Kerio Personal Firewall Rule18

このエントリーをはてなブックマークに追加
830名無しさん@お腹いっぱい。
システムセキュリティはデスクトップに置いたexeにはなんの効力も無いね。
起動禁止にしてるのに普通に起動出来る。

たぶん 「デスクトップ」 が全角だからだね。 バージョンは4.1.3、XP SP2

あと、山田ウイルスの一部にkerioの許可・不許可を尋ねるダイアログを勝手に
許可にする動作があるらしいので注意しる。 ASKは危険。

まぁkerioそのものを終了させられたらひとたまりも無いけど。。
831名無しさん@お腹いっぱい。:2005/06/21(火) 17:29:57
俺はMario使ってるから問題ない。
832名無しさん@お腹いっぱい。:2005/06/21(火) 17:42:25
強そうだな。
833名無しさん@お腹いっぱい。:2005/06/21(火) 18:27:44
>>830
> システムセキュリティはデスクトップに置いたexeにはなんの効力も無いね。
> 起動禁止にしてるのに普通に起動出来る。
ちゃんと、起動を禁止できてるよ(Kerio v4.1.3, WindowsXP Pro SP2)

> あと、山田ウイルスの一部にkerioの許可・不許可を尋ねるダイアログを勝手に
> 許可にする動作があるらしいので注意しる。 ASKは危険。
リストに登録されていないプログラムの起動をDenyにする事は
出来なかったと思うんだが、どうだろう?
834名無しさん@お腹いっぱい。:2005/06/21(火) 18:30:11
これがny厨クオリティ
835名無しさん@お腹いっぱい。:2005/06/21(火) 18:41:17
>>833
>>830じゃないが、
俺の環境だとシステムセキュリティに登録しても無視される。
PermitにしようがDenyにしようが、Askedのダイアログが出る。
ただ、ダイアログでPermitすれば起動するし、Denyすれば起動しない。
Kerio4.1.3 WindowsXP Home SP2
836名無しさん@お腹いっぱい。:2005/06/21(火) 19:13:45
誰かMeiryoクレクレ
837名無しさん@お腹いっぱい。:2005/06/21(火) 19:51:44
>山田ウイルスの一部にkerioの許可・不許可を尋ねるダイアログを勝手に許可にする動作がある
 らしい

それは、許可するかしないか尋ねられたとき、許可するを選ぶとそんな動作をさせることは可能だ
ろうが、1発目のウィルスが起動するときに尋ねるから大丈夫だろう。
デフォのままだと起動はすべて許可されるから、以降は他のタスクを勝手に動作させられるおそれ
があって危険だけど、デフォのままで使ってるのは○心者かな。
838837:2005/06/21(火) 19:57:36
忘れてたが、
 WinXP Pro SP2
 kerio 4.1.3 (日本語化パッチあり)
で試したが>>830みたいな症状は出ず。
ちゃんと拒否してくれる。

もしかして、システムセキュリティの設定タブで、アプリケーションが実行される時が
 自動的に実行を許可する(デフォ)
になってない?
839名無しさん@お腹いっぱい。:2005/06/21(火) 22:20:54
ログイン時のガラガラを無効にする設定きぼんぬ。
840名無しさん@お腹いっぱい。:2005/06/22(水) 00:43:35
ガラガラ?
841名無しさん@お腹いっぱい。:2005/06/22(水) 00:51:40
俺用語発見
842名無しさん@お腹いっぱい。:2005/06/22(水) 01:37:52
チョットワロタ
843830:2005/06/22(水) 01:58:01
>>833
>ちゃんと、起動を禁止できてるよ

それはあらかじめ起動の許可、不許可を登録しておいた状態で?
登録してない状態だとこちらでも正常に働く。 でも登録すると登録した通りにはならない。
これは>>835氏と同じ現象だね。

>リストに登録されていないプログラムの起動をDenyにする事は

これはどういう意味?? 話が見えない。

漏れが言いたいのは、山田が外部にアクセスしようとしたときに出る「permit」「Deny」の
選択ダイアログが山田によって勝手に「permit」を押され、それがkerioに登録されてしまう。
・・ということ。 kerioのコンフィグ見て青ざめたwwww
844830:2005/06/22(水) 02:05:41
>>837
感染する前に山田本体を初めて実行するときには許可、不許可が出るから大丈夫な
はずなんだよね。 漏れもそう思ってた。 アイコン偽装に騙されて他のアプリだと思って
うっかり許可したのかもorz WinRARにでも偽装してたのかな..

