• ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:先程、吐かれたTL6.1Jからのメッセージ2??)

ハッキングの探りが入っている?NOQUEUEって何?

h_hikitaの回答

  • ベストアンサー
  • h_hikita
  • ベストアンサー率40% (104/257)
回答No.2

■portscanの状況としては http://www.incidents.org/ とかを参照すると良いかとおもいます。参加しているホストから報告された 情報を元に今日のportscan活動をグラフ化してあります。(^_^; ■SMB SMB, telnet, ftp等が開いていると鴨だとおもわれて不正侵入の試みが 格段に増えます...自宅をFletsISDN化したときにWAN→LAN方向の SMBを落す設定をしていなかったら毎日のように不正アクセスを試しにきて ました。一ヵ月位してからログを見てきがついたという我ながら間抜けな 話です。LAN→WAN方向は全て叩き落していたので被害はなかったのが 不幸中のさいわいでした。ログの査収は定期的に行わないとだめだなと 痛感しました(._.; 外部からファイルを共有する必要がないなら、別のサーバを用意してDMZの外、 LAN内にSMBサーバを移すのが安心です。 DMZ上にSMBサーバを置く必要があるのなら、routerで ポート番号137-139,445 tcp/udp をWAN→LAN, LAN→WAN両方向とも叩き落すように設定します。 後、IP address spoofing(WAN側のインタフェースに到着したLANのアドレスを持つパケット)も 叩き落すように設定するとよいです。 ■「オーバーフローを待っているのでしょうか?」 portscanをかけてくる輩の手順としては、基本的に以下のようなものです。 多分まだ、ろ)の段階かと思います。 い)nmapのようなソフトであるIPアドレスの範囲に対して地引網てきにscanをかける。 ろ)その際に取得する情報としては以下の物 ・OSのバージョン、パッチレベル等 ・WAN側に開いているportの番号 ・各ポートで動作しているプログラムのバージョン は)集まった情報を元に乗っ取って踏台にするホストを探す に)既知のセキュリティホールを用いてターゲットホストに対して攻撃を加える。 ■portsentryの実行 portsentry(http://www.psionic.com/abacus/portsentry)とかを 動作させておけば不正なホストから未使用なポートにアクセスがあった時点で/etc/hosts.denyに ホストを追加するとか、ipfwが設定されている場合はルーティングで落すルールを 追加するとかも可能です。い)の時点でそのホストからのアクセスを禁止します。 に)の時点では既に探りをいれたホストからはアクセスできなくなっていますので 若干安全性が向上します。 ■MN-128sohoSL11 たしかMN128系は最後に通信したホストの任意のポートに対して 外部からアクセスできるという機能があり古いファームウェアだと デフォルトでこれが有効になっていたと記憶しています。最新の バージョンではこの機能がデフォルト設定で不可になっているはず なのでファームウェアを更新するのが良いです。 MN128のフィルターの設定方法については、 http://www.bug.co.jp/mn128/faq/sample/sec.htm が詳しいです。 ■その他 ・OpenBSD等を利用すると IPアドレスを消費せずにbridgeとして動作させつつ IPパケットのfilteringが可能です。しばらく前までMN128のフィルタリングが 今一つだったので信頼できないと言う場合は、OpenBSDベースでfirewallを設定し routerとDMZの間にいれるとよいかも。 http://www.daemonnews.org/200103/ipf_bridge.html ・DMZ上でunix系のOSを搭載したPCを別途設置しSNORT等のIDS (Intrusion Detection System)を走らせログを取得する。 内部のPCにトロイの木馬の類が侵入しても検知が可能になります。 http://www.snort.org 以上、思い付くまま書いたのでまとまりがないのですが 何かの参考になれば幸いです。

noname#29100
質問者

お礼

細部に至る所まで説明ありがとうございます。(*^_^*) 早速、確認し定義を改めて見ます。 ありがとうございました。

この回答がついた質問に戻る
回答 全件
ポートスキャンをかけられてるようにみえます。 IPアドレスの範囲を指…
  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. その他(OS)

関連するQ&A

  • つい先程、吐かれた不明なTL6.1Jからのメッセージ??

