OKWAVEのAI「あい」が美容・健康の悩みに最適な回答をご提案!
-PR-
解決
済み

先程、吐かれたTL6.1Jからのメッセージ2??

  • 困ってます
  • 質問No.102073
  • 閲覧数279
  • ありがとう数2
  • 気になる数0
  • 回答数2
  • コメント数0

下記のメッセージが現れてきました。特にNOQUEUEとは何なんですか???
昨日も同様な質問をしましたが、最近あちこちからハッキングの探りが入っているように思えます。このままにしておいて、構わないものでしょうか??
企業に設置してあるメールサーバーですが、どこでもこのようなものでしょうか?。私どもだけなのでしょうか?対策があればなお良いですが・・。

Unusual System Events
=-=-=-=-=-=-=-=-=-=-=
Jul 10 01:26:00 ns sendmail[12422]: NOQUEUE: Null connection from 216-53-218-2xx.ppp.mp○net.net [216.53.218.2xx]
通報する
  • 回答数2
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.2
レベル11

ベストアンサー率 40% (104/257)

■portscanの状況としては

http://www.incidents.org/

とかを参照すると良いかとおもいます。参加しているホストから報告された
情報を元に今日のportscan活動をグラフ化してあります。(^_^;


■SMB
SMB, telnet, ftp等が開いていると鴨だとおもわれて不正侵入の試みが
格段に増えます...自宅をFletsISDN化したときにWAN→LAN方向の
SMBを落す設定をしていなかったら毎日のように不正アクセスを試しにきて
ました。一ヵ月位してからログを見てきがついたという我ながら間抜けな
話です。LAN→WAN方向は全て叩き落していたので被害はなかったのが
不幸中のさいわいでした。ログの査収は定期的に行わないとだめだなと
痛感しました(._.;

外部からファイルを共有する必要がないなら、別のサーバを用意してDMZの外、
LAN内にSMBサーバを移すのが安心です。

DMZ上にSMBサーバを置く必要があるのなら、routerで

ポート番号137-139,445 tcp/udp

をWAN→LAN, LAN→WAN両方向とも叩き落すように設定します。

後、IP address spoofing(WAN側のインタフェースに到着したLANのアドレスを持つパケット)も
叩き落すように設定するとよいです。

■「オーバーフローを待っているのでしょうか?」
portscanをかけてくる輩の手順としては、基本的に以下のようなものです。
多分まだ、ろ)の段階かと思います。

い)nmapのようなソフトであるIPアドレスの範囲に対して地引網てきにscanをかける。
ろ)その際に取得する情報としては以下の物
・OSのバージョン、パッチレベル等
・WAN側に開いているportの番号
・各ポートで動作しているプログラムのバージョン
は)集まった情報を元に乗っ取って踏台にするホストを探す
に)既知のセキュリティホールを用いてターゲットホストに対して攻撃を加える。

■portsentryの実行
portsentry(http://www.psionic.com/abacus/portsentry)とかを
動作させておけば不正なホストから未使用なポートにアクセスがあった時点で/etc/hosts.denyに
ホストを追加するとか、ipfwが設定されている場合はルーティングで落すルールを
追加するとかも可能です。い)の時点でそのホストからのアクセスを禁止します。
に)の時点では既に探りをいれたホストからはアクセスできなくなっていますので
若干安全性が向上します。

■MN-128sohoSL11
たしかMN128系は最後に通信したホストの任意のポートに対して
外部からアクセスできるという機能があり古いファームウェアだと
デフォルトでこれが有効になっていたと記憶しています。最新の
バージョンではこの機能がデフォルト設定で不可になっているはず
なのでファームウェアを更新するのが良いです。

MN128のフィルターの設定方法については、

http://www.bug.co.jp/mn128/faq/sample/sec.htm

が詳しいです。

■その他
・OpenBSD等を利用すると IPアドレスを消費せずにbridgeとして動作させつつ
IPパケットのfilteringが可能です。しばらく前までMN128のフィルタリングが
今一つだったので信頼できないと言う場合は、OpenBSDベースでfirewallを設定し
routerとDMZの間にいれるとよいかも。
http://www.daemonnews.org/200103/ipf_bridge.html

・DMZ上でunix系のOSを搭載したPCを別途設置しSNORT等のIDS
(Intrusion Detection System)を走らせログを取得する。
内部のPCにトロイの木馬の類が侵入しても検知が可能になります。
http://www.snort.org

以上、思い付くまま書いたのでまとまりがないのですが
何かの参考になれば幸いです。
お礼コメント
noname#29100

細部に至る所まで説明ありがとうございます。(*^_^*)
早速、確認し定義を改めて見ます。
ありがとうございました。
投稿日時 - 2001-07-11 11:03:32
-PR-
-PR-

その他の回答 (全1件)

  • 回答No.1
レベル11

ベストアンサー率 40% (104/257)

ポートスキャンをかけられてるようにみえます。 IPアドレスの範囲を指定して片っ端からスキャンするので 自宅のPCとかでもたまにメッセージがでます。(^_^; とりあえず、 ■sendmalが知られているセキュリティホールへの対策が済んでいる バージョンになっているか確認して、必要ならバージョンアップする。 ■広告メールをばら撒く踏み台にされないようにsendmail.cfが設定 され ...続きを読む
ポートスキャンをかけられてるようにみえます。
IPアドレスの範囲を指定して片っ端からスキャンするので
自宅のPCとかでもたまにメッセージがでます。(^_^;

とりあえず、

■sendmalが知られているセキュリティホールへの対策が済んでいる
バージョンになっているか確認して、必要ならバージョンアップする。
■広告メールをばら撒く踏み台にされないようにsendmail.cfが設定
されているか確認する
■bindとかも知られているセキュリティホールへの対策が済んでいる
バージョンになっているか確認して、必要ならバージョンアップする。

とかでだいじょうぶかと思います。

ルータでWAN側からのICMP echo replyに対する返事を返さないようにするとか
利用していないポート宛てのパケットは破棄するという風に設定すると
狙われる率が格段に下がります。

# あらかじめftp、telnet、samba、rpcのportmapper等は停止しているという前提です。
お礼コメント
noname#29100

h_hikitaさん、アドバイスありがとうございます。
う~ん。なるほど、ポートスキャンですか。
確かに、これ以前は、ftp,telnetで接続を試みていることがあったので、あまりに頻繁(1時間ごとに来る)でしつこいから、今はこの二つ停止しています。
その直後、このメッセージに変わったものです。手を変え品を変えして隙を探しているのでしょうか?。
しかし、sambaはファイルサーバーとして使っていますので、これを停止したほうが良いといわれるのでしょうか?
また、ディストリビューションからセキュリティの案内を頂いていますが、よく理解できないので簡単に変更できそうなものは、実施していますが、やっていないものは何点かあります。指摘された中にあります、bindもそうですね。
案内に、オーバーフローをさせてセキュリティへ進入の報告がありますが、このオーバーフローを待っているのでしょうか?。
いづれにせよ、くさそうな物はバージョンアップしてみます。
また、ルーターはグローバル側にあり、接続先はOCNエコノミーです。
この中にフィルタリングする定義をするのでしょうか?格段に狙われる率が低くなるような設定をルーターの説明書で確認してみます。(ルーターはNTT-MEのMN-128sohoSL11です)
ありがとうございました。とりあえずお礼まで・・。
投稿日時 - 2001-07-10 11:19:42


このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