>デフォのままだと起動はすべて許可

もちろんデフォじゃない。 シスセキュのセッティングタブの3項目は全部「use〜」になってた。

・・て、俺が感染した本人だってバラしてんじゃんorz
845名無しさん@お腹いっぱい。:2005/06/22(水) 02:12:00
高度な山田亜種が誕生してるってことか。
846830:2005/06/22(水) 03:16:37
あ・・ もしかしたら勝手に許可したのは山田じゃなくてkerio自身かも・・・
山田実行後に作成されたexeのパスが

C:\Documents and Settings\ユーザー名\デスクトッペ\yamada001.exe

だったから全角文字の穴を突かれた可能性が・・・

山田が2chかどっかに投稿しようとアクセスしようとしたときにkerioが勝手に
許可登録しちゃったのかも知れない。 そういえばyamada001.exeの起動を
許可するかどうかのダイアログも出なかった。

※ 「デスクトッペ」ってのは「デスクトップ」そっくりの異なる文字列。
  正確にどうだったかは覚えてない。

※ yamada001.exeの許可、不許可を尋ねるダイアログが出なかったのは>>830の現象とは
  違うな、やっぱ山田が許可させてるのかな?

この山田は [仁義なきキンタマ] 桶のデスクトップ に入ってた。
※ 「桶」 だったかどうかは自信が無い。 これに似た一文字。
847830:2005/06/22(水) 03:17:56
すまん、 [仁義なきキンタマ] 桶のドキュメント.zip ね。
848名無しさん@お腹いっぱい。:2005/06/22(水) 04:22:34
× あ・・ もしかしたら勝手に許可したのは山田じゃなくてkerio自身かも・・・
○ あ・・ もしかしたら勝手に許可したのは山田じゃなくて俺自身かも・・・
849830:2005/06/22(水) 05:03:13
さすがにそれはない。
850名無しさん@お腹いっぱい。:2005/06/22(水) 05:23:27
Ny(w
851830:2005/06/22(水) 05:55:12
ちなみに俺はキンタマの感染者を発掘するためだけにnyやってる。
俺が見つけた被害者を2chに晒したらニュースになった。 2回も。

でもミイラ取りがミイラになった。 「君子危うきに近寄らず」だなやっぱ。
852名無しさん@お腹いっぱい。:2005/06/22(水) 07:21:41
砂箱入れてないの?dllインジェクションでプロセスに介入されてるよきっと
853名無しさん@お腹いっぱい。:2005/06/22(水) 08:50:30
>>851
嘘つくなよ。
円光物収集してんだろ?
854名無しさん@お腹いっぱい。:2005/06/22(水) 11:16:27
言い訳見苦しいよな┐(´ー`)┌
855830:2005/06/22(水) 12:15:46
いや、正直動画なんか見ても面白くもなんともないから。

キンタマのほうがリアルで何倍も楽しいよ、自分のカキコがニュー速に
コピペされまくったりするしね。 某ヤマイモサイトは漏れのカキコのコピペだらけw
856830:2005/06/22(水) 12:28:47
>>852
砂箱? 入れてない。 DLLの改ざんならされてたかも知れない。
もうPC初期化しちゃったから確かめる手段が無いけど。。

とりあえずOS改ざん対策としてnyは制限付きユーザーのDocumentフォルダに置いた。
こうすれば改ざんされる心配無かったんだよなorz

今、踏んじゃったキンタマをnyで探してるんだけどなかなかヒットしない。
ほとんど拡散してないキンタマだったらしい。 その日の日付の入ったSSが
あったし、桶(?)氏が感染したのは6月に入ってからだったし。
857名無しさん@お腹いっぱい。:2005/06/22(水) 12:31:19
スキルのない馬鹿は放置
858名無しさん@お腹いっぱい。:2005/06/22(水) 12:46:07
┐(´∇`)┌
859名無しさん@お腹いっぱい。:2005/06/22(水) 12:54:29
2kやXPでこれ系のウイルスに引っかかる人って、普段から管理者権限で使ってるんだろうか。
必要な時以外、管理者権限でログインしないっていうのも立派なセキュリティだと思うんだけどな。
860830:2005/06/22(水) 12:57:30
デスクトップ上にある実行ファイルの制御がアレなのか他の奴も確認してくれ。
実行ファイルはJaneでも何でも良い。

1、登録済みアプリの起動 (シスセキュの動作確認)

