1read 100read
2013年06月セキュリティ518: 異世界からの訪問者『 127.0.0.1 』 (197) TOP カテ一覧 スレ一覧 2ch元 削除依頼
アンチドートを語ろう♪ MAP05 (179)
Arovax AntiSpyware Arovax Shild (113)
スパイハンターX (XoftSpySE) (108)
avast!に重大な脆弱性[05/10/14] (189)
Norton2007 VS Windows Live Onecare (109)
【メール】S/MIME友の会【署名・暗号化】 (129)

異世界からの訪問者『 127.0.0.1 』


1 :03/09/21 〜 最終レス :2012/11/07
昨今、外部「127.0.0.1」から1000番台ポート へのアタックが急増してるようだが。
この謎の訪問者はいったいだれか。

2 :
>>1
自分

3 :
>>1 が使ってるプロバイダは Yahoo!BB

4 :
>>3
ドイツにもY!BBがあったとは知らなかったぞ。
http://lists.insecure.org/lists/incidents/2001/Sep/0372.html

5 :
もう一丁
http://lists.insecure.org/lists/incidents/2002/Jun/0044.html
来てる奴はこのくらいはログ取れよ。

6 :
しかし、両方とも古いな。

7 :
                 Λ_Λ
                 ( ´Д` ) スンナッテ  Λ_Λ 
   Λ_Λ         /    ,\      (´Д` ) イッテンダロ
   ( ´Д`) クダラネェツリ  | l    l |     /    ,\ 
  /    \        | .;|;;:。;:,:、| ;|    ..,. | l    l |
  | l    l |     ..,. ., ヽ '゚;_。:_;./ /;-゚;・,。:゚;:.゚|;;|.   | ,|
  | |    | _|。.:_::゜。-.;.:゜;/_ン∩ソ/\;;:;.:.。:  ヽ '゚;。_ / /
  ヽ \_ .。'゚/   `。:、`;゜::;.:、,:゚;: .:..゜:: ゚。:..;: /_ン∩ソ/\ 
   /\_ン∩ソ\    ゚ ;:゚..゜:: ゚。:.:.:゚; ゚ ;:゚..;゚;  /  /`ー'ー'\ \
.  /  /`ー'ー'\ \    ゚ ;:゚..゜:: ;。:.:.::゚。;:;.:ヽ  <     / /
 〈  く     / /    ゚ ;:゚.。゜:;゚;゚.。.:`;:;.:.。 \ \    / /
.  \ ヽ   / /     .;.:.;.゜::: ;。: ;:゚.゜:: :  .〉 )  ( .く,
    〉 )  ( .く,     ゚.;゚ヽ(`Д´)ノウワァァン(_,ノ   \.`)
   (_,ノ    .`ー'     ;:ヽ( >>1 )ノ:゚.;.:;

8 :
自分はYBBはないですが、来てました。
2003/09/21 03:09:40: PP[01] Rejected at IN(default) filter: TCP 127.0.0.1:80 >
192.???.???.???:1344
今は静かですが。

9 :
   ∧∧ ノ⌒ヽ <>>1さん、毒まんじゅうをドウゾ♪
  (*゚ー゚(  ;;*;; ) ∬
    "U し":`J ,,.●;.: ,.ぶりぶり
         `;;,・:';,:'∵  ● ● ● ● ● ● ● ●

10 :
>>8のルーターはヤマハ

11 :
ヤマハのルーターはどうですか?相変わらず遅いですか?

12 :
ヤマハのルーターは相変わらず値段が高いです

13 :
なにここ?

14 :
127.0.0.1:80から来てるパケットのフラグは?
うちに来てるのはRST ACKがセットされてるけど。
あとこれ参考になる?
ttp://archives.neohapsis.com/archives/snort/2003-09/0034.html

15 :
>>14
このパケットが出回る理由になってない気がするんだが…
Blasterってソースアドレス偽装するんだっけ?

