1read 100read
2012年3月セキュリティ248: 異世界からの訪問者『 127.0.0.1 』 (195)
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▼
SUPERANtiSpyware Part4 (475)
スパイウェアソフトJaneStyle (627)
_■■■■■■BlackICEスレ PART6■■■■■■_ (742)
Android powered by McAfee (334)
スパイウェア削除ソフト Spybot Part59 (962)
【News】セキュリティ ニュース購読スレッド Vol.4 (393)
異世界からの訪問者『 127.0.0.1 』
1 :03/09/21 昨今、外部「127.0.0.1」から1000番台ポート へのアタックが急増してるようだが。 この謎の訪問者はいったいだれか。
2 :03/09/21 >>1 自分
3 :03/09/21 >>1 が使ってるプロバイダは Yahoo!BB
4 :03/09/21 >>3 ドイツにもY!BBがあったとは知らなかったぞ。 http://lists.insecure.org/lists/incidents/2001/Sep/0372.html
5 :03/09/21 もう一丁 http://lists.insecure.org/lists/incidents/2002/Jun/0044.html 来てる奴はこのくらいはログ取れよ。
6 :03/09/21 しかし、両方とも古いな。
7 :03/09/21 Λ_Λ ( ´Д` ) スンナッテ Λ_Λ Λ_Λ / ,\ (´Д` ) イッテンダロ ( ´Д`) クダラネェツリ | l l | / ,\ / \ | .;|;;:。;:,:、| ;| ..,. | l l | | l l | ..,. ., ヽ '゚;_。:_;./ /;-゚;・,。:゚;:.゚|;;|. | ,| | | | _|。.:_::゜。-.;.:゜;/_ン∩ソ/\;;:;.:.。: ヽ '゚;。_ / / ヽ \_ .。'゚/ `。:、`;゜::;.:、,:゚;: .:..゜:: ゚。:..;: /_ン∩ソ/\ /\_ン∩ソ\ ゚ ;:゚..゜:: ゚。:.:.:゚; ゚ ;:゚..;゚; / /`ー'ー'\ \ . / /`ー'ー'\ \ ゚ ;:゚..゜:: ;。:.:.::゚。;:;.:ヽ < / / 〈 く / / ゚ ;:゚.。゜:;゚;゚.。.:`;:;.:.。 \ \ / / . \ ヽ / / .;.:.;.゜::: ;。: ;:゚.゜:: : .〉 ) ( .く, 〉 ) ( .く, ゚.;゚ヽ(`Д´)ノウワァァン(_,ノ \.`) (_,ノ .`ー' ;:ヽ( >>1 )ノ:゚.;.:;
8 :03/09/21 自分はYBBはないですが、来てました。 2003/09/21 03:09:40: PP[01] Rejected at IN(default) filter: TCP 127.0.0.1:80 > 192.???.???.???:1344 今は静かですが。
9 :03/09/21 ∧∧ ノ⌒ヽ <>>1 さん、毒まんじゅうをドウゾ♪ (*゚ー゚( ;;*;; ) ∬ "U し":`J ,,.●;.: ,.ぶりぶり `;;,・:';,:'∵ ● ● ● ● ● ● ● ●
10 :03/09/21 >>8 のルーターはヤマハ
11 :03/09/21 ヤマハのルーターはどうですか?相変わらず遅いですか?
12 :03/09/21 ヤマハのルーターは相変わらず値段が高いです
13 :03/09/21 なにここ?
14 :03/09/21 127.0.0.1:80から来てるパケットのフラグは? うちに来てるのはRST ACKがセットされてるけど。 あとこれ参考になる? ttp://archives.neohapsis.com/archives/snort/2003-09/0034.html
15 :03/09/21 >>14 このパケットが出回る理由になってない気がするんだが… Blasterってソースアドレス偽装するんだっけ?