2、ネットへ接続する際にpermit、denyのダイアログが出るかどうか。
  勝手にルール作成されてないかどうか。

もしkerioがちゃんと動作してなかったとすればすごいセキュ穴だぞコレは。
861名無しさん@お腹いっぱい。:2005/06/22(水) 12:59:25
俺普段からAdminで使ってる。
糞TVキャプソフトたったひとつのせいで…
862830:2005/06/22(水) 13:00:35
>>859
だね、今回のことで思い知ったよ。。。
今までは実行ファイルなんか踏むわけないと思ってたから全く気にしてなかった。
863名無しさん@お腹いっぱい。:2005/06/22(水) 13:00:48
>>860
すごいセキュ穴はオメー自身だろw
864830:2005/06/22(水) 13:02:40
>>863
まぁそうなんだが。。。
865名無しさん@お腹いっぱい。:2005/06/22(水) 13:04:59
>>860
やってみた。
Windows2000SP4日本語版。
サンプルはCPU-Z。
デスクトップに実行ファイルを移動させてダブルクリック。
ダイアログが出るところまではいつも通り。とりあえず起動を拒否するルールを作成。
そしてもう一度ダブルクリックすると、再度システムセキュリティの起動確認のダイアログが。
やっぱりマルチバイトパスは駄目っぽい。
866名無しさん@お腹いっぱい。:2005/06/22(水) 13:13:32
>>865
サンクス。 やっぱルール通りにはいかないみたいだね。

こちらもwin98SEで試してみたらInternetへの接続をDeny登録してるアプリが
ASK扱いになってしまった。 しかもpermitを選んだら通信出来てしまった。

しかし未登録のアプリが勝手に登録されることは無かった。
867830:2005/06/22(水) 13:21:18
あ、テストしてくれる人はルール画面の [Refresh] ボタン押すの忘れずに。

踏んだのはこれだった気がする。。
http://tmp5.2ch.net/test/read.cgi/download/1118936745/73

まだ中身は確認してないけど。
868名無しさん@お腹いっぱい。:2005/06/22(水) 13:45:43
常時Adminなんて危険すぎるだろ。自分はUsersに所属させとけ。
869名無しさん@お腹いっぱい。:2005/06/22(水) 15:42:30
えーすみません
>>830
【キンタマ】Winnyで民主党市議が献金関連メールなどを流出!11
http://news19.2ch.net/test/read.cgi/news/1118935786/820
[欄検眼段]新手のウイルス[GJB]part.6
http://tmp5.2ch.net/test/read.cgi/download/1118645879/
釣って釣られて(´・ω・) カワイソス 山田ヲチスレ128
http://tmp5.2ch.net/test/read.cgi/download/1119103377/

などで
「新種が出た」などと
ヨタ話を垂れ流している妄想患者なのでみなさんスルーしてくださいな。
さあ、nyで円光を集める作業に戻るんだ>>830
870名無しさん@お腹いっぱい。:2005/06/22(水) 17:39:53
個人使用で普段は制限ユーザーにするなんて煩わしくない?
871名無しさん@お腹いっぱい。:2005/06/22(水) 17:51:25
やらないよ。だからアフォななこともしない。
872名無しさん@お腹いっぱい。:2005/06/22(水) 18:00:42
そもそもデスクトップやユーザドキュメントディレクトリをデフォの日本語名、
スペース入りで使ってる事自体がもはや異常。(゚∀゚)
873名無しさん@お腹いっぱい。:2005/06/22(水) 18:30:36
デスクトッペ
874名無しさん@お腹いっぱい。:2005/06/22(水) 18:36:35
>>872
半角カタカナだらけの文章を書いていること自体が異常。(゚∀゚)
875名無しさん@お腹いっぱい。:2005/06/22(水) 18:58:00
デスクトップとかのディレクトリ変えてる人って多いの?
876名無しさん@お腹いっぱい。:2005/06/22(水) 19:00:45
俺のチラシ

6月10日から久々に取得した
名前欄に数字が入っている奴がうざかった
877名無しさん@お腹いっぱい。:2005/06/22(水) 19:05:37
aborn() if /\d/
878名無しさん@お腹いっぱい。:2005/06/22(水) 19:31:13
ダウソ板の馬鹿どもよりも>>830のほうがよっぽどマトモなことを言ってる気がするんだが・・
879名無しさん@お腹いっぱい。:2005/06/22(水) 19:33:11
>>875 OSの入ってるHDDと別のドライブに、デスクトップやドキュメントディレクトリを変更しておくと、
システムドライブがハードウェア不具合などで動作しなくなったときにデータの回収率は上がるよね。
もちろんその別のドライブ自身が壊れる可能性はアリエールけど。あと断片化しにくくなるかなぁ…とか。

変更してるユーザが多いかと問われると、たぶん自分も含む設定厨みたいな一部だと思うよm9(^Д^)プギャーーーッ
880名無しさん@お腹いっぱい。:2005/06/22(水) 19:38:47
てにをはがおかしい奴ばっか
881名無しさん@お腹いっぱい。:2005/06/22(水) 19:43:01
つよきす
882名無しさん@お腹いっぱい。:2005/06/22(水) 21:34:55
俺用語ワロタ
883名無しさん@お腹いっぱい。:2005/06/22(水) 21:36:53
バッカユーばっかだなw
884名無しさん@お腹いっぱい。:2005/06/22(水) 21:52:32
>>883
オマエモユー
885名無しさん@お腹いっぱい。:2005/06/22(水) 22:20:09
最近、>>876みたいにチラシに書けと言われる前に
予防線張るのがたまに居るのはなんでだろう 臆病なのかな