16 :
>>14
RST, ACKなら自分がコネクション張ろうとして拒否された場合だな。
>>14のリンクによるとwindowsupdate.comが127.0.0.1にされちまってるって事か?
喰らってる奴はdigってみれ。

17 :
\(^▽^)/http://www.geocities.co.jp/SiliconValley-PaloAlto/7380/kaorin.html

18 :
>>16
digってなに?
hostsデータでwindowsupdate.comが127.0.0.1になってるってこと?
それだとパケット自体、外に出ようがないんだけれども。
windowsupdate.comつながるし。
も少し詳しく。

19 :
>>18
digはnslookupみたいなもん。
それからhostsじゃなくてDNSの話。

20 :
>>16
dig入ってないけどnslookupだとダメなの?
X:\>nslookup windowsupdate.com
*** No address (A) records available for windowsupdate.com
>>14のリンク先
感染したクライアントが127.0.0.1:80に接続しようとして拒否されると
他のマシン<RandomIP>にも、ソース127.0.0.1:80なRST ACKパケットが投げられる
って読めるんだけど、あり得る事?
で結局、これの原因はBlaster(の対策にDNSいじったこと)でいいの?
質問ばっかりでスマソ

21 :
>>20
> 他のマシン<RandomIP>にも、ソース127.0.0.1:80なRST ACKパケットが投げられる
> って読めるんだけど、あり得る事?
普通はありえない。
Blasterがソースアドレスを<RandomIP>に偽装するならあるかも。

22 :
>>19
勘違いしちゃった。スマソ
>>20
んじゃ、Blast感染してない人は問題ナッシングなんだね
よかった

23 :
漏れの所も来ていた…。それも連続で
Sun, 2003-09-21 22:04:59 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1682,LAN
Sun, 2003-09-21 22:06:38 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1437,LAN
Sun, 2003-09-21 22:07:12 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1197,LAN
Sun, 2003-09-21 22:07:28 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1693,LAN
ちなみにOCNを使っていまつ。

24 :
セキュリティ初心者質問スレッドpart30
http://pc.2ch.net/test/read.cgi/sec/1063081161/584

25 :
IE(試したのは6)を起動した後で、そのIEが初めてネットワークへ接続しようとする時、
localhost:xxxx -> localhost(127.0.0.1):xxxx (宛先ポートは同じ)
でUDPパケットを投げてて、
こいつを弾くとIEのネットワークからのデータ取得動作が極端に遅くなるみたい。
WindowsUpdateでどうこうってのはこれが関わってるのでは?
#そういや昔から気になってたんだよなぁ。これって何してんの?

26 :
君たちは飼育されている。

27 :
>>25
何してるか知らないけどIEは前からそう。
TCPだし80だし関係ないと思う。

28 :
来てる人って。http://127.0.0.1/にアクセスしても同じ警告出る?

29 :
>>28
漏れは出ないよ。けど何故?

30 :
単純なloopbackの話じゃないから。
いいから、もう。
それぐらい、みんなわかってるから。
よくある、『127.0.0.1は自分だよ!』って突っ込みはナシだから。
そんなの踏まえて、言ってるだけだから。

31 :
こういう事かな・・・
あるマシンがワームに感染していた。
このマシンのワームはwindowsupdateにHTTPアクセスで
DoS攻撃を行なった。この時送信元のアドレスをAに詐称した。
windowsupdateのDNSレコードが127.0.0.1に書き換えられていた為、
このDoS攻撃は自分の内部に対して行ってしまった。127.0.0.1はこの
DoS攻撃(HTTPアクセス)の応答を律儀にもAにとどけた為、たまたま
詐称されたアドレスAの>>1が???(ワケワカラン)となった。



32 :
結局の所みんな知りたがってるのは理論的なことでなく、ハッキング的な人為的な物なのか
あるいはブラスター亜種等のワーム蔓延による半不可抗力的ものかと言う事だな。
自分としては >>31 の内容が一番つじつまが合うような気がするが。