16 :03/09/22 >>14 RST, ACKなら自分がコネクション張ろうとして拒否された場合だな。 >>14 のリンクによるとwindowsupdate.comが127.0.0.1にされちまってるって事か? 喰らってる奴はdigってみれ。
17 :03/09/22 \(^▽^)/http://www.geocities.co.jp/SiliconValley-PaloAlto/7380/kaorin.html ♪
18 :03/09/22 >>16 digってなに? hostsデータでwindowsupdate.comが127.0.0.1になってるってこと? それだとパケット自体、外に出ようがないんだけれども。 windowsupdate.comつながるし。 も少し詳しく。
19 :03/09/22 >>18 digはnslookupみたいなもん。 それからhostsじゃなくてDNSの話。
20 :03/09/22 >>16 dig入ってないけどnslookupだとダメなの? X:\>nslookup windowsupdate.com *** No address (A) records available for windowsupdate.com >>14 のリンク先 感染したクライアントが127.0.0.1:80に接続しようとして拒否されると 他のマシン<RandomIP>にも、ソース127.0.0.1:80なRST ACKパケットが投げられる って読めるんだけど、あり得る事? で結局、これの原因はBlaster(の対策にDNSいじったこと)でいいの? 質問ばっかりでスマソ
21 :03/09/22 >>20 > 他のマシン<RandomIP>にも、ソース127.0.0.1:80なRST ACKパケットが投げられる > って読めるんだけど、あり得る事? 普通はありえない。 Blasterがソースアドレスを<RandomIP>に偽装するならあるかも。
22 :03/09/22 >>19 勘違いしちゃった。スマソ >>20 んじゃ、Blast感染してない人は問題ナッシングなんだね よかった
23 :03/09/22 漏れの所も来ていた…。それも連続で Sun, 2003-09-21 22:04:59 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1682,LAN Sun, 2003-09-21 22:06:38 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1437,LAN Sun, 2003-09-21 22:07:12 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1197,LAN Sun, 2003-09-21 22:07:28 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1693,LAN ちなみにOCNを使っていまつ。
24 :03/09/22 セキュリティ初心者質問スレッドpart30 http://pc.2ch.net/test/read.cgi/sec/1063081161/584
25 :03/09/22 IE(試したのは6)を起動した後で、そのIEが初めてネットワークへ接続しようとする時、 localhost:xxxx -> localhost(127.0.0.1):xxxx (宛先ポートは同じ) でUDPパケットを投げてて、 こいつを弾くとIEのネットワークからのデータ取得動作が極端に遅くなるみたい。 WindowsUpdateでどうこうってのはこれが関わってるのでは? #そういや昔から気になってたんだよなぁ。これって何してんの?
26 :03/09/22 君たちは飼育されている。
27 :03/09/22 >>25 何してるか知らないけどIEは前からそう。 TCPだし80だし関係ないと思う。
28 :03/09/22 来てる人って。http://127.0.0.1/ にアクセスしても同じ警告出る?
29 :03/09/22 >>28 漏れは出ないよ。けど何故?
30 :03/09/22 単純なloopbackの話じゃないから。 いいから、もう。 それぐらい、みんなわかってるから。 よくある、『127.0.0.1は自分だよ!』って突っ込みはナシだから。 そんなの踏まえて、言ってるだけだから。
31 :03/09/23 こういう事かな・・・ あるマシンがワームに感染していた。 このマシンのワームはwindowsupdateにHTTPアクセスで DoS攻撃を行なった。この時送信元のアドレスをAに詐称した。 windowsupdateのDNSレコードが127.0.0.1に書き換えられていた為、 このDoS攻撃は自分の内部に対して行ってしまった。127.0.0.1はこの DoS攻撃(HTTPアクセス)の応答を律儀にもAにとどけた為、たまたま 詐称されたアドレスAの>>1 が???(ワケワカラン)となった。
32 :03/09/23 結局の所みんな知りたがってるのは理論的なことでなく、ハッキング的な人為的な物なのか あるいはブラスター亜種等のワーム蔓延による半不可抗力的ものかと言う事だな。 自分としては >>31 の内容が一番つじつまが合うような気がするが。 ちなみに自分も1ヶ月前には無かったがここ最近叩かれてる。
33 :03/09/23 アングラでipspoofingの簡単ツールが出回って厨房が、めったやたら 使っていると見た
34 :03/09/23 >>24 のリンク先 http://pc.2ch.net/test/read.cgi/sec/1063081161/584 を見て、サイゲートのパーソナルFW SPF5.0のセキュ穴 の件を調べてみました。 IP address 127.0.0.1 あるいは Network Address 127.0.0.0.を詐称したパケットを素通り スルーさせてしまうというもの。こりゃひどいでつ。ポート スキャン、DoS攻撃かけほうだい。 サイゲートでは今年の1月に大慌てで修正版をリリース。 以前の版の使用者にはルールで127.0.0.0-127.0.0.255を ブロックしれ、と言ってます。 http://www.sygate.com/alerts/IP_Spoofing_Loopback_Address.htm
35 :03/09/23 >>33 茂スレにいたあの脳タリンか? >>34 > ポートスキャン んな事できるわけねーだろ。
36 :03/09/23 不要な摩擦を避けるため訂正しとこう。 >>33 茂スレにいたあの脳タリンがやってるのかも。
37 :03/09/23 >>35 http://www.google.co.jp/search?q=cache:esFn8cAZ5NoJ:lists.insecure.org/lists/bugtraq/2002/Sep/0131.html+%22IP+spoofing%22+Sygate&hl=ja&ie=UTF-8&inlang=ja > The Attacker could scan or attack the target host without being > detected by the personal firewall.