>>872
それ以前にユーザードキュメントとやらを使うこと自体が無いだろう
886名無しさん@お腹いっぱい。:2005/06/22(水) 22:59:39
>>885 1ユーザ/1PC なら確かにそのとおり、アプリケーション類が勝手に保存するもの以外、ユーザが
わざわざあそこに保存する必要もないかも。でも、複数人で扱う場合など、他ユーザファイルの可視・
不可視、権限云々が問題になるとか、ちょっと事情が変わってきたりすると、OSのデコで用意される
\Documents and Settings 配下のユーザディレクトリが便利といえば便利(新規ユーザ追加等)かな?と。

かなりスレ違いになってるし変更の手法とか気になるヤシはこのへん↓を参照してください(゚Д゚)
■ITmedia エンタープライズ:Windows Tips「Documents and Settingsフォルダの場所を変更する」
ttp://www.itmedia.co.jp/help/tips/windows/w0587.html
887名無しさん@お腹いっぱい。:2005/06/22(水) 23:25:32
デスクトップのってshell32.dllが起動させるんだよな。
そのせいじゃね?
同じくshell32.dll使うまめfile4もkerioのシステムなんとかは効かなかった。
SSM使うからどうでもいいけど。
888名無しさん@お腹いっぱい。:2005/06/22(水) 23:37:25
>>887
ただ単に2バイト文字にKerio4が対応してないだけ。
>>2のテンプレにもちゃんと書いてある。
デスクトップは"デスクトップ"フォルダで管理してるから当然ダメ。

登録済みアプリケーションをフルパス表示にして、
一部でも文字化けしてたら、それはKerioには認識せず無視されるって事。
まめFile4は「まめFile4」ってディレクトリから実行されてないか?
889名無しさん@お腹いっぱい。:2005/06/23(木) 00:04:08
kerioは2バイト文字に対応してると 思 う のだが。
デスクトップにexeファイルコピーして実行したら確認画面が出たから、拒否でルールを作ってみた。
そしてルールを見たら、
   ・・・\デスハトップ\・・・
となってた。
直接設定ファイルをいじって
   デスハトップ を デスクトップ
に直せばOKだと思う。
ただ、毎回毎回設定ファイルをいじるのがめんどい。
890名無しさん@お腹いっぱい。:2005/06/23(木) 00:14:47
ファイラー使ってるならデスクトップに何かダウンロードして置いたりしないと思うんだが。
891名無しさん@お腹いっぱい。:2005/06/23(木) 02:11:50
で、どいつが>>830だ?
892名無しさん@お腹いっぱい。:2005/06/23(木) 09:25:38
そんな時は、いじくるつくーるでデスクトップのパスを変えてしまう
893名無しさん@お腹いっぱい。:2005/06/23(木) 10:30:27
これってウイルスが二バイト文字のフォルダ作ってそこにexe置かれたらkerioを
回避出来ちゃうってことだよな。。。。

kerioを使うこと自体がセキュリティ意識が低いということになってしまう。。。
894名無しさん@お腹いっぱい。:2005/06/23(木) 10:57:10
なんでそうなるわけ?
denyルール作っても毎回ダイアログが出るだけで、
実行許可を出さなければいいだけじゃん
895名無しさん@お腹いっぱい。:2005/06/23(木) 11:03:13
そのダイアログを勝手にPermitにするウイルスが存在してるらしいのだが
896名無しさん@お腹いっぱい。:2005/06/23(木) 11:06:58
winnyやってる人っていつもビクビクしてるねw
だったらやらなきゃいいのにw
897名無しさん@お腹いっぱい。:2005/06/23(木) 11:07:48
つーかデスクトップにファイルなんて置きませんから。
898名無しさん@お腹いっぱい。:2005/06/23(木) 11:10:57
山田ウイルスだからWinnyは関係無いよ
899名無しさん@お腹いっぱい。:2005/06/23(木) 11:15:12
精神構造は一緒だと思う
900名無しさん@お腹いっぱい。:2005/06/23(木) 11:18:35
カカク.comの改竄事件みたいな方法で山田をインストさせられる可能性はあるから俺ら庶民も気をつけないとな。
901名無しさん@お腹いっぱい。:2005/06/23(木) 11:42:10
三菱電機のパソコンから情報流出。原因はWinny。
902名無しさん@お腹いっぱい。:2005/06/23(木) 12:21:37
>>893
マジかよ!! sygateに戻ろうかな.
903名無しさん@お腹いっぱい。:2005/06/23(木) 14:09:42
なんかシステムセキュリティの起動許可の話題と
ネットワークセキュリティの通信許可の話題がゴッチャになってるな。