ちなみに自分も1ヶ月前には無かったがここ最近叩かれてる。



33 :
アングラでipspoofingの簡単ツールが出回って厨房が、めったやたら
使っていると見た

34 :
>>24 のリンク先
http://pc.2ch.net/test/read.cgi/sec/1063081161/584
を見て、サイゲートのパーソナルFW SPF5.0のセキュ穴
の件を調べてみました。 IP address 127.0.0.1 あるいは
Network Address 127.0.0.0.を詐称したパケットを素通り
スルーさせてしまうというもの。こりゃひどいでつ。ポート
スキャン、DoS攻撃かけほうだい。
サイゲートでは今年の1月に大慌てで修正版をリリース。
以前の版の使用者にはルールで127.0.0.0-127.0.0.255を
ブロックしれ、と言ってます。
http://www.sygate.com/alerts/IP_Spoofing_Loopback_Address.htm

35 :
>>33
茂スレにいたあの脳タリンか?
>>34
> ポートスキャン
んな事できるわけねーだろ。

36 :
不要な摩擦を避けるため訂正しとこう。
>>33
茂スレにいたあの脳タリンがやってるのかも。

37 :
>>35
http://www.google.co.jp/search?q=cache:esFn8cAZ5NoJ:lists.insecure.org/lists/bugtraq/2002/Sep/0131.html+%22IP+spoofing%22+Sygate&hl=ja&ie=UTF-8&inlang=ja
> The Attacker could scan or attack the target host without being
> detected by the personal firewall.

38 :
>>35
このアフォはなんで一人で興奮してるんだ?
こういうノータリヌが立てこもり事件起こしたり
散弾銃でお隣さん射ったりすんだよなー。



39 :
>>37
スキャンといえばポートスキャン。そんな>>37に萌ぇ〜〜〜

40 :
ゴホンといえば龍角散

41 :
>>38
まあ普通の人がスキャンといえばポートスキャンだと
思うのはしかたない。しかしIPスプーフィングでセッッション
乗っ取る古典的な例が出てるわけだが、それはどのように
実行されたのか、それを防ぐにはどうすればいいか述べて
みれ。

42 :
>>35
回答できる人間は回答する。
回答できない人間は質問する。
質問も回答できないノータリヌは意味なく罵倒する。

43 :
>>41 のアンカーは>>35でないのw?
なにしろマターリいきましょ

44 :
>>41
IPSpoofingには幾つか方法があるわけだが、どの方法に関して聞きたいんだ?

45 :
先生ー、質問です。
127.0.0.1をソースアドレスにしたパケットはルーターを越えられるんでしょうか?

46 :
>>45
フィルターしてなきゃ超えてくる。

47 :
ルーティングの基本は宛先アドレスだけを見るからな。
家庭用の品はデフォルトでフィルタして欲しいものだが。。。
プロバイダもingress/egressフィルタで落せや。

48 :
0.0.0.0のinboundなんかは、これの仲間ですか。

49 :
>>48
なんだろね?
192.168.0.255とか来出したら嫌だね。

50 :
ルータのSPIで防げるじあん。

51 :
SPIで防げるのかヨ。へぇー

52 :
ログに127.0.0.0があったんで検索したらこのスレ見つけますた。
送信IPは簡単に詐称できることを知りますた。ビクーリ。最近も
セキュリティー板でメールのFROMも詐称できることを知りますた。
人間不信だぁ〜

53 :
ルーターを使ってるのですがぞぬのTCP flags:ARがLOGに残っています。これはルーターを越えたって事?
>>8 >>23 見たいにルーターのLOGには残っていないです。(BAR-SD)
ちなみに静的フィルターしか付いてないのですがこれでは防げなのでしょうか?


54 :
>>53
スタティックフィルターでもブロックできる、ルーターのマニュアル嫁。
WAN側から入ってくる↓こいつらをソースアドレスにもつものをブロックすりゃいい。
インターフェース指定してフィルター書けないルータなら捨てろ。
http://www.blackh0le.net/useful/ip.html
最低
The current list of special use prefixes:
0.0.0.0/8
127.0.0.0/8
192.0.2.0/24
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
169.254.0.0/16
all D/E space
フィルターのテーブルに余裕があって偏執狂ならIANAが予約してるの全部ブロックしてもいい。

55 :
>>54
YAMAHAのはデフォルトブロックしてるから
何もしなくていいよね。ね?いいんだよね?
ちょっぴり不安
とくに0.0.0.0/8あたりが。

56 :
src:0.0.0.0:68, dst:255.255.255.255:67ならDHCP DISCOVERだな。

57 :
能タリンなんて言葉久しぶりに聞いたな。
未だに使ってる人間が居たとは。
たぶん漏れの親父でも使ってないな。

58 :
うっせ、じーちゃんに言われるんだよ。

59 :
>>56
お! それそれ
マルチキャストのゴミって事?

