1read 100read
2012年3月セキュリティ248: 異世界からの訪問者『 127.0.0.1 』 (195) TOP カテ一覧 スレ一覧 2ch元 削除依頼
SUPERANtiSpyware Part4 (475)
スパイウェアソフトJaneStyle (627)
_■■■■■■BlackICEスレ PART6■■■■■■_ (742)
Android powered by McAfee (334)
スパイウェア削除ソフト Spybot Part59 (962)
【News】セキュリティ ニュース購読スレッド Vol.4 (393)

異世界からの訪問者『 127.0.0.1 』


1 :03/09/21
昨今、外部「127.0.0.1」から1000番台ポート へのアタックが急増してるようだが。
この謎の訪問者はいったいだれか。

2 :03/09/21
>>1
自分

3 :03/09/21
>>1 が使ってるプロバイダは Yahoo!BB

4 :03/09/21
>>3
ドイツにもY!BBがあったとは知らなかったぞ。
http://lists.insecure.org/lists/incidents/2001/Sep/0372.html

5 :03/09/21
もう一丁
http://lists.insecure.org/lists/incidents/2002/Jun/0044.html
来てる奴はこのくらいはログ取れよ。

6 :03/09/21
しかし、両方とも古いな。

7 :03/09/21
                 Λ_Λ
                 ( ´Д` ) スンナッテ  Λ_Λ 
   Λ_Λ         /    ,\      (´Д` ) イッテンダロ
   ( ´Д`) クダラネェツリ  | l    l |     /    ,\ 
  /    \        | .;|;;:。;:,:、| ;|    ..,. | l    l |
  | l    l |     ..,. ., ヽ '゚;_。:_;./ /;-゚;・,。:゚;:.゚|;;|.   | ,|
  | |    | _|。.:_::゜。-.;.:゜;/_ン∩ソ/\;;:;.:.。:  ヽ '゚;。_ / /
  ヽ \_ .。'゚/   `。:、`;゜::;.:、,:゚;: .:..゜:: ゚。:..;: /_ン∩ソ/\ 
   /\_ン∩ソ\    ゚ ;:゚..゜:: ゚。:.:.:゚; ゚ ;:゚..;゚;  /  /`ー'ー'\ \
.  /  /`ー'ー'\ \    ゚ ;:゚..゜:: ;。:.:.::゚。;:;.:ヽ  <     / /
 〈  く     / /    ゚ ;:゚.。゜:;゚;゚.。.:`;:;.:.。 \ \    / /
.  \ ヽ   / /     .;.:.;.゜::: ;。: ;:゚.゜:: :  .〉 )  ( .く,
    〉 )  ( .く,     ゚.;゚ヽ(`Д´)ノウワァァン(_,ノ   \.`)
   (_,ノ    .`ー'     ;:ヽ( >>1 )ノ:゚.;.:;

8 :03/09/21
自分はYBBはないですが、来てました。
2003/09/21 03:09:40: PP[01] Rejected at IN(default) filter: TCP 127.0.0.1:80 >
192.???.???.???:1344
今は静かですが。

9 :03/09/21
   ∧∧ ノ⌒ヽ <>>1さん、毒まんじゅうをドウゾ♪
  (*゚ー゚(  ;;*;; ) ∬
    "U し":`J ,,.●;.: ,.ぶりぶり
         `;;,・:';,:'∵  ● ● ● ● ● ● ● ●

10 :03/09/21
>>8のルーターはヤマハ

11 :03/09/21
ヤマハのルーターはどうですか?相変わらず遅いですか?

12 :03/09/21
ヤマハのルーターは相変わらず値段が高いです

13 :03/09/21
なにここ?

14 :03/09/21
127.0.0.1:80から来てるパケットのフラグは?
うちに来てるのはRST ACKがセットされてるけど。
あとこれ参考になる?
ttp://archives.neohapsis.com/archives/snort/2003-09/0034.html

15 :03/09/21
>>14
このパケットが出回る理由になってない気がするんだが…
Blasterってソースアドレス偽装するんだっけ?

