TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼
Kaspersky / カスペルスキー 総合159
Sandboxie Vol.3
トレンドマイクロのウィルスバスター2001
セキュリティ初心者質問スレッド Part140
【アビラ】Avira Antivirus ver.25
最強のポートスキャンnmapってどうよ?
【MSE】Microsoft Security Essentials 69台目
ノーガード戦法こそ最強
【最強】ガンガンウイルス【新種】
不正PROXY使用ですか、、、?
異世界からの訪問者『 127.0.0.1 』
- 1 :03/09/21 〜 最終レス :2014/11/05
- 昨今、外部「127.0.0.1」から1000番台ポート へのアタックが急増してるようだが。
この謎の訪問者はいったいだれか。
- 2 :
- >>1
自分
- 3 :
- >>1 が使ってるプロバイダは Yahoo!BB
- 4 :
- >>3
ドイツにもY!BBがあったとは知らなかったぞ。
http://lists.insecure.org/lists/incidents/2001/Sep/0372.html
- 5 :
- もう一丁
http://lists.insecure.org/lists/incidents/2002/Jun/0044.html
来てる奴はこのくらいはログ取れよ。
- 6 :
- しかし、両方とも古いな。
- 7 :
- Λ_Λ
( ´Д` ) スンナッテ Λ_Λ
Λ_Λ / ,\ (´Д` ) イッテンダロ
( ´Д`) クダラネェツリ | l l | / ,\
/ \ | .;|;;:。;:,:、| ;| ..,. | l l |
| l l | ..,. ., ヽ '゚;_。:_;./ /;-゚;・,。:゚;:.゚|;;|. | ,|
| | | _|。.:_::゜。-.;.:゜;/_ン∩ソ/\;;:;.:.。: ヽ '゚;。_ / /
ヽ \_ .。'゚/ `。:、`;゜::;.:、,:゚;: .:..゜:: ゚。:..;: /_ン∩ソ/\
/\_ン∩ソ\ ゚ ;:゚..゜:: ゚。:.:.:゚; ゚ ;:゚..;゚; / /`ー'ー'\ \
. / /`ー'ー'\ \ ゚ ;:゚..゜:: ;。:.:.::゚。;:;.:ヽ < / /
〈 く / / ゚ ;:゚.。゜:;゚;゚.。.:`;:;.:.。 \ \ / /
. \ ヽ / / .;.:.;.゜::: ;。: ;:゚.゜:: : .〉 ) ( .く,
〉 ) ( .く, ゚.;゚ヽ(`Д´)ノウワァァン(_,ノ \.`)
(_,ノ .`ー' ;:ヽ( >>1 )ノ:゚.;.:;
- 8 :
- 自分はYBBはないですが、来てました。
2003/09/21 03:09:40: PP[01] Rejected at IN(default) filter: TCP 127.0.0.1:80 >
192.???.???.???:1344
今は静かですが。
- 9 :
- ∧∧ ノ⌒ヽ <>>1さん、毒まんじゅうをドウゾ♪
(*゚ー゚( ;;*;; ) ∬
"U し":`J ,,.●;.: ,.ぶりぶり
`;;,・:';,:'∵ ● ● ● ● ● ● ● ●
- 10 :
- >>8のルーターはヤマハ
- 11 :
- ヤマハのルーターはどうですか?相変わらず遅いですか?
- 12 :
- ヤマハのルーターは相変わらず値段が高いです
- 13 :
- なにここ?
- 14 :
- 127.0.0.1:80から来てるパケットのフラグは?
うちに来てるのはRST ACKがセットされてるけど。
あとこれ参考になる?
ttp://archives.neohapsis.com/archives/snort/2003-09/0034.html
- 15 :
- >>14
このパケットが出回る理由になってない気がするんだが…
Blasterってソースアドレス偽装するんだっけ?
- 16 :
- >>14
RST, ACKなら自分がコネクション張ろうとして拒否された場合だな。
>>14のリンクによるとwindowsupdate.comが127.0.0.1にされちまってるって事か?
喰らってる奴はdigってみれ。
- 17 :
- \(^▽^)/http://www.geocities.co.jp/SiliconValley-PaloAlto/7380/kaorin.html♪
- 18 :
- >>16
digってなに?
hostsデータでwindowsupdate.comが127.0.0.1になってるってこと?