    タイトル通りなのですが、下記のエラーが出ました。これは何でしょう?? ハッカー?が進入を試みている? Security Violations =-=-=-=-=-=-=-=-=-= Jul 9 09:33:51 ns ipop3d[10850]: warning: /etc/hosts.allow, line 9: can't verify hostname: gethostbyname(osstst05) failed Jul 9 09:33:51 ns ipop3d[10850]: refused connect from 216.236.229.xxx Unusual System Events =-=-=-=-=-=-=-=-=-=-= Jul 9 09:33:51 ns ipop3d[10850]: warning: /etc/hosts.allow, line 9: can't verify hostname: gethostbyname(osstst05) failed

  • sendmailでDoSアタックのようなエラーメッセージ? did n

    sendmailでDoSアタックのようなエラーメッセージ? did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v4 Amazonのクラウド環境にsendmail7.3を準備し、 ログ監視ツール(logwatch8.14)を使ってメールを外部サーバへ送信させています。 Oct 19 07:54:31 domU-xx-xx-xx-xx-BD-xx sm-mta[6697]: o9J7sVZC006697: localhost.localdomain [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v4 Oct 19 07:55:30 domU-xx-xx-xx-xx-BD-xx sm-mta[6704]: o9J7tUlX006704: localhost.localdomain [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v4 環境構築当初からなのですが、上記のようなログが、 【/var/log/mail.log】にほぼ1分間隔で絶え間なく出力されています。 http://www.hart.co.jp/spam/mailscan.html 上記ページによるとDoSアタックのようなもの?と書かれていますが、 localhost.localdomainからのDoSアタックというのも変な話で、原因が分かっていません。 【/etc/mail/access】 # by default we allow relaying from localhost... hogehoge-net.co.jp RELAY access.dbで許可しているのはメール送信先の外部サーバのみです。 sendmailが悪いのかlogwatchが悪いのか・・・。 詳しい方がいましたら教えていただけますでしょうか。

  • ある特定のメールアドレスからのアクセスを拒否するには

    いわゆる自宅サーバの構築をしています。まだ未熟なので、分からないことだらけなのですが、最近増え始めた「探り」を入れるアクセスを止めたいと考えています。以下のようにしてログを見ていると、同じ所から繰り返しアクセスされていることに気が付きました。 [root@domain ~]# vi /var/log/maillog (抜粋) Jul 30 00:55:09 domain postfix/smtpd[2100]: connect from unknown[123.45.67.89] Jul 30 00:55:18 domain postfix/smtpd[2100]: NOQUEUE: reject: RCPT from unknown[123.45.67.89]: 450 4.7.1 Client host rejected: cannot find your hostname, [123.45.67.89]; from=<customersupport@51hit.com> to=<223372270@example.com> proto=ESMTP helo=<mail.51hit.com> Jul 30 00:55:18 domain postfix/smtpd[2100]: disconnect from unknown[123.45.67.89] 以上のようなものが一分間に何十通と来ます。 123.45.67.89は拒否したくはないのですが、from=<customersupport@51hit.com>、もしくは、 helo=<mail.51hit.com>がログに記録されるようなアクセスが来たときは、ログに記録することなく拒否したいのです。何かよい方法がありませんでしょうか? なお、環境はLinuxのFedora10です。

  • ルータのログのうち、ポートスキャンを受けた場合のパターンは

    ブリッジ(NTTのSV3をブリッジ化しています) -ルータ(buffalo製) -内部LAN という具合にネットワークを組んでいます。 最近、以下のようなログが残り、疑問を感じています。 (IPは一部伏せてあります) 2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1138 to 220.110.42.XX:80 (br0) 2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1137 to 220.110.42.XX:80 (br0) (以下、ポートが1136,1135,1134...と続く) 192.168.XX.XXというのは、自分の使っている、内部LANのPCです。内部のLANのPCから、br0(ブリッジ?)のマシンへコネクションを張るということが解せないのですが、よくあることなのでしょうか。また、br0のIPアドレスも頻繁に違うものになっています。buffalo製ルータのサービス検索機能などでポートスキャンを受けていたりするのでしょうか。なお、LAN内PCはwindows2000で、windowsUpdate状況は最新、ウィルスも検出されません。変わったものといえば唯一、VNCサーバが起動しています。 外部インターネットからの接続を弾く場合は以下のようなログで、これは理解しているつもりです。 2006/07/06 00:13:09 FIREWALL TCP connection denied from 133.205.201.XXX:4055 to 133.205.239.XXX:135 (ppp0) 内側から外へポートスキャンしているような風に見える、上記ログについてなにかご存知の方、ご教授いただければ幸いです。 よろしくお願いします。