16 :03/09/22
>>14
RST, ACKなら自分がコネクション張ろうとして拒否された場合だな。
>>14のリンクによるとwindowsupdate.comが127.0.0.1にされちまってるって事か?
喰らってる奴はdigってみれ。

17 :03/09/22
\(^▽^)/http://www.geocities.co.jp/SiliconValley-PaloAlto/7380/kaorin.html

18 :03/09/22
>>16
digってなに?
hostsデータでwindowsupdate.comが127.0.0.1になってるってこと?
それだとパケット自体、外に出ようがないんだけれども。
windowsupdate.comつながるし。
も少し詳しく。

19 :03/09/22
>>18
digはnslookupみたいなもん。
それからhostsじゃなくてDNSの話。

20 :03/09/22
>>16
dig入ってないけどnslookupだとダメなの?
X:\>nslookup windowsupdate.com
*** No address (A) records available for windowsupdate.com
>>14のリンク先
感染したクライアントが127.0.0.1:80に接続しようとして拒否されると
他のマシン<RandomIP>にも、ソース127.0.0.1:80なRST ACKパケットが投げられる
って読めるんだけど、あり得る事?
で結局、これの原因はBlaster(の対策にDNSいじったこと)でいいの?
質問ばっかりでスマソ

21 :03/09/22
>>20
> 他のマシン<RandomIP>にも、ソース127.0.0.1:80なRST ACKパケットが投げられる
> って読めるんだけど、あり得る事?
普通はありえない。
Blasterがソースアドレスを<RandomIP>に偽装するならあるかも。

22 :03/09/22
>>19
勘違いしちゃった。スマソ
>>20
んじゃ、Blast感染してない人は問題ナッシングなんだね
よかった

23 :03/09/22
漏れの所も来ていた…。それも連続で
Sun, 2003-09-21 22:04:59 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1682,LAN
Sun, 2003-09-21 22:06:38 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1437,LAN
Sun, 2003-09-21 22:07:12 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1197,LAN
Sun, 2003-09-21 22:07:28 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1693,LAN
ちなみにOCNを使っていまつ。

24 :03/09/22
セキュリティ初心者質問スレッドpart30
http://pc.2ch.net/test/read.cgi/sec/1063081161/584

25 :03/09/22
IE(試したのは6)を起動した後で、そのIEが初めてネットワークへ接続しようとする時、
localhost:xxxx -> localhost(127.0.0.1):xxxx (宛先ポートは同じ)
でUDPパケットを投げてて、
こいつを弾くとIEのネットワークからのデータ取得動作が極端に遅くなるみたい。
WindowsUpdateでどうこうってのはこれが関わってるのでは?
#そういや昔から気になってたんだよなぁ。これって何してんの?

26 :03/09/22
君たちは飼育されている。

27 :03/09/22
>>25
何してるか知らないけどIEは前からそう。
TCPだし80だし関係ないと思う。

28 :03/09/22
来てる人って。http://127.0.0.1/にアクセスしても同じ警告出る?

29 :03/09/22
>>28
漏れは出ないよ。けど何故?

30 :03/09/22
単純なloopbackの話じゃないから。
いいから、もう。
それぐらい、みんなわかってるから。
よくある、『127.0.0.1は自分だよ!』って突っ込みはナシだから。
そんなの踏まえて、言ってるだけだから。

31 :03/09/23
こういう事かな・・・
あるマシンがワームに感染していた。
このマシンのワームはwindowsupdateにHTTPアクセスで
DoS攻撃を行なった。この時送信元のアドレスをAに詐称した。
windowsupdateのDNSレコードが127.0.0.1に書き換えられていた為、
このDoS攻撃は自分の内部に対して行ってしまった。127.0.0.1はこの
DoS攻撃(HTTPアクセス)の応答を律儀にもAにとどけた為、たまたま
詐称されたアドレスAの>>1が???(ワケワカラン)となった。

32 :03/09/23
結局の所みんな知りたがってるのは理論的なことでなく、ハッキング的な人為的な物なのか
あるいはブラスター亜種等のワーム蔓延による半不可抗力的ものかと言う事だな。
自分としては >>31 の内容が一番つじつまが合うような気がするが。

ちなみに自分も1ヶ月前には無かったがここ最近叩かれてる。



33 :03/09/23
アングラでipspoofingの簡単ツールが出回って厨房が、めったやたら
使っていると見た

34 :03/09/23
>>24 のリンク先
http://pc.2ch.net/test/read.cgi/sec/1063081161/584
を見て、サイゲートのパーソナルFW SPF5.0のセキュ穴
の件を調べてみました。 IP address 127.0.0.1 あるいは
Network Address 127.0.0.0.を詐称したパケットを素通り
スルーさせてしまうというもの。こりゃひどいでつ。ポート
スキャン、DoS攻撃かけほうだい。
サイゲートでは今年の1月に大慌てで修正版をリリース。
以前の版の使用者にはルールで127.0.0.0-127.0.0.255を
ブロックしれ、と言ってます。
http://www.sygate.com/alerts/IP_Spoofing_Loopback_Address.htm