それだとパケット自体、外に出ようがないんだけれども。
windowsupdate.comつながるし。
も少し詳しく。
- 19 :
- >>18
digはnslookupみたいなもん。
それからhostsじゃなくてDNSの話。
- 20 :
- >>16
dig入ってないけどnslookupだとダメなの?
X:\>nslookup windowsupdate.com
*** No address (A) records available for windowsupdate.com
>>14のリンク先
感染したクライアントが127.0.0.1:80に接続しようとして拒否されると
他のマシン<RandomIP>にも、ソース127.0.0.1:80なRST ACKパケットが投げられる
って読めるんだけど、あり得る事?
で結局、これの原因はBlaster(の対策にDNSいじったこと)でいいの?
質問ばっかりでスマソ
- 21 :
- >>20
> 他のマシン<RandomIP>にも、ソース127.0.0.1:80なRST ACKパケットが投げられる
> って読めるんだけど、あり得る事?
普通はありえない。
Blasterがソースアドレスを<RandomIP>に偽装するならあるかも。
- 22 :
- >>19
勘違いしちゃった。スマソ
>>20
んじゃ、Blast感染してない人は問題ナッシングなんだね
よかった
- 23 :
- 漏れの所も来ていた…。それも連続で
Sun, 2003-09-21 22:04:59 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1682,LAN
Sun, 2003-09-21 22:06:38 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1437,LAN
Sun, 2003-09-21 22:07:12 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1197,LAN
Sun, 2003-09-21 22:07:28 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1693,LAN
ちなみにOCNを使っていまつ。
- 24 :
- セキュリティ初心者質問スレッドpart30
http://pc.2ch.sc/test/read.cgi/sec/1063081161/584
- 25 :
- IE(試したのは6)を起動した後で、そのIEが初めてネットワークへ接続しようとする時、
localhost:xxxx -> localhost(127.0.0.1):xxxx (宛先ポートは同じ)
でUDPパケットを投げてて、
こいつを弾くとIEのネットワークからのデータ取得動作が極端に遅くなるみたい。
WindowsUpdateでどうこうってのはこれが関わってるのでは?
#そういや昔から気になってたんだよなぁ。これって何してんの?
- 26 :
- 君たちは飼育されている。
- 27 :
- >>25
何してるか知らないけどIEは前からそう。
TCPだし80だし関係ないと思う。
- 28 :
- 来てる人って。http://127.0.0.1/にアクセスしても同じ警告出る?
- 29 :
- >>28
漏れは出ないよ。けど何故?
- 30 :
- 単純なloopbackの話じゃないから。
いいから、もう。
それぐらい、みんなわかってるから。
よくある、『127.0.0.1は自分だよ!』って突っ込みはナシだから。
そんなの踏まえて、言ってるだけだから。
- 31 :
- こういう事かな・・・
あるマシンがワームに感染していた。
このマシンのワームはwindowsupdateにHTTPアクセスで
DoS攻撃を行なった。この時送信元のアドレスをAに詐称した。
windowsupdateのDNSレコードが127.0.0.1に書き換えられていた為、
このDoS攻撃は自分の内部に対して行ってしまった。127.0.0.1はこの
DoS攻撃(HTTPアクセス)の応答を律儀にもAにとどけた為、たまたま
詐称されたアドレスAの>>1が???(ワケワカラン)となった。
- 32 :
- 結局の所みんな知りたがってるのは理論的なことでなく、ハッキング的な人為的な物なのか
あるいはブラスター亜種等のワーム蔓延による半不可抗力的ものかと言う事だな。
自分としては >>31 の内容が一番つじつまが合うような気がするが。
ちなみに自分も1ヶ月前には無かったがここ最近叩かれてる。
- 33 :
- アングラでipspoofingの簡単ツールが出回って厨房が、めったやたら
使っていると見た
- 34 :
- >>24 のリンク先
http://pc.2ch.sc/test/read.cgi/sec/1063081161/584
を見て、サイゲートのパーソナルFW SPF5.0のセキュ穴
の件を調べてみました。 IP address 127.0.0.1 あるいは
Network Address 127.0.0.0.を詐称したパケットを素通り
スルーさせてしまうというもの。こりゃひどいでつ。ポート
スキャン、DoS攻撃かけほうだい。
サイゲートでは今年の1月に大慌てで修正版をリリース。
以前の版の使用者にはルールで127.0.0.0-127.0.0.255を
ブロックしれ、と言ってます。
http://www.sygate.com/alerts/IP_Spoofing_Loopback_Address.htm
- 35 :
- >>33
茂スレにいたあの脳タリンか?