  • Linux、PPTPによるVPN接続

    LinuxでのPPTPによるVPNサーバの構築に挑んでいます。 下記サイト様を参考に構築したのですが、うまく接続できません。 http://network.station.ez-net.jp/server/linux/vpn/poptop.asp http://memochou.ti-da.net/e3016920.html ルーターのポートフォワードは、TCPの1723と2048(GRE?)に対して行っております。 外部から接続時、/var/log/massages には下記のようなログが残りますので、pptpdは起動できており、なおかつ接続しようと試みているようなのですがうまく接続できません。 (下記ログはiPhoneから接続を試みたもの) Jul 3 10:28:20 office pptpd[3574]: CTRL: Client 123.456.789.00 control connection started Jul 3 10:28:20 office pptpd[3574]: CTRL: Starting call (launching pppd, opening GRE) Jul 3 10:28:20 office pppd[3575]: In file /etc/ppp/options.pptpd: unrecognized option 'my-dns' Jul 3 10:28:20 office pptpd[3574]: GRE: read(fd=6,buffer=611860,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs Jul 3 10:28:20 office pptpd[3574]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7) Jul 3 10:28:20 office pptpd[3574]: CTRL: Client 123.456.789.00 control connection finished (123.456.789.00はグローバルIPが入っていました。(iPhoneのグローバルIP)) 何が原因なのかが特定できません。 アドバイスお願いいたします。

  • Linuxサーバーからのセキュリティログ

    お世話になります。 LinuxにてDNS,Mailのサーバーを管理しています。 下記のログが出てきて、何のことなのか調べているのですがよく理解できません。 これは、外部から何らかの侵入を試みているものなのでしょうか? それとも、単なるDNSからの通知程度の理解でよいのでしょうか? Security Violations =-=-=-=-=-=-=-=-=-= Mar 14 00:51:51 ns named[444]: denied AXFR from [xxx.xxx.xxx.xxx].50855 for "yyy.yyy.yyy.yyy.in-addr.arpa" (not master/slave) Mar 14 00:54:56 ns named[444]: denied AXFR from [xxx.xxx.xxx.xxx].50857 for "yyy.yyy.yyy.yyy.in-addr.arpa" (not master/slave) Unusual System Events =-=-=-=-=-=-=-=-=-=-= Mar 14 00:51:51 ns named[444]: denied AXFR from [xxx.xxx.xxx.xxx].50855 for "yyy.yyy.yyy.yyy.in-addr.arpa" (not master/slave) Mar 14 00:54:56 ns named[444]: denied AXFR from [xxx.xxx.xxx.xxx].50857 for "yyy.yyy.yyy.yyy.in-addr.arpa" (not master/slave)