35 :03/09/23
>>33
茂スレにいたあの脳タリンか?
>>34
> ポートスキャン
んな事できるわけねーだろ。

36 :03/09/23
不要な摩擦を避けるため訂正しとこう。
>>33
茂スレにいたあの脳タリンがやってるのかも。

37 :03/09/23
>>35
http://www.google.co.jp/search?q=cache:esFn8cAZ5NoJ:lists.insecure.org/lists/bugtraq/2002/Sep/0131.html+%22IP+spoofing%22+Sygate&hl=ja&ie=UTF-8&inlang=ja
> The Attacker could scan or attack the target host without being
> detected by the personal firewall.

38 :03/09/23
>>35
このアフォはなんで一人で興奮してるんだ?
こういうノータリヌが立てこもり事件起こしたり
散弾銃でお隣さん射ったりすんだよなー。

39 :03/09/23
>>37
スキャンといえばポートスキャン。そんな>>37に萌ぇ〜〜〜

40 :03/09/23
ゴホンといえば龍角散

41 :03/09/23
>>38
まあ普通の人がスキャンといえばポートスキャンだと
思うのはしかたない。しかしIPスプーフィングでセッッション
乗っ取る古典的な例が出てるわけだが、それはどのように
実行されたのか、それを防ぐにはどうすればいいか述べて
みれ。

42 :03/09/23
>>35
回答できる人間は回答する。
回答できない人間は質問する。
質問も回答できないノータリヌは意味なく罵倒する。

43 :03/09/23
>>41 のアンカーは>>35でないのw?
なにしろマターリいきましょ

44 :03/09/23
>>41
IPSpoofingには幾つか方法があるわけだが、どの方法に関して聞きたいんだ?

45 :03/09/23
先生ー、質問です。
127.0.0.1をソースアドレスにしたパケットはルーターを越えられるんでしょうか?

46 :03/09/23
>>45
フィルターしてなきゃ超えてくる。

47 :03/09/23
ルーティングの基本は宛先アドレスだけを見るからな。
家庭用の品はデフォルトでフィルタして欲しいものだが。。。
プロバイダもingress/egressフィルタで落せや。

48 :03/09/24
0.0.0.0のinboundなんかは、これの仲間ですか。

49 :03/09/24
>>48
なんだろね?
192.168.0.255とか来出したら嫌だね。

50 :03/09/24
ルータのSPIで防げるじあん。

51 :03/09/24
SPIで防げるのかヨ。へぇー

52 :03/09/24
ログに127.0.0.0があったんで検索したらこのスレ見つけますた。
送信IPは簡単に詐称できることを知りますた。ビクーリ。最近も
セキュリティー板でメールのFROMも詐称できることを知りますた。
人間不信だぁ〜

53 :03/09/24
ルーターを使ってるのですがぞぬのTCP flags:ARがLOGに残っています。これはルーターを越えたって事?
>>8 >>23 見たいにルーターのLOGには残っていないです。(BAR-SD)
ちなみに静的フィルターしか付いてないのですがこれでは防げなのでしょうか?

54 :03/09/24
>>53
スタティックフィルターでもブロックできる、ルーターのマニュアル嫁。
WAN側から入ってくる↓こいつらをソースアドレスにもつものをブロックすりゃいい。
インターフェース指定してフィルター書けないルータなら捨てろ。
http://www.blackh0le.net/useful/ip.html
最低
The current list of special use prefixes:
0.0.0.0/8
127.0.0.0/8
192.0.2.0/24
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
169.254.0.0/16
all D/E space
フィルターのテーブルに余裕があって偏執狂ならIANAが予約してるの全部ブロックしてもいい。

55 :03/09/24
>>54
YAMAHAのはデフォルトブロックしてるから
何もしなくていいよね。ね?いいんだよね?
ちょっぴり不安
とくに0.0.0.0/8あたりが。

56 :03/09/24
src:0.0.0.0:68, dst:255.255.255.255:67ならDHCP DISCOVERだな。

57 :03/09/24
能タリンなんて言葉久しぶりに聞いたな。
未だに使ってる人間が居たとは。
たぶん漏れの親父でも使ってないな。

58 :03/09/24
うっせ、じーちゃんに言われるんだよ。

59 :03/09/25
>>56
お! それそれ
マルチキャストのゴミって事?