>>34
> ポートスキャン
んな事できるわけねーだろ。
- 36 :
- 不要な摩擦を避けるため訂正しとこう。
>>33
茂スレにいたあの脳タリンがやってるのかも。
- 37 :
- >>35
http://www.google.co.jp/search?q=cache:esFn8cAZ5NoJ:lists.insecure.org/lists/bugtraq/2002/Sep/0131.html+%22IP+spoofing%22+Sygate&hl=ja&ie=UTF-8&inlang=ja
> The Attacker could scan or attack the target host without being
> detected by the personal firewall.
- 38 :
- >>35
このアフォはなんで一人で興奮してるんだ?
こういうノータリヌが立てこもり事件起こしたり
散弾銃でお隣さん射ったりすんだよなー。
- 39 :
- >>37
スキャンといえばポートスキャン。そんな>>37に萌ぇ〜〜〜
- 40 :
- ゴホンといえば龍角散
- 41 :
- >>38
まあ普通の人がスキャンといえばポートスキャンだと
思うのはしかたない。しかしIPスプーフィングでセッッション
乗っ取る古典的な例が出てるわけだが、それはどのように
実行されたのか、それを防ぐにはどうすればいいか述べて
みれ。
- 42 :
- >>35
回答できる人間は回答する。
回答できない人間は質問する。
質問も回答できないノータリヌは意味なく罵倒する。
- 43 :
- >>41 のアンカーは>>35でないのw?
なにしろマターリいきましょ
- 44 :
- >>41
IPSpoofingには幾つか方法があるわけだが、どの方法に関して聞きたいんだ?
- 45 :
- 先生ー、質問です。
127.0.0.1をソースアドレスにしたパケットはルーターを越えられるんでしょうか?
- 46 :
- >>45
フィルターしてなきゃ超えてくる。
- 47 :
- ルーティングの基本は宛先アドレスだけを見るからな。
家庭用の品はデフォルトでフィルタして欲しいものだが。。。
プロバイダもingress/egressフィルタで落せや。
- 48 :
- 0.0.0.0のinboundなんかは、これの仲間ですか。
- 49 :
- >>48
なんだろね?
192.168.0.255とか来出したら嫌だね。
- 50 :
- ルータのSPIで防げるじあん。
- 51 :
- SPIで防げるのかヨ。へぇー
- 52 :
- ログに127.0.0.0があったんで検索したらこのスレ見つけますた。
送信IPは簡単に詐称できることを知りますた。ビクーリ。最近も
セキュリティー板でメールのFROMも詐称できることを知りますた。
人間不信だぁ〜
- 53 :
- ルーターを使ってるのですがぞぬのTCP flags:ARがLOGに残っています。これはルーターを越えたって事?
>>8 >>23 見たいにルーターのLOGには残っていないです。(BAR-SD)
ちなみに静的フィルターしか付いてないのですがこれでは防げなのでしょうか?
- 54 :
- >>53
スタティックフィルターでもブロックできる、ルーターのマニュアル嫁。
WAN側から入ってくる↓こいつらをソースアドレスにもつものをブロックすりゃいい。
インターフェース指定してフィルター書けないルータなら捨てろ。
http://www.blackh0le.net/useful/ip.html
最低
The current list of special use prefixes:
0.0.0.0/8
127.0.0.0/8
192.0.2.0/24
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
169.254.0.0/16
all D/E space
フィルターのテーブルに余裕があって偏執狂ならIANAが予約してるの全部ブロックしてもいい。
- 55 :
- >>54
YAMAHAのはデフォルトブロックしてるから
何もしなくていいよね。ね?いいんだよね?
