性能が決まるというなかなかの世界をお持ちです。

というかパスワードをWeb上に載せたというのはあまりにすごい。


Σ　しまった釣られてしまった

異世界からの訪問者くえそすきゃん
IP: 216.145.5.42
DNS: www.whois.sc
このシグネチャは、Queso が生成したパケットに類似したパケットを検出します。
Queso はコンピュータのオペレーティング システムの種類とバージョンを判別するために使用するユーティリティです。
具体的には、このシグネチャは ACK ビットのない FIN、SYN|FIN、および PSH パケットを検出します。正当な TCP ストリームのパケットは、
最初のパケットを除くすべてのパケットに必ず ACK ビット セットが存在します。
また、通常は同じパケット内に SYN と FIN を共に含んでいることはありません。

>>164

このスレワロスｗ

filter 0-12 トロイ対策
filter 15-23 NetBIOS対策
filter 24-31 IPspofing対策
filter 53-61 syslogサーバー監視用
filter 62-63 全遮断

127.0.0.1/32

てｓｔ

てｓｔｔ

昨日、192.168.0.11っていうトラストゾーンからの訪問者が･･･
そんなプライベートIPふってないし。

プライベートIPからのパケットはISPが弾けばいいのにね

誘導されてきました

127.0.0.1←このアメリカのIPがやたら「IP Spoofing」って攻撃してくるんだけど
クラッカーか何か、かどうかも不明？なようですね

このIPにフィルタかけたら今度は
UDP Flood to Host (PPPoE1-In)ってのがルータの履歴に大量にでてたよ

世話が焼けるなぁ… w
>>31
>>105-106
>>109-115
>>121
>>156

>>183
誘導されたら、ユックリとログでも嫁w
>>184は、律義だなぁ。

>>185
読んだけどよくわからなかったｽﾏｿ

>>184
156で一応解決？されてたのね
律儀にどうもありがとう

http://8701.teacup.com/myuuru/bbs

あげ

一年以上の時を経て
僕は高らかに声を上げる



"age"

ｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!!!

うにゃああああああああああああ

4 ：ｚ：2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。

ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/

漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html
454 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか？
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか？

妖精忌憚　あなたの知らな異世界

FAIRY TAIL　 Fairies caught on my video / Cottingley Fairies Afterwards 多摩川に妖精を見た　
http://www.youtube.com/watch?v=nfVDjKibmbk

【よくわかる忍法帖システム】
　　　　　　　
　　　　　　　　　≪Lv39≫　　　　　
　 ∧＿∧
　(；*´ω｀)　　　　●●
　( つ　　つ●　　●●●
　と＿)＿)　　　 ●●●●
もうちょっとだお


　　　　　　　　　≪Lv0≫　　　　　　　　　　　　　●　　●
　　　　　　　　　　　　　　　　　　　　　　　　● 　●　　●　　●
　 ∧＿∧　　　　　　 　∧∧∧＿∧　　　　　 ●　　●
　（ ´；ω；）　　　　　　（´（´（´∀｀∩）彡ｻｯ● 　ｶﾞ　ｼ　ｬ　ｰ　ﾝ
　( つ　　つ　　　　　　（つ（つ（つ　丿　　　　　●
　と＿)＿)　　　　　　　（　（　（　ヽノ
　　　　　　　　　　　　　 し し し（＿）　運営
ちょ、うああああ

　　 _ 　　∩　･ﾟ｡･ﾟ｡･　　
　　(　ﾟ∀ﾟ)彡　｡　･ﾟ｡･ﾟ｡･　　鬼は外！福は内！
　　　⊃□彡

創,価
死,ね
創,価
死,ね　
創,価
死,ね　
創,価
死,ね
創,価
死,ね
創,価
死,ね
創,価
死,ね
創,価
死,ね
創,価
死,ね
創,価
死,ね
創,価
死,ね
創,価
死,ね

ポケットフィルタ

へえ

最近IEの送信履歴に127.0.0.1が混じるのだが何なんだろう？
ポート843と5840にアクセスを繰り返すのだが不自然。
何故かパスワード入力する時に現れる。