38 :03/09/23 >>35 このアフォはなんで一人で興奮してるんだ? こういうノータリヌが立てこもり事件起こしたり 散弾銃でお隣さん射ったりすんだよなー。
39 :03/09/23 >>37 スキャンといえばポートスキャン。そんな>>37 に萌ぇ〜〜〜
40 :03/09/23 ゴホンといえば龍角散
41 :03/09/23 >>38 まあ普通の人がスキャンといえばポートスキャンだと 思うのはしかたない。しかしIPスプーフィングでセッッション 乗っ取る古典的な例が出てるわけだが、それはどのように 実行されたのか、それを防ぐにはどうすればいいか述べて みれ。
42 :03/09/23 >>35 回答できる人間は回答する。 回答できない人間は質問する。 質問も回答できないノータリヌは意味なく罵倒する。
43 :03/09/23 >>41 のアンカーは>>35 でないのw? なにしろマターリいきましょ
44 :03/09/23 >>41 IPSpoofingには幾つか方法があるわけだが、どの方法に関して聞きたいんだ?
45 :03/09/23 先生ー、質問です。 127.0.0.1をソースアドレスにしたパケットはルーターを越えられるんでしょうか?
46 :03/09/23 >>45 フィルターしてなきゃ超えてくる。
47 :03/09/23 ルーティングの基本は宛先アドレスだけを見るからな。 家庭用の品はデフォルトでフィルタして欲しいものだが。。。 プロバイダもingress/egressフィルタで落せや。
48 :03/09/24 0.0.0.0のinboundなんかは、これの仲間ですか。
49 :03/09/24 >>48 なんだろね? 192.168.0.255とか来出したら嫌だね。
50 :03/09/24 ルータのSPIで防げるじあん。
51 :03/09/24 SPIで防げるのかヨ。へぇー
52 :03/09/24 ログに127.0.0.0があったんで検索したらこのスレ見つけますた。 送信IPは簡単に詐称できることを知りますた。ビクーリ。最近も セキュリティー板でメールのFROMも詐称できることを知りますた。 人間不信だぁ〜
53 :03/09/24 ルーターを使ってるのですがぞぬのTCP flags:ARがLOGに残っています。これはルーターを越えたって事? >>8 >>23 見たいにルーターのLOGには残っていないです。(BAR-SD) ちなみに静的フィルターしか付いてないのですがこれでは防げなのでしょうか?
54 :03/09/24 >>53 スタティックフィルターでもブロックできる、ルーターのマニュアル嫁。 WAN側から入ってくる↓こいつらをソースアドレスにもつものをブロックすりゃいい。 インターフェース指定してフィルター書けないルータなら捨てろ。 http://www.blackh0le.net/useful/ip.html 最低 The current list of special use prefixes: 0.0.0.0/8 127.0.0.0/8 192.0.2.0/24 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 all D/E space フィルターのテーブルに余裕があって偏執狂ならIANAが予約してるの全部ブロックしてもいい。
55 :03/09/24 >>54 YAMAHAのはデフォルトブロックしてるから 何もしなくていいよね。ね?いいんだよね? ちょっぴり不安 とくに0.0.0.0/8あたりが。
56 :03/09/24 src:0.0.0.0:68, dst:255.255.255.255:67ならDHCP DISCOVERだな。
57 :03/09/24 能タリンなんて言葉久しぶりに聞いたな。 未だに使ってる人間が居たとは。 たぶん漏れの親父でも使ってないな。
58 :03/09/24 うっせ、じーちゃんに言われるんだよ。
59 :03/09/25 >>56 お! それそれ マルチキャストのゴミって事?