Kerioのシステムセキュリティって、
起動前のウィルスに起動許可ダイアログを操作されちゃうほど貧弱なの?
904名無しさん@お腹いっぱい。:2005/06/23(木) 14:28:12
そんなことありえない。
905名無しさん@お腹いっぱい。:2005/06/23(木) 14:29:17
ただし、exeでないウイルスの場合は回避されてしまうかも知れないな。
906名無しさん@お腹いっぱい。:2005/06/23(木) 17:14:40
>>903
俺の環境だと
DENYにしておくと、explore毎落ちてしまうか
すり抜けて起動してしまう
ルールが変更してしまう
直らない。
それと、spool32.exeはすり抜けて起動してしまうよ
kerioで補足さえできないよ
907名無しさん@お腹いっぱい。:2005/06/23(木) 17:15:16
790 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:2005/06/23(木) 10:10:39 ID:+B1amAwz0
おまえら、nyやるなら専用機用意しないとヤバイぞ。
じゃなきゃny専用の制限付きユーザーを作ってこれのマイドキュメントにny置け。

でないといつか人生終わるよ。 「自分は大丈夫」と思ってるやつは特にね。




↑これ>>830
908名無しさん@お腹いっぱい。:2005/06/23(木) 17:17:48
nyやってる時点で終わってる事に気づいてないようだな
909名無しさん@お腹いっぱい。:2005/06/23(木) 18:37:19
バカヤロウ!矛と盾は競い合わすもんじゃねえ!
あわせて両方使ってこそのもんだろが!!





























と、某島本の漫画でそんなことおっしゃっていましたよ
910名無しさん@お腹いっぱい。:2005/06/23(木) 19:04:01
荒らすな
911名無しさん@お腹いっぱい。:2005/06/23(木) 19:52:40
お漏らし
1ヶ月前はスルーされていたが、本当らしい。
RC3の悪寒

【SECURITY HOLE !! Some connections go through even when blocked !!】
ttp://forums.kerio.com/index.php?t=msg&th=6275&start=0&S=db59b483429a709d78d42054e7cef324
912名無しさん@お腹いっぱい。:2005/06/23(木) 20:19:30
2byte文字だとネットワークセキュリティも通っちゃうの?
勝手に日本語パスに自身をコピーしてそこから実行しちゃうようなトロイとかに勝てる?
913名無しさん@お腹いっぱい。:2005/06/23(木) 20:43:16
    _   ∩
  ( ゚∀゚)彡 RC3! RC3!!!
   ⊂彡
914名無しさん@お腹いっぱい。:2005/06/23(木) 22:53:04
>>912
kerioが2のときはばぐっていたなぁ
メルコの無線LANかなんかのやつのexeが日本語で、引っかかった

まぁ、なんかどうでもいい通信するexeファイルを試しに日本語にリネームして動かしてみれ
Ftpクライアントとか
915名無しさん@お腹いっぱい。:2005/06/24(金) 06:07:32
JaneDoeView (050622)で実験

System Security
〜\デスクトップ\DoeView050622\Jane2ch.exe 
deny、permitどっちに設定しても動作はask状態、JaneView実行の度にどうするかきいてくる
C:\DoeView050622\ビュー.exe
 deny→〜アクセスは拒否されました
C:\自衛ん\ビュー.exe
 deny→〜アクセスは拒否されました
C:\自衛ん\\Jane2ch.exe
 deny→〜アクセスは拒否されました

Network Security
C:\自衛ん\ビュー.exe
 TCP/Remote:HTTP/outgoing/deny → JaneViewは通信中からエラー、遮断されてる模様
916名無しさん@お腹いっぱい。:2005/06/24(金) 09:14:38
こんな身近なところに脆弱性が
917名無しさん@お腹いっぱい。:2005/06/24(金) 12:03:06
デスクトップ の中には %4E が含まれてるんだけどそのせい??
918名無しさん@お腹いっぱい。:2005/06/24(金) 13:07:51
山田にPermit押す機能があるのは確定的っぽいな。
チャットで他のkerioユーザーも同じこと言ってたよ。 >>830とは別人のな。
919名無しさん@お腹いっぱい。:2005/06/24(金) 13:11:55
いまいち信用できない
920名無しさん@お腹いっぱい。:2005/06/24(金) 13:46:43
だからさ、その「山田のPermitを押す機能」ってのは
ネットワークセキュリティの通信許可ダイアログなのか、
システムセキュリティの起動許可ダイアログなのか、その両方なのかハッキリしてくれ。
921名無しさん@お腹いっぱい。:2005/06/24(金) 14:03:25
気にすんな。
922本名山田:2005/06/24(金) 14:18:37
うっせーんだよ!厨房は勝手に素通りされて恥かいて死ね!
923名無しさん@お腹いっぱい。:2005/06/24(金) 14:18:58
924923:2005/06/24(金) 14:22:22
すまん、915は山田と関係なかった
 ∧||∧ 
(  ⌒ ヽ 
 ∪  ノ 
  ∪∪
925名無しさん@お腹いっぱい。:2005/06/24(金) 14:54:01
>>920
両方だって言ってた。
926名無しさん@お腹いっぱい。:2005/06/24(金) 15:32:09
>>922
やーいウイルスウイルス

