侵入してきた相手のIPが分かったのですが
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさんMe
NGNGちなみに自分と同じwakwakの生IPでした。
で?
00021
NGNG同一のIPじゃないけど…同ISP…
相手のポートはwinsockのポートだった
IP偽装されてる?
0003お幸せ君
NGNG踏み台にさえてるんじゃなぃ?(笑)
00044
NGNGアクセス受けるよ。
で、3〜4回分のアクセスログを添付してプロバイダに苦情メールしたんだけ
ど、アクセスログの該当者が一人じゃなかった上に、不正アクセスをした覚え
がないらしい。結局、プロバイダとの話し合いでは、不正アクセスじゃなくて
俺のPCのNetBiosの誤動作じゃないかみたいな話になった。
その後、NetBiosを使うときは TCP/IPをやめたりしたんだけど、それでもアク
セスされるから、誰かがやってる可能性が高いんだけど、IP偽装してるのかな?
相手のMACアドレスは全部 444553540000(ASCIIコードで 'DEST')、偽装かな。
それと9月になってから急に増えた気がするんで、ハカー本かなんかにやり方
が載っているのかと思ったり、BlackICEの 2.1.cl or 2.1.cnを入れたのが関係
あるのかとも思ったんだけど、他の人はどうよ?
俺の環境:Win2000 BlackICE & WinWrapper
あと、1の「相手のポートはwinsockのポート」ってどういう意味だい?
なんか特別なポートでもあるの?
00051
NGNG、、てか俺よくわかってません(笑)
今日はISPをASAHIに変えてるんだけど、またTCP139にアクセスされてた。
相手のIPはOCNで、数秒だったみたいだけど、、
俺はWin98SEで、Napster常連です、、
0006名無しさん
NGNG環境:win98 BlackICE
00074
NGNG俺としては気になる点がいくつがあるんです。
・9月になってから NetBios(TCP139)ねらいのアクセスが多くなった。
以前はトロイやBackOrificeねらいのアクセスが週1回程度だった。
NetBios攻撃用のツールが出回ったのかな?
・BlackICE 2.1.cl or 2.1.cnをインストールしたせい?
BlackICEのバグで架空のアクセスを検出してしまうのかもしれない。
Warezだし。
・同じプロバイダの奴を攻撃するか?普通。
相手が日本国内の生IPなのは、経験が浅いからかもしれないけど、
同じプロバイダの奴にアタックするのは心理的に抵抗があると思う。
個人的には BlackICEのバグのような気もします。
プロバイダにログを送ったら該当者はいないと言われたし。
>1,6
相手のプロバイダに「不正アクセスされたから調べて欲しい」と言って、
不正アクセスのIPと時刻を伝えれば対応してくれると思う。
0008名無しさん@そうだ選挙にいこう
NGNGNetBIOS:
MAC: 444553540000
まぁうまく遮断したから良かったけど、気になります。
0009名無しの野望さん
NGNGここでも似たような話題を扱ってます
0010ちょっとまってよ
NGNGIPより遥かに厳密に管理されるコードですよね。
444553540000って私の番号みたいなんですが。
私のPCを騙られてるってことですか、勘弁して
ほしいです。マジで。ちょっとまってくれよ、
マジで。
0011因みに...
NGNGダイアルアップ設定(PPP)にしている際に、
ネットワークカードとは異なるMACアドレス
(44:45:53:54:00:00)を報告することが有るようです。
因みに私の環境でもそうでした。
0012通りすがり
NGNGwinipcfgで自分の割り当てられたIPアドレスを見ようとすると、
アダプタアドレスに44-45-53-54-00-00ってのが出ています。
アダプタをPPP側からLAN側に切り替えると、そのLANカードの
ちゃんとしたアダプタアドレス(MACアドレス)が出るんだけどね…。
Windowsでダイヤルアップした時の仕様なのか??
00134
NGNG44 → D
45 → E
53 → S
54 → T
なんで、'DEST'という文字列を表しているように思えますね。
10@`11@`12さんも話からもダイアルアップ時のMACと考えるのが、
自然だと思います。ちなみに私は Win2000なんですがダイアル
アップ時のMACは 005345000000になってます。
0014名無しさん@そうだ選挙にいこう
NGNGUDP trojan horse probe
というのがねずみ取りにひっかっかっていました。
これは防御しなかったらどういう被害が想定されるのですか?
ちなみに進入者はODNのフレッツISDNユーザーです。
0015名無しさん
NGNG00164
NGNG>UDP trojan horse probe
あなたのPCにトロイの木馬が仕掛けられていないか調べたんだと思います。
もしトロイが仕込まれていれば、あなたのPCをコントロールしたり、
踏み台にできますから、そういう目的でのアクセスではないでしょうか。
この手のアクセスは以前から国内外問わず時々受けます。
00174
NGNGhttp://mentai.2ch.net/test/read.cgi?bbs=network&key=967026951&ls=20
関連:
http://www.zaq.ne.jp/zaq/news/virus.html
http://inet.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_QAZ.A
0018名無しさん3.1
NGNGっていうか、ふつうBlackICEでアタック検出しても
MACアドレスまで出るのは珍しくないですか?
「この侵入者に対する詳細はわかっていません」も多いし。
00194
NGNGBlackICEの設定による部分もあると思います。
[BlackICEの設定]→[バックトレース]のスレッショルド値が高いとMACアドレス
を調べに行かないので何も出ません。私はどんなアクセスでも相手を調べるよう
に、スレッショルド値を2つとも0にしています。
今回の「同じプロバイダからのNetBIOSへのアクセス」では、
ほとんど MACアドレス444553540000が表示されました。
でも、普通の(?)不正アクセスではMACアドレスが表示されることは、
ほとんどありませんね。
あと、NetBIOSへのアクセスが 17に書いたトロイ(W32.HLLW.Qaz.A)のものなら、
相手のポート7597が開いているはずなので、接続できるかもしれませんね。
0020名無しさん
NGNG知人に勧められてBlackICEを入れたら、下記の様な結果が出ました。
BlackICEが反応したらすぐに、NET落とすようにしていたのだけど、
再度NET繋ぐと、一分もしない内にBlackICEが反応するといった具合です。
使ってる3つのISPの内のフレッツ・アイODNだけに反応しちゃう。(・・||||r ぞっ!
"[侵入施行] URL名には不正な %xx 16進コードが含まれています。"
↑これが何度も出ました。
助けてぇ〜恐くて繋げないの。。。(ノ_σ)クスン
_____________________________________
侵入者:N13cc-04p149.ppp.odn.ad.jp
IPアドレス:211.127.115.149
DNS:n13cc-04149.ppp.odn.ad.jp
アタック: HTTP URL Bad hex code
[侵入施行] URL名には不正な %xx 16進コードが含まれています。
____________________________________
侵入者:253.143090128.odn.ne.jp
IPアドレス:143.90.128.253
DNS:253.143090128.odn.ne.jp
アタック:ICMP Subnet Mask Request
[スキャン] アタッカはサブネットマスクの値を要求しています。
これに応答すると、ネットワークの設定に関する情報が漏れてしまいます。
____________________________________
■ このスレッドは過去ログ倉庫に格納されています