60 :
>>59
DHCPは始めはアドレス割り振られてないから0.0.0.0で「おいらにアドレスくれる香具師いる?」と
ブロードキャストする。

61 :
・・・・で、結局来たらどうなる訳?
ゾヌでの進入検知をしてない訳だが。
来たら侵食でもされるの?

62 :
何もされない

63 :
これは
ファイアーウォ−ルもルーターも入れてないおいらには
関係ない話ですか?

64 :
関係無くは無い。

65 :
>>63
ファイアウォールはともかく、ルータは入れたほうがいい。
アナログや ISDN のダイアルアップだからといって安心は出来ない。
パーソル http://www.persol-jp.com/ からアナログモデムや TA を
繋げられるルータも販売されている。
Unix 系 OS 使って自力でゴリゴリやってるとかならともかく、
ブロードバンドでファイアウォールもルータも使ってないなら死ぬ。
マカもたかくくってるぞ危ないぞ。

66 :
>>65
おいらブロードバンドなんでやばそう?
Xpのやつじゃまずいの?

67 :
>>66
毎日 Windows Update をやってて、危ない所には一切行かない、
メールの添付ファイルは全部捨てて、HTML メールは読まない。
出処の明らかでないソフトはインストールしない。
2ch に貼られたリンクは絶対にクリックしない。
そんな禁欲的生活を送っているなら大丈夫。
Rを楽しむ時にコンドーム付けるのと同様、
ブロードバンドする時にルータをかますのは常識。

68 :
>>67
そうなんか・・・
ありがとう
お金が入ったらルータ検討してみる
Rを楽しむ時にコンドーム付けないのがおいらの主義だが

69 :
>>68に「転ばぬ先の杖」という言葉を贈ろう

70 :
>>68
ルータ入れりゃそれに越したことはないが、パソコン1台の環境なら
 ファイアウォール+アンチウィールス+アンチスパイ+Windows Update
で普通は十分。もちろんウィールス定義ファイルは毎日更新をチェック
する。(セキュ板にいろいろ専門スレがあるから参考に)
もっともノートン買うくらいならルータ買ってフリーのセキュソフト入れた
方がいい。実勢1万前後の製品で十分。
PC2台以上ならもちろんルータ必須。NetBIOS+馬鹿ハブでつないだり
してると世界中から丸見えw


71 :
>>67
ブロードバンドルータ導入によって得られる安全性と最初の1文以外の警告に関連性が無い。
>>70
1台ならFWで間に合って2台以上になるとルータ無しじゃ歯が立たないってのは明らかにおかしいと思うが?
個々のPCにFW入れて運用ってのは手間は増えるが、その手間さえ惜しまなければ1台の時と変わらないと思うが…

72 :
>>71
2台になるとLAN内とLAN外の双方と通信しなきゃならない
んだから状況は全然違ってくる。てか、釣りか?

73 :
HUB

74 :
127.0.0.1 さんから今日も3回……。

75 :
サイゲート以外のファイアウォールソフトにはIP Spoofing Loopbackの
脆弱性はないのでしょうか?
NIS2002使用してるんだがブロックしてるのかどうかよくわかりません。

76 :
>>72
そのためのFWなんだが釣りか?
設定覗いたことないのか?
それとも詳細な設定殆ど出来ないタイプのFW使ってんのか?

77 :
(´-`).。oO(>>72の言ってる事は間違いでは無いよな・・・ )

78 :
>>76
誰がIPフォワードするんだよ。ボケッ

79 :
>>75
SygatePFにもそんな脆弱性はない

80 :
>>79
>>34に書いてあるように現行バージョンはないけど以前はあった。
SygatePFに今はないとして他のPFは本当に大丈夫なのかとういうこと。

81 :
で、なぜ?最近このアタック多いんだ?