にげろー やまだウイルスが うつるぞー
927名無しさん@お腹いっぱい。:2005/06/24(金) 15:52:30
両方・・・起動する前にどうやってPermit押してるんだろう
928名無しさん@お腹いっぱい。:2005/06/24(金) 15:58:51
起動してからの話でしょ?
929名無しさん@お腹いっぱい。:2005/06/24(金) 16:10:33
Kerioのaskには2種類あって、
A アプリ立ち上げの許可/不許可
B アプリの通信の許可/不許可

Aのほうで不許可にするとアプリ起動しないんだけど、
そもそもそのウィルス起動するときにaskしてきてるのに、
もしそのダイアログも勝手に許可押されるなら、それはどうやってるんだろうって話でつか?
930名無しさん@お腹いっぱい。:2005/06/24(金) 16:12:33
アイコン偽装に惑わされてaskでpermit押しちゃうんじゃない?
931名無しさん@お腹いっぱい。:2005/06/24(金) 16:14:48
Kerio使いには馬鹿が多すぎるな
932名無しさん@お腹いっぱい。:2005/06/24(金) 16:18:50
>>929
そう、それ。
ウィルス起動前なのにpermit押せるわけがない。
押せるとしたら、既に別のウィルスが起動しててそいつが押してるか、
Kerioのアプリ起動制御システムに穴がある。
933名無しさん@お腹いっぱい。:2005/06/24(金) 16:20:57
ああ、そういえばOS起動時はスルーすることがあるらしいね、シスセキュ。
934名無しさん@お腹いっぱい。:2005/06/24(金) 16:23:29
アプリ立ち上げ許可を押してしまった場合
アプリの通信ルールが書いてるファイルに
自分の通信許可のルールを追加すれば通信はできるんじゃない?
935名無しさん@お腹いっぱい。:2005/06/24(金) 16:24:56
>>934
立ち上がれればなんでもありだろ。
936名無しさん@お腹いっぱい。:2005/06/24(金) 16:33:20
解凍ソフトの脆弱性+スタートアップ+kerioのOS起動時スルー

                  +

           山田のpermit名古屋打ち

                  | |

                (´・ω・) カワイソス
937名無しさん@お腹いっぱい。:2005/06/24(金) 16:46:31
というか、kerioってかなり最初のうちに起動してない?
ログインの画面でアラートが出てきたことあるけど。
938名無しさん@お腹いっぱい。:2005/06/24(金) 16:55:05
XPでサービス起動を待たずに自動ログオンする設定にしてると
結構危険かも。
939名無しさん@お腹いっぱい。:2005/06/24(金) 20:16:35
cnetの記事で445番のポートスキャンが増えてるってさおきおつけあそばせ
940名無しさん@お腹いっぱい。:2005/06/24(金) 20:35:21
普通に起動してると気付かなかったが、ログオフしてからログオンすると、起動しようとしている
プログラムを検出することがある。
∴kerioが一番最初に動いてるようで動いてない。(起動に時間がかかるが、ログオフしてからログ
オンすると、核の部分の読込みがない分、早い)
ちなみに、俺は自動ログオンユーザー
941名無しさん@お腹いっぱい。:2005/06/24(金) 20:45:19
2の時色々あったんでSystemSecurityなど使わんがな

FWとしてちゃんと動いてくれればええよ
942名無しさん@お腹いっぱい。:2005/06/24(金) 20:58:59
>>940
> 起動しようとしているプログラムを検出することがある。
って、kerioがそのプログラムを検出するってことか?
それを理由に
> kerioが一番最初に動いてるようで動いてない
にはならないんじゃ?
943940:2005/06/24(金) 21:15:00
>>942

既にルールを作ってしまったため、ソフト名は忘れた。

今試してみた。
そしたら、1か月ほど前に入れたMOのイジェクトツール(常駐ソフト)
   Logitec イジェクトコントローラ
を検知して確認画面がでてきた。
そのツールを入れてから、毎日最低1回はPCの電源をONにしてるけど、一度も検知したこ
とはなかった。