60 :03/09/25
>>59
DHCPは始めはアドレス割り振られてないから0.0.0.0で「おいらにアドレスくれる香具師いる?」と
ブロードキャストする。

61 :03/09/25
・・・・で、結局来たらどうなる訳?
ゾヌでの進入検知をしてない訳だが。
来たら侵食でもされるの?

62 :03/09/26
何もされない

63 :03/09/26
これは
ファイアーウォ−ルもルーターも入れてないおいらには
関係ない話ですか?

64 :03/09/26
関係無くは無い。

65 :03/09/26
>>63
ファイアウォールはともかく、ルータは入れたほうがいい。
アナログや ISDN のダイアルアップだからといって安心は出来ない。
パーソル http://www.persol-jp.com/ からアナログモデムや TA を
繋げられるルータも販売されている。
Unix 系 OS 使って自力でゴリゴリやってるとかならともかく、
ブロードバンドでファイアウォールもルータも使ってないなら死ぬ。
マカもたかくくってるぞ危ないぞ。

66 :03/09/26
>>65
おいらブロードバンドなんでやばそう?
Xpのやつじゃまずいの?

67 :03/09/26
>>66
毎日 Windows Update をやってて、危ない所には一切行かない、
メールの添付ファイルは全部捨てて、HTML メールは読まない。
出処の明らかでないソフトはインストールしない。
2ch に貼られたリンクは絶対にクリックしない。
そんな禁欲的生活を送っているなら大丈夫。
を楽しむ時にコンドーム付けるのと同様、
ブロードバンドする時にルータをかますのは常識。

68 :03/09/26
>>67
そうなんか・・・
ありがとう
お金が入ったらルータ検討してみる
を楽しむ時にコンドーム付けないのがおいらの主義だが

69 :03/09/26
>>68に「転ばぬ先の杖」という言葉を贈ろう

70 :03/09/26
>>68
ルータ入れりゃそれに越したことはないが、パソコン1台の環境なら
 ファイアウォール+アンチウィールス+アンチスパイ+Windows Update
で普通は十分。もちろんウィールス定義ファイルは毎日更新をチェック
する。(セキュ板にいろいろ専門スレがあるから参考に)
もっともノートン買うくらいならルータ買ってフリーのセキュソフト入れた
方がいい。実勢1万前後の製品で十分。
PC2台以上ならもちろんルータ必須。NetBIOS+馬鹿ハブでつないだり
してると世界中から丸見えw

71 :03/09/26
>>67
ブロードバンドルータ導入によって得られる安全性と最初の1文以外の警告に関連性が無い。
>>70
1台ならFWで間に合って2台以上になるとルータ無しじゃ歯が立たないってのは明らかにおかしいと思うが?
個々のPCにFW入れて運用ってのは手間は増えるが、その手間さえ惜しまなければ1台の時と変わらないと思うが…

72 :03/09/26
>>71
2台になるとLAN内とLAN外の双方と通信しなきゃならない
んだから状況は全然違ってくる。てか、釣りか?

73 :03/09/26
HUB

74 :03/09/26
127.0.0.1 さんから今日も3回……。

75 :03/09/27
サイゲート以外のファイアウォールソフトにはIP Spoofing Loopbackの
脆弱性はないのでしょうか?
NIS2002使用してるんだがブロックしてるのかどうかよくわかりません。

76 :03/09/27
>>72
そのためのFWなんだが釣りか?
設定覗いたことないのか?
それとも詳細な設定殆ど出来ないタイプのFW使ってんのか?

77 :03/09/27
(´-`).。oO(>>72の言ってる事は間違いでは無いよな・・・ )

78 :03/09/27
>>76
誰がIPフォワードするんだよ。ボケッ

79 :03/09/27
>>75
SygatePFにもそんな脆弱性はない

80 :03/09/27
>>79
>>34に書いてあるように現行バージョンはないけど以前はあった。
SygatePFに今はないとして他のPFは本当に大丈夫なのかとういうこと。

81 :03/09/28
で、なぜ?最近このアタック多いんだ?

82 :03/09/28
>>76
誰でも知ってるような知識の切れ端ふりまわして迷惑がられる
のは職場でやってくれ。それともその性格が災いして失業中か?