60 :03/09/25 >>59 DHCPは始めはアドレス割り振られてないから0.0.0.0で「おいらにアドレスくれる香具師いる?」と ブロードキャストする。
61 :03/09/25 ・・・・で、結局来たらどうなる訳? ゾヌでの進入検知をしてない訳だが。 来たら侵食でもされるの?
62 :03/09/26 何もされない
63 :03/09/26 これは ファイアーウォ−ルもルーターも入れてないおいらには 関係ない話ですか?
64 :03/09/26 関係無くは無い。
65 :03/09/26 >>63 ファイアウォールはともかく、ルータは入れたほうがいい。 アナログや ISDN のダイアルアップだからといって安心は出来ない。 パーソル http://www.persol-jp.com/ からアナログモデムや TA を 繋げられるルータも販売されている。 Unix 系 OS 使って自力でゴリゴリやってるとかならともかく、 ブロードバンドでファイアウォールもルータも使ってないなら死ぬ。 マカもたかくくってるぞ危ないぞ。
66 :03/09/26 >>65 おいらブロードバンドなんでやばそう? Xpのやつじゃまずいの?
67 :03/09/26 >>66 毎日 Windows Update をやってて、危ない所には一切行かない、 メールの添付ファイルは全部捨てて、HTML メールは読まない。 出処の明らかでないソフトはインストールしない。 2ch に貼られたリンクは絶対にクリックしない。 そんな禁欲的生活を送っているなら大丈夫。 を楽しむ時にコンドーム付けるのと同様、 ブロードバンドする時にルータをかますのは常識。
68 :03/09/26 >>67 そうなんか・・・ ありがとう お金が入ったらルータ検討してみる を楽しむ時にコンドーム付けないのがおいらの主義だが
69 :03/09/26 >>68 に「転ばぬ先の杖」という言葉を贈ろう
70 :03/09/26 >>68 ルータ入れりゃそれに越したことはないが、パソコン1台の環境なら ファイアウォール+アンチウィールス+アンチスパイ+Windows Update で普通は十分。もちろんウィールス定義ファイルは毎日更新をチェック する。(セキュ板にいろいろ専門スレがあるから参考に) もっともノートン買うくらいならルータ買ってフリーのセキュソフト入れた 方がいい。実勢1万前後の製品で十分。 PC2台以上ならもちろんルータ必須。NetBIOS+馬鹿ハブでつないだり してると世界中から丸見えw
71 :03/09/26 >>67 ブロードバンドルータ導入によって得られる安全性と最初の1文以外の警告に関連性が無い。 >>70 1台ならFWで間に合って2台以上になるとルータ無しじゃ歯が立たないってのは明らかにおかしいと思うが? 個々のPCにFW入れて運用ってのは手間は増えるが、その手間さえ惜しまなければ1台の時と変わらないと思うが…
72 :03/09/26 >>71 2台になるとLAN内とLAN外の双方と通信しなきゃならない んだから状況は全然違ってくる。てか、釣りか?
73 :03/09/26 HUB
74 :03/09/26 127.0.0.1 さんから今日も3回……。
75 :03/09/27 サイゲート以外のファイアウォールソフトにはIP Spoofing Loopbackの 脆弱性はないのでしょうか? NIS2002使用してるんだがブロックしてるのかどうかよくわかりません。
76 :03/09/27 >>72 そのためのFWなんだが釣りか? 設定覗いたことないのか? それとも詳細な設定殆ど出来ないタイプのFW使ってんのか?
77 :03/09/27 (´-`).。oO(>>72 の言ってる事は間違いでは無いよな・・・ )
78 :03/09/27 >>76 誰がIPフォワードするんだよ。ボケッ
79 :03/09/27 >>75 SygatePFにもそんな脆弱性はない
80 :03/09/27 >>79 >>34 に書いてあるように現行バージョンはないけど以前はあった。 SygatePFに今はないとして他のPFは本当に大丈夫なのかとういうこと。
81 :03/09/28 で、なぜ?最近このアタック多いんだ?
82 :03/09/28 >>76 誰でも知ってるような知識の切れ端ふりまわして迷惑がられる のは職場でやってくれ。それともその性格が災いして失業中か?