ちょっぴり不安
とくに0.0.0.0/8あたりが。
- 56 :
- src:0.0.0.0:68, dst:255.255.255.255:67ならDHCP DISCOVERだな。
- 57 :
- 能タリンなんて言葉久しぶりに聞いたな。
未だに使ってる人間が居たとは。
たぶん漏れの親父でも使ってないな。
- 58 :
- うっせ、じーちゃんに言われるんだよ。
- 59 :
- >>56
お! それそれ
マルチキャストのゴミって事?
- 60 :
- >>59
DHCPは始めはアドレス割り振られてないから0.0.0.0で「おいらにアドレスくれる香具師いる?」と
ブロードキャストする。
- 61 :
- ・・・・で、結局来たらどうなる訳?
ゾヌでの進入検知をしてない訳だが。
来たら侵食でもされるの?
- 62 :
- 何もされない
- 63 :
- これは
ファイアーウォ−ルもルーターも入れてないおいらには
関係ない話ですか?
- 64 :
- 関係無くは無い。
- 65 :
- >>63
ファイアウォールはともかく、ルータは入れたほうがいい。
アナログや ISDN のダイアルアップだからといって安心は出来ない。
パーソル http://www.persol-jp.com/ からアナログモデムや TA を
繋げられるルータも販売されている。
Unix 系 OS 使って自力でゴリゴリやってるとかならともかく、
ブロードバンドでファイアウォールもルータも使ってないなら死ぬ。
マカもたかくくってるぞ危ないぞ。
- 66 :
- >>65
おいらブロードバンドなんでやばそう?
Xpのやつじゃまずいの?
- 67 :
- >>66
毎日 Windows Update をやってて、危ない所には一切行かない、
メールの添付ファイルは全部捨てて、HTML メールは読まない。
出処の明らかでないソフトはインストールしない。
2ch に貼られたリンクは絶対にクリックしない。
そんな禁欲的生活を送っているなら大丈夫。
セックスを楽しむ時にコンドーム付けるのと同様、
ブロードバンドする時にルータをかますのは常識。
- 68 :
- >>67
そうなんか・・・
ありがとう
お金が入ったらルータ検討してみる
セックスを楽しむ時にコンドーム付けないのがおいらの主義だが
- 69 :
- >>68に「転ばぬ先の杖」という言葉を贈ろう
- 70 :
- >>68
ルータ入れりゃそれに越したことはないが、パソコン1台の環境なら
ファイアウォール+アンチウィールス+アンチスパイ+Windows Update
で普通は十分。もちろんウィールス定義ファイルは毎日更新をチェック
する。(セキュ板にいろいろ専門スレがあるから参考に)
もっともノートン買うくらいならルータ買ってフリーのセキュソフト入れた
方がいい。実勢1万前後の製品で十分。
PC2台以上ならもちろんルータ必須。NetBIOS+馬鹿ハブでつないだり
してると世界中から丸見えw
- 71 :
- >>67
ブロードバンドルータ導入によって得られる安全性と最初の1文以外の警告に関連性が無い。
>>70
1台ならFWで間に合って2台以上になるとルータ無しじゃ歯が立たないってのは明らかにおかしいと思うが?
個々のPCにFW入れて運用ってのは手間は増えるが、その手間さえ惜しまなければ1台の時と変わらないと思うが…
- 72 :
- >>71
2台になるとLAN内とLAN外の双方と通信しなきゃならない
んだから状況は全然違ってくる。てか、釣りか?
- 73 :
- HUB
- 74 :
- 127.0.0.1 さんから今日も3回……。
- 75 :
- サイゲート以外のファイアウォールソフトにはIP Spoofing Loopbackの
脆弱性はないのでしょうか?
NIS2002使用してるんだがブロックしてるのかどうかよくわかりません。
- 76 :
- >>72
そのためのFWなんだが釣りか?
設定覗いたことないのか?
それとも詳細な設定殆ど出来ないタイプのFW使ってんのか?
- 77 :
- (´-`).。oO(>>72の言ってる事は間違いでは無いよな・・・ )
- 78 :
- >>76
誰がIPフォワードするんだよ。ボケッ
- 79 :
- >>75
SygatePFにもそんな脆弱性はない
- 80 :
- >>79
>>34に書いてあるように現行バージョンはないけど以前はあった。
SygatePFに今はないとして他のPFは本当に大丈夫なのかとういうこと。
- 81 :
- で、なぜ?最近このアタック多いんだ?