83 :03/09/28
>>82
自分に言い聞かせてんの?失業中なのか。。

84 :03/09/28
>>82
会社で何か嫌な事でもあったのか。
お兄さんに話してみなさい。

85 :03/09/29
2ch信者が図星突かれて逆に煽り始めた

86 :03/09/29
失業者が逆に煽られて「2ch信者」などと宣巻い始めた

87 :03/09/29
平日の9時
素晴らしい奴らだ。

88 :03/09/29
http://aa2.2ch.net/test/read.cgi/accuse/1062154461/944
おら、2ch信者は所詮そんなもんさ。

89 :03/09/29
また哀れな自覚の無い鸚鵡返ししかできない視野の狭い2ch信者を改心させてしまった。。。

90 :03/09/29
>>87
高卒さんにはわからないかもしれませんが大学では1限から講義があるとは限りませんよ。

91 :03/09/29
>>90
http://aa2.2ch.net/test/read.cgi/accuse/1062154461/946
>基本的に常に偉そうにしている。嫌味を言うときだけ敬語になる。
実に素晴らしい2ch信者だ。
特徴に合致している。
批判要望板で自分なりの意見を書き込んでみてはいかがかな?

92 :03/09/29
インターネットでうろうろしていたら レジストリを書き換えられたみたいで
画面が勝手に立ち上げって仕方ありません
どうすればいいでしょうか?

93 :03/09/29
>>91
アンチ2ch教信者以外批判要望板なんていきませんよ。

94 :03/09/29
>>91
そんなに2chが嫌いならYahoo掲示板でも/.でも個人サイトのBBSでも好きなところけよ。

95 :03/09/29
>>83-84
煽って誤魔化そうとしないで、>>78に答えろよ。

96 :03/09/30
>>95
ICSでもISPから複数IPでも何でも良いだろ。
2台以上になると利便性の面でルータだろうな。
外れ掴まされると痛い目にあうようなので興味があるならハード板ってくれ。

97 :03/09/30
まあ何はともあれ>>76の内容は大間違いなわけだが。

98 :03/10/02
  | \
   |∀`) ダレモイナイ・・ヌルポイウナラ イマノウチ
   |⊂
   |
     ♪  Å
   ♪   / \   
      ヽ(´∀` )ノ <ぬるぽ
         (  へ)    
          く       
   ♪    Å
     ♪ / \   
      ヽ( ´∀`)ノ <ぬぽぬぽ 
         (へ  )     ぬるぽ
             >    

99 :03/10/02
大間違いは>>71じゃろ。

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
ウィルスバスター(笑) (415)
私はトレンドマイクロを信頼します (772)
トレンドマイクロ代表取締役社長兼CEOエバ・チェン (624)
踏み台にできるSMTPサーバ (151)
Immunet Protect - Free! (236)
ウイルスキラーるろうに剣心 を妄想するスレ (476)
--log9.info------------------
$$$SOBUT$$$ (302)
★THE STREET BEATS★ストリートビーツ★Part11 (201)
【ギタリスト難】THE STARCLUB【HIROSHIは当たり】 (608)
35歳以上のパンクス!語ろうぜ (584)
【30th】COBRA part9【OiOi警備隊〜会員募集中!】 (311)
ニュースクールハードコア Chapter12 (344)
SA (906)
街で見掛けた!街で着ている!バンドTシャツ達! (751)
【999.9】 RADIOTS / YOSHIYA 【PROPAgANDA】. (685)
ハローハローハロー!【ストラマーズ】テンキュー! (917)
corrupted (706)
【GRIND CORE/GORE GRIND】Part10!! (508)
【反戦】 DISCHARGE part5 【迷走】 (308)
【HAPPY CRAZY】岡山のパンクpart2【HAPPY SHOCK】 (347)
【メンバー解雇】ゲンドウミサイル【極蔵一人旅】 (153)
【最速】SxOxB【最強】その3 (604)
--log55.com------------------
ダークソウル3 悪質プレイヤー晒しスレ24
TalesWeaverローゼンバーグ鯖晒しスレPart25
裏ねとらじDJ vol.305
【DQX】気に入らない奴を晒すスレ Ver.3
お辞儀をするのだ★7
町子さんヲチスレ 其の6
【ナナシス】Tokyo 7th シスターズ 支配人晒しスレ★13
【ブロックしよう】タカ@出オチ系【そうしよう】2RT