83 :03/09/28 >>82 自分に言い聞かせてんの?失業中なのか。。
84 :03/09/28 >>82 会社で何か嫌な事でもあったのか。 お兄さんに話してみなさい。
85 :03/09/29 2ch信者が図星突かれて逆に煽り始めた
86 :03/09/29 失業者が逆に煽られて「2ch信者」などと宣巻い始めた
87 :03/09/29 平日の9時 素晴らしい奴らだ。
88 :03/09/29 http://aa2.2ch.net/test/read.cgi/accuse/1062154461/944 おら、2ch信者は所詮そんなもんさ。
89 :03/09/29 また哀れな自覚の無い鸚鵡返ししかできない視野の狭い2ch信者を改心させてしまった。。。
90 :03/09/29 >>87 高卒さんにはわからないかもしれませんが大学では1限から講義があるとは限りませんよ。
91 :03/09/29 >>90 http://aa2.2ch.net/test/read.cgi/accuse/1062154461/946 >基本的に常に偉そうにしている。嫌味を言うときだけ敬語になる。 実に素晴らしい2ch信者だ。 特徴に合致している。 批判要望板で自分なりの意見を書き込んでみてはいかがかな?
92 :03/09/29 インターネットでうろうろしていたら レジストリを書き換えられたみたいで 画面が勝手に立ち上げって仕方ありません どうすればいいでしょうか?
93 :03/09/29 >>91 アンチ2ch教信者以外批判要望板なんていきませんよ。
94 :03/09/29 >>91 そんなに2chが嫌いならYahoo掲示板でも/.でも個人サイトのBBSでも好きなところけよ。
95 :03/09/29 >>83-84 煽って誤魔化そうとしないで、>>78 に答えろよ。
96 :03/09/30 >>95 ICSでもISPから複数IPでも何でも良いだろ。 2台以上になると利便性の面でルータだろうな。 外れ掴まされると痛い目にあうようなので興味があるならハード板ってくれ。
97 :03/09/30 まあ何はともあれ>>76 の内容は大間違いなわけだが。
98 :03/10/02 | \ |∀`) ダレモイナイ・・ヌルポイウナラ イマノウチ |⊂ | ♪ Å ♪ / \ ヽ(´∀` )ノ <ぬるぽ ( へ) く ♪ Å ♪ / \ ヽ( ´∀`)ノ <ぬぽぬぽ (へ ) ぬるぽ >
99 :03/10/02 大間違いは>>71 じゃろ。
100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
ウィルスバスター(笑) (415)
私はトレンドマイクロを信頼します (772)
トレンドマイクロ代表取締役社長兼CEOエバ・チェン (624)
踏み台にできるSMTPサーバ (151)
Immunet Protect - Free! (236)
ウイルスキラーるろうに剣心 を妄想するスレ (476)
--log9.info------------------
$$$SOBUT$$$ (302)
★THE STREET BEATS★ストリートビーツ★Part11 (201)
【ギタリスト難】THE STARCLUB【HIROSHIは当たり】 (608)
35歳以上のパンクス!語ろうぜ (584)
【30th】COBRA part9【OiOi警備隊〜会員募集中!】 (311)
ニュースクールハードコア Chapter12 (344)
SA (906)
街で見掛けた!街で着ている!バンドTシャツ達! (751)
【999.9】 RADIOTS / YOSHIYA 【PROPAgANDA】. (685)
ハローハローハロー!【ストラマーズ】テンキュー! (917)
corrupted (706)
【GRIND CORE/GORE GRIND】Part10!! (508)
【反戦】 DISCHARGE part5 【迷走】 (308)
【HAPPY CRAZY】岡山のパンクpart2【HAPPY SHOCK】 (347)
【メンバー解雇】ゲンドウミサイル【極蔵一人旅】 (153)
【最速】SxOxB【最強】その3 (604)
--log55.com------------------
ダークソウル3 悪質プレイヤー晒しスレ24
TalesWeaverローゼンバーグ鯖晒しスレPart25
裏ねとらじDJ vol.305
【DQX】気に入らない奴を晒すスレ Ver.3
お辞儀をするのだ★7
町子さんヲチスレ 其の6
【ナナシス】Tokyo 7th シスターズ 支配人晒しスレ★13
【ブロックしよう】タカ@出オチ系【そうしよう】2RT