82 :
>>76
誰でも知ってるような知識の切れ端ふりまわして迷惑がられる
のは職場でやってくれ。それともその性格が災いして失業中か?

83 :
>>82
自分に言い聞かせてんの?失業中なのか。。

84 :
>>82
会社で何か嫌な事でもあったのか。
お兄さんに話してみなさい。

85 :
2ch信者が図星突かれて逆に煽り始めた

86 :
失業者が逆に煽られて「2ch信者」などと宣巻い始めた

87 :
平日の9時
素晴らしい奴らだ。

88 :
http://aa2.2ch.net/test/read.cgi/accuse/1062154461/944
おら、2ch信者は所詮そんなもんさ。

89 :
また哀れな自覚の無い鸚鵡返ししかできない視野の狭い2ch信者を改心させてしまった。。。

90 :
>>87
高卒さんにはわからないかもしれませんが大学では1限から講義があるとは限りませんよ。

91 :
>>90
http://aa2.2ch.net/test/read.cgi/accuse/1062154461/946
>基本的に常に偉そうにしている。嫌味を言うときだけ敬語になる。
実に素晴らしい2ch信者だ。
特徴に合致している。
批判要望板で自分なりの意見を書き込んでみてはいかがかな?

92 :
インターネットでうろうろしていたら レジストリを書き換えられたみたいで
R画面が勝手に立ち上げって仕方ありません
どうすればいいでしょうか?

93 :
>>91
アンチ2ch教信者以外批判要望板なんていきませんよ。

94 :
>>91
そんなに2chが嫌いならYahoo掲示板でも/.でも個人サイトのBBSでも好きなところRよ。

95 :
>>83-84
煽って誤魔化そうとしないで、>>78に答えろよ。

96 :
>>95
ICSでもISPから複数IPでも何でも良いだろ。
2台以上になると利便性の面でルータだろうな。
外れ掴まされると痛い目にあうようなので興味があるならハード板逝ってくれ。

97 :
まあ何はともあれ>>76の内容は大間違いなわけだが。

98 :
  | \
   |∀`) ダレモイナイ・・ヌルポイウナラ イマノウチ
   |⊂
   |

     ♪  Å
   ♪   / \   
      ヽ(´∀` )ノ <ぬるぽ
         (  へ)    
          く       

   ♪    Å
     ♪ / \   
      ヽ( ´∀`)ノ <ぬぽぬぽ 
         (へ  )     ぬるぽ
             >    

99 :
大間違いは>>71じゃろ。

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
セキュリティ統合ソフトNo.1はどのソフトなのか? (135)
より安心してインターネットを楽しむために (126)
AirG_PC監視について語ろうぜ! (136)
セキュリティ統合ソフトNorton 360が無償公開 (110)
セキュリティ対策の為にPCを買った訳じゃない。 (174)
XP−SP2のセキュリティ設定 (133)
--log9.info------------------
■千葉県・松戸の雀荘■ (180)
天鳳 大会スレ シーズン5 (627)
うちさあ、麻雀卓あんだけど…やってかない? (179)
クノオサム Part5 (170)
雀荘店員専用 情報交換スレ (179)
三倍満って希少だなw (105)
雀荘で働きたい! (110)
【神田〜】中央線沿線の雀荘【〜高尾】 (167)
真・雀龍門はクソすぎるだろ24本場 (188)
【わたしのRで】手塚紗掬part1【目一杯抜いて!】 (131)
小島武夫ってマジで麻雀弱過ぎるだろ (114)
ダマテンであがりまくってみんなに嫌われたw (124)
天鳳で打ってる基地外名言集 (147)
【天貴史】天―天和通りの快男児1 (150)
天鳳の基地外麻雀厨 (115)
【八百長】 比嘉秀仁応援スレ 10 【擁護】 (112)
--log55.com------------------
★2ch.scは何故失敗したのか
★クロール批判要望スレ
★削ジェンヌに文句ある人集合
★迷惑行為報告担当 - 小さな親切募集中 2
★2ch.scへの要望スレ Part3
★かっこう観測所
★スレ立て人キャップ
★2ch.scニュース系板観測所