ログオフしてログオンすると、タスクトレイには、既に
   Kerio Personal Firewall - Runnning
となっていて、動作していた。

たまには、ログオフ→ログオンをする必要があるかな?
944940:2005/06/24(金) 21:18:07
つまり、マルチタスクの弊害というかなんというか。
kerioが完全に動作するまでに時間がかかるから、その間に小さいソフトは動いてしまう。
945940:2005/06/24(金) 21:20:43
>>938の言ってることが正論ってことですな
946名無しさん@お腹いっぱい。:2005/06/24(金) 21:21:22
>>938
ということは、ログオン画面で処理が終わるまでしばらく待った方が良さげ?
947940:2005/06/24(金) 21:28:33
俺は>>938ではないが、そんなに神経質になる必要もないと思う。
時々でいいんじゃないかな?
948名無しさん@お腹いっぱい。:2005/06/24(金) 23:48:12
ま、簡単に言うと穴はあるってことだ。
Kerioさん。頑張れ。
949名無しさん@お腹いっぱい。:2005/06/25(土) 00:21:05
既出だと思うのだが、
システムセキュリティには結構前から言われている穴がある。
Secuniaでは、未だに穴が塞がっていないと判断されている。
対応策は『システムセキュリティに頼るな』だと。

ttp://secunia.com/product/2654/#advisories

知らない香具師も居たのか?
まあ、4.2.0に期待だ
950名無しさん@お腹いっぱい。:2005/06/25(土) 00:35:31
そういや、4.2からはbehavior blockingに名前変えたんだっけ?
951名無しさん@お腹いっぱい。:2005/06/25(土) 00:41:13
>>950
そう。
一発で開けなくなって、操作性悪化。
タブにしてくれるといいのだが
952名無しさん@お腹いっぱい。:2005/06/25(土) 01:31:48
>>949のリンク先を見たけど、4.1.3で直ってると書かれてるが、俺の英語力が足りねーのか、
それとも俺には読めない文字が書かれてるのか
953名無しさん@お腹いっぱい。:2005/06/25(土) 02:10:30
真っ赤なバッテン付いてるやん
Solution Status:
Unpatched
だよ

Kerio Personal Firewall Program Execution Protection Feature Bypass
ttp://secunia.com/advisories/12468/
954名無しさん@お腹いっぱい。:2005/06/25(土) 06:15:46
KERIOは、やめたほうが、良い。
955名無しさん@お腹いっぱい。:2005/06/25(土) 08:17:14
Kerioは穴だらけ〜
956名無しさん@お腹いっぱい。:2005/06/25(土) 08:19:42
やっぱOutpost2.7だよな。
957名無しさん@お腹いっぱい。:2005/06/25(土) 09:12:28
FWのAny other applicationのInternet IN、OUT は両方ともバツにしておいたほうがいいね。
958名無しさん@お腹いっぱい。:2005/06/25(土) 09:14:05
あとパケットフィルタでInternet IN TCPport80 Remote=ANY もバツにしておいたほうがいい。
これはポート変えられたら意味無いけどやっておくにこしたことはない。
959名無しさん@お腹いっぱい。:2005/06/25(土) 09:32:58
>>957,958=930
960名無しさん@お腹いっぱい。:2005/06/25(土) 09:35:13
>>958
Port80のINはルーターで排除してる。
961名無しさん@お腹いっぱい。:2005/06/25(土) 09:45:28
>>949
Secuniaが参照した元ネタ(Original Advisory)をみると

In order to exploit this vulnerability, an attacker must first convince the user to execute
a malicious program as Administrator.
This vulnerability affects only the execution protection feature of KPF4,
the firewall feature of KPF4 remains intact.