  • Nagiosで通知メールが送れない

    Nagiosで通知メールが送れない Fedora にNagiosをインストールして、監視サーバを構築しようとしています。 ブラウザでのアクセスができるようになりましたので、httpdあたりの設定まではうまくいったようです。 ただ、アラームメールがどうしても送れずに困っています。 maillogでは Jun 19 22:07:13 fedora sendmail[17733]: o5JBu57M017024: to=<xx@xxxxxx.co.jp>, ctladdr=<nagios@xxxx.xxxxxx.co.jp> (501/501), delay=01:11:08, xdelay=00:00:00, mailer=esmtp, pri=390743, relay=xxxxxx.co.jp. [192.168.1.2], dsn=4.0.0, stat=Deferred: Connection refused by xxxxxx.co.jp. というログが残っています。 sendmailの設定が必要なのかと思いますが、ネット上の情報等を参考にして、sendmailを再インストールしたり、設定を一からやり直したりしていますが、どうしてもだめです。 ログから判断すると、relayのところで、192.168.1.2となっているのが、気になります。 mailコマンドで送った場合のログは以下になります。 Jun 19 23:24:36 fedora sendmail[22008]: o5JEOagR022008: from=root, size=212, class=0, nrcpts=1, msgid=<201006191424.o5JEOagR022008@fedora.xxxxxx.co.jp>, relay=root@localhost Jun 19 23:24:36 fedora sendmail[22008]: o5JEOagR022008: to=xxxx@xxxxxx.co.jp, ctladdr=root (0/0), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30212, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1] ちょっと違いますね・・・ どこをどう確認して、どう修正すればよいのか、アドバイスいただきたくお願いいたします。

  • Postgresql JDBCのconnect error

    Vine Linux2.6, Tomcat5, Postgresql7.4.3の環境で、 簡単なDBへアクセスのJspを作りましたが、実行したら、次のエラーができましたが、解決方法を 教えてください。 JSP File: <HTML> <HEAD><TITLE>User List</TITLE></HEAD> <BODY> <%@ page import="java.sql.*" %> <TABLE BORDER=1 width="75%"> <TR><TH>UID</TH><TH>Password</TH></TR> <% Connection conn = null; Statement st = null; ResultSet rs = null; try { Class.forName("org.postgresql.Driver").newInstance(); conn = DriverManager.getConnection("jdbc:postgresql://xxx.xxxx.xx.xx:8080/webshop","postgres","xxxx"); st = conn.createStatement(); rs = st.executeQuery("select * from tbllogin"); while(rs.next()) { %> <TR><TD><%= rs.getString("fldlogid") %></TD> <TD><%= rs.getString("fldpwd") %></TD></TR> <% } %> </TABLE> <% } catch (Exception ex) { ex.printStackTrace(); %> </TABLE> Ooops, something bad happened: <% } finally { if (rs != null) rs.close(); if (st != null) st.close(); if (conn != null) conn.close(); } %> </BODY> </HTML> Tomcat5のログcatalina.out: org.postgresql.util.PSQLException: The backend has broken the connection. Possibly the action you have attempted has caused it to close. at org.postgresql.core.PGStream.ReceiveChar(PGStream.java:168) at org.postgresql.jdbc1.AbstractJdbc1Connection.openConnectionV3(AbstractJdbc1Connection.java:291) .....

  • ツイッターのTLのメッセージ

    たとえば私がタイムラインにつぶやいたメッセージは私のことをフォローしている人にしか見えないと思うのですが 私の事をフォローしていない人からメッセが来ました(ちなみに私はその人をフォローをしていますがフォロバはされていません) フォロバされてない相手にも私のメッセが見えてるって事でしょうか?

  • メールが返って来ました Returned mail: see transcript for details

    ネットショップをやっているのですが、 「当方のネットショップ名@clvr.org」 というメールアドレスでお客様から注文が入りました。 あきらかにオカシイと思ったのですが (当方のショップ名は長く特殊で、検索かけてもうちしか出ないので) お客さんの住所などは書かれている状態だったので とりあえず注文を受けつけたことをそのアドレス宛に送りましたところ 1日くらいたってから以下のメールが戻ってきてしまいました。 普通アドレスが間違っている場合結構すぐに戻ってくるし あまり見慣れないエラー文章なのでどういエラーなのか ご存知の方いらっしゃいましたら教えてください。 また、あきらかにこの注文のために作ったようなアドレスで 商品を注文したりするいたずらなどはあるのでしょうか。 ============================== The original message was received at Sun, 8 Jul 2007 16:09:38 +0900 (JST) from KD125028166026.ppp-bb.dion.ne.jp [125.28.166.26] ----- The following addresses had permanent fatal errors ----- <相手のメール@clvr.org> ----- Transcript of session follows ----- <相手のメール@clvr.org>... Deferred: Connection timed out with mail.clever-jp.org. Message could not be delivered for 1 day Message will be deleted from queue

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する
質問する