- 82 :
- >>76
誰でも知ってるような知識の切れ端ふりまわして迷惑がられる
のは職場でやってくれ。それともその性格が災いして失業中か?
- 83 :
- >>82
自分に言い聞かせてんの?失業中なのか。。
- 84 :
- >>82
会社で何か嫌な事でもあったのか。
お兄さんに話してみなさい。
- 85 :
- 2ch信者が図星突かれて逆に煽り始めた
- 86 :
- 失業者が逆に煽られて「2ch信者」などと宣巻い始めた
- 87 :
- 平日の9時
素晴らしい奴らだ。
- 88 :
- http://aa2.2ch.sc/test/read.cgi/accuse/1062154461/944
おら、2ch信者は所詮そんなもんさ。
- 89 :
- また哀れな自覚の無い鸚鵡返ししかできない視野の狭い2ch信者を改心させてしまった。。。
- 90 :
- >>87
高卒さんにはわからないかもしれませんが大学では1限から講義があるとは限りませんよ。
- 91 :
- >>90
http://aa2.2ch.sc/test/read.cgi/accuse/1062154461/946
>基本的に常に偉そうにしている。嫌味を言うときだけ敬語になる。
実に素晴らしい2ch信者だ。
特徴に合致している。
批判要望板で自分なりの意見を書き込んでみてはいかがかな?
- 92 :
- インターネットでうろうろしていたら レジストリを書き換えられたみたいで
アダルト画面が勝手に立ち上げって仕方ありません
どうすればいいでしょうか?
- 93 :
- >>91
アンチ2ch教信者以外批判要望板なんていきませんよ。
- 94 :
- >>91
そんなに2chが嫌いならYahoo掲示板でも/.でも個人サイトのBBSでも好きなところRよ。
- 95 :
- >>83-84
煽って誤魔化そうとしないで、>>78に答えろよ。
- 96 :
- >>95
ICSでもISPから複数IPでも何でも良いだろ。
2台以上になると利便性の面でルータだろうな。
外れ掴まされると痛い目にあうようなので興味があるならハード板逝ってくれ。
- 97 :
- まあ何はともあれ>>76の内容は大間違いなわけだが。
- 98 :
- | \
|∀`) ダレモイナイ・・ヌルポイウナラ イマノウチ
|⊂
|
♪ Å
♪ / \
ヽ(´∀` )ノ <ぬるぽ
( へ)
く
♪ Å
♪ / \
ヽ( ´∀`)ノ <ぬぽぬぽ
(へ ) ぬるぽ
>
- 99 :
- 大間違いは>>71じゃろ。
- 100 :
- 俺はルーター無いとブローバンドできないとおもてたよ
100〜のスレッドの続きを読む
トレンドマイクロの販売管理費
SGアンチスパイ2 Part2
【VB】ウイルスバスター2008 Part038【TrendMicro】
不正アクセスしてくるIPを晒すスレPart14
ウイルスバスター2012 Part4
ウイルスドクター Part3
MSN(Windows)メッセンヂャーで
ぼるじょあ(・3・)質問箱 セキュ板出張所33
DNSプロトコルの脆弱性情報 漏洩する
「500」「バスター厨」「相模原」粘着荒らし総合スレ
--------------------
【ペレンティーオオトカゲ】“世界で最も美しいトカゲ”を密輸入 1匹600万円で転売
障害者はムダに働こうとするより生活保護や障害年金で暮らしてた方が社会コスト少ないって真実だよな
(-_-)
モビルスーツ強さ議論スレ2
そらそうよ
【カボス】大分県の単車乗り達のスレ Part42
岡山の競輪選手2
こんな「やすらぎの郷」はいやだ
桑原水菜総合スレッド43
こんなNHK『連続テレビ小説』は嫌だ!
■■速報@ゲーハー板 ver.48134■■
広島のバイク乗り88
アベノミクス失敗 安倍のような阿呆が総理大臣2
【平昌五輪】韓国当局「おわび申し上げる」 “日本消滅”HP地図で謝罪 文化体育観光大臣も非認める [09/28]
■アベノミックスはウンコミックス
玩具Youtuber総合スレ4
Supreme
【野球】広島市民球場跡地活用の議論始まる【サッカー】
●NECのVU55L使ってる奴まだいる?
ふしぎの海のナディア part76
TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