だってさ。
ttp://www.security.org.sg/vuln/kerio4016.html
962名無しさん@お腹いっぱい。:2005/06/25(土) 10:23:10
英語わかんね
963名無しさん@お腹いっぱい。:2005/06/25(土) 12:17:07
攻撃者は、この脆弱性を利用するために、最初に、
Administratorとして不正プログラムを実行するんだとさ
964名無しさん@お腹いっぱい。:2005/06/25(土) 12:22:07
その最初に実行させるプログラムについては警告出るんじゃ…?
965名無しさん@お腹いっぱい。:2005/06/25(土) 14:04:26
スタートアップに放り込まれたら出ないよ
966名無しさん@お腹いっぱい。:2005/06/25(土) 14:07:58
>>965
それ、すごいダメなことだよな?
967830:2005/06/25(土) 14:38:54
山田相手だとkerioは暖簾みたいなものだよ。
968名無しさん@お腹いっぱい。:2005/06/25(土) 14:39:41
KERIOから、何へ乗り換える?
969名無しさん@お腹いっぱい。:2005/06/25(土) 14:44:59
自分で実行しておいて何が暖簾だ笑わせるな
970名無しさん@お腹いっぱい。:2005/06/25(土) 15:18:50
ま、山田踏まなけりゃ無問題
2000だからフォルダ偽装も無いし
971名無しさん@お腹いっぱい。:2005/06/25(土) 15:19:07
ごめんさげ
972名無しさん@お腹いっぱい。:2005/06/25(土) 15:58:29
まだいたのかw >830
973830:2005/06/25(土) 16:03:51
え、俺は去年の始めからここにいるけど。。。?
974名無しさん@お腹いっぱい。:2005/06/25(土) 17:01:06
975名無しさん@お腹いっぱい。:2005/06/25(土) 17:44:12
まだいたのかw >山田
976830:2005/06/25(土) 17:58:57
え、俺は鈴木だけど。。。?
977名無しさん@お腹いっぱい。:2005/06/25(土) 18:17:04
すげーつまんねー流れだな
978830:2005/06/25(土) 18:18:42
いやぁ、照れるな。。。
979名無しさん@お腹いっぱい。:2005/06/25(土) 18:33:54
山田君、830のざぶとん、全部もってけ!!
980名無しさん@お腹いっぱい。:2005/06/25(土) 19:13:07
このスレにも荒らしが増えたな
ほとんど同じやつの自演だろうけど・・・
981名無しさん@お腹いっぱい。:2005/06/25(土) 19:52:26
>>1-980
自演乙
982名無しさん@お腹いっぱい。:2005/06/25(土) 20:24:42
エッ、そなの
気づかんうちに、すまん事した
983名無しさん@お腹いっぱい。:2005/06/25(土) 20:26:52
830がコテハンの荒らしだってことを知らない奴はモグリ。
前スレ見てみろ。
984名無しさん@お腹いっぱい。:2005/06/25(土) 20:43:37
前スレ
464
681
985名無しさん@お腹いっぱい。:2005/06/25(土) 20:48:24
粘着基地外か
986名無しさん@お腹いっぱい。:2005/06/25(土) 21:13:43
KERIO4をテンプレのをいれました。ウインドウズサービスパック2の
アンチウイルスのところをみるとファイヤーウォールのところにはKERIO
が機能していると書かれているのに、アンチウイルスのところには
何も書かれていませんでした。

これでKERIOのアンチウイルスソフトは作動しているんですか?作動しているか
みるためにはどこをみるとわかりますか?
987名無しさん@お腹いっぱい。:2005/06/25(土) 21:24:49
>>986
KerioはPFW
988名無しさん@お腹いっぱい。:2005/06/26(日) 00:12:21
989名無しさん@お腹いっぱい。:2005/06/26(日) 14:34:15
ぱーそなるふぁいあーうぉーる
990名無しさん@お腹いっぱい。:2005/06/26(日) 14:40:08
ふぁいなるあぷろーち
991名無しさん@お腹いっぱい。:2005/06/26(日) 22:10:35
次スレは?
992名無しさん@お腹いっぱい。:2005/06/26(日) 22:23:18
次スレ建てたよ

Kerio Personal Firewall Rule19
http://pc8.2ch.net/test/read.cgi/sec/1119792008/
993名無しさん@お腹いっぱい。:2005/06/26(日) 22:24:35
>>992
ものすごく、乙
994名無しさん@お腹いっぱい。:2005/06/26(日) 23:24:30
>>992
御乙
995名無しさん@お腹いっぱい。:2005/06/26(日) 23:26:38
996名無しさん@お腹いっぱい。:2005/06/26(日) 23:43:23
アチュイ
997名無しさん@お腹いっぱい。:2005/06/26(日) 23:48:41
アチュイヨウ
998名無しさん@お腹いっぱい。:2005/06/26(日) 23:51:18
    _   ∩
  ( ゚∀゚)彡 Kerio!! Kerio!!!
   ⊂彡
999名無しさん@お腹いっぱい。:2005/06/26(日) 23:51:42
              _ , ― 、
            ,−'  `      ̄ヽ_
           ,'  ____     ヽ
          (  /_二__\     )
 _       (    ノ_`ー'ー_'ヽ ̄     )
(  \    , '(   ノ_l レ , _(      )
 ヽ・ 。)   )人 (  〉 /     (      )
  ー  \( ( ) ,`ー'l ( _ )    (    ノ   
    \ \ )ノ   、 ''ニ` 、     イー'
    <つ  ヽノ⌒ヽ 、二ノ   /
     <∋      | ー―   <
1000名無しさん@お腹いっぱい。:2005/06/26(日) 23:52:02
      ┏┓┏━━┓┏━━┓┏━━┓
 ``).  ..┃┃┃┏┓┃┃┏┓┃┃┏┓┃   モルアァァァァァッツ!!! ドケドケドケェェー!!!
 ;;`)⌒ ..┃┃┃┗┛┃┃┗┛┃┃┗┛┃    ( `Д)モウイッチョダー!!!
 ;;;⌒`)... ┗┛┗━━┛┗━━┛┗━━┛─□( ヽ┐U ギュゴコゴコココ
;;⌒`)⌒`).◎ ◎  ◎ ◎  ◎ ◎  ◎  ◎−ミ┘◎
10011001
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。