トップページnetwork
654コメント539KB

ポートスキャン楽しいですか?報告会

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@1周年NGNG
ポートスキャンってピンポンダッシュを思い出す。
あまり、人の家を勝手に訪問しないように。

今日の訪問者
Name: pool0078.cvx4-bradley.dialup.earthlink.net
Address: 209.178.146.78
ca-us.earthlink.net

PING打ち返しまくるのは有りですか?(笑)
0066新米君 NGNG
Local address,service is (10080)
Remote address,service is (213.154.192.186,2907)

ありとあらゆるポートにありがとう。ハァ
0067新米君 NGNG
Rule "デフォルトの Back Orifice 2000 の拒否" blocked (Back-Orifice). Details:
Inbound UDP packet
Local address,service is (Back-Orifice)
Remote address,service is (212.211.4.62,2010)

これはちょっと深刻だな。
0068新米君 NGNG
ところでWINWRAPPERの評価ってどうでしょうか?
これは設定の行いやすさから、私のような新米には使い勝手が
よいのですが、機能的に欠陥があるのかどうか心配です。
0069ちゅう房>64 NGNG
ありとあらゆる64にありがとう。ハァ
0070名無しさん@そうだ選挙にいこう NGNG
ポートスキャンごときでガタガタ言うおまえらって馬鹿?
0071名無しさん@そうだ選挙にいこう NGNG
>>70
こんばんわ、ウジムシ。氏ね。
0072名無しさん@そうだ選挙にいこう NGNG
>>70
がたがたいってるわけじゃないよ。
うざいなと思いつつも、警察が動いてくれるわけじゃないから
しゃーないからこういうスレで愚痴たれてんじゃん。
そもそもお前みたいな脳味噌プリンがポートスキャンしてなにするわけ?
0073名無しさん@そうだ選挙にいこう NGNG
ポ、、ポートスキャンってなんなんだ、、、
0074名無しさん@そうだ選挙にいこう NGNG
ふむ。
007570>72の脳みそウレタン君 NGNG
ぢゃ君は、脳みそウレタンだね(藁
脳みそウレタンぢゃ何もわからなくて怖いよね〜。
007672 NGNG
>>75
あらら、一匹釣れちゃった。まあいいや。

もう一度聞こう
"お前みたいな脳味噌プリンがポートスキャンしてなにするわけ?"
答えられるもんならいってみな。

お前やその同類の脳浮腫厨房の存在が、平和な町に鍵の必要性を
認識させ、法律を強化させる原因になるんだよ。
”罰則がなければ何でもやっていい”と思っているうちは
頭の中身が20歳未満だよ。
檻に入れられ、ぶたれなければわからないんじゃ動物と一緒。
0077名無しさん@1周年 NGNG
>>76
痛いなおまえ。もっと気の効いた事を書けよ。
0078名無しさん@そうだ選挙にいこう NGNG
ポートスキャンも知らない俺のほうが痛い。
誰か教えて。
0079名無しさん@そうだ選挙にいこう NGNG
釣られたのは75のほうだったりしてな(w
0080名無しさん@そうだ選挙にいこう NGNG
↑まちがえた75じゃなくて76ね。
0081名無しさん@そうだ選挙にいこう NGNG
釣られたというか煽られてますね、76 のひと。
多分 70 はほっといて淡々とポートスキャン報告会を続けるのがいい気がする。
0082名無しさん@そうだ選挙にいこう NGNG
>57
うちにもいらっしゃいました。たぶん同一人物だろコイツ。
2000-09-09 19:43:56, Back Orifice ping,
IP: 195.232.122.19
DNS: lon-qbu-bsh-vty19.as.wcom.net
0083名無しさん@そうだ選挙にいこう NGNG
>>81
「釣れた」という言葉で真性厨房を
過敏反応させてしまったみたいで申し訳ない。
ポートスキャンの目的も説明できないとは(;´Д`)
職業厨房かな。
0084名無しさん@そうだ選挙にいこう NGNG
BlackICE入れて2日目でポートスキャンされました。
202.98.70.18
なにやらムカツク(`Д´)ノ

0085(`Д´)ノ (`Д´)ノ (`Д´)ノ NGNG
100-80
危険イベント: これは、システムに対し、データの破壊やシステムの
クラッシュを意図した故意のアタックが行われたことを示します。
80-40
重要イベント: これは、システム上の情報に故意にアクセスしようとしたが、
直接には何も破壊していないことを示します。
重要イベントは、適用可能な場合に防御措置を呼び出すことができます。
40-20
注意イベント: これは、今すぐ脅威となるようなネットワーク・アクティビティでは
ないが、システムにセキュリティ上の弱点がないか探そうとしている者がいる
可能性があることを示します。
例えば、ハッカーはアタックを行う前に、システム上にある使用可能なポートや
サービスをスキャンすることがよくあります。
注意イベントの場合、防御措置は呼び出されません。すべての注意イベントが
本来のアタック行為を示しているわけではありません。
20-0
通知イベント: これは、脅威ではないが、注意しておく必要のある
ネットワーク・イベントがコンピュータ上に発生したことを示します。
通知イベントの場合、防御措置は呼び出されません。

Copyright 1999, Network ICE Corporation
0086(´ー`)y-~~>83 NGNG
黄身わなんか初々しいな
はぢめて2ちゃんねる来た頃を思い出すよ
0087名無しさん@そうだ選挙にいこう NGNG
>>83
あんた、だいぶ病んでるねえ。
あまり「厨房」って言葉を意識しないほうがいいよ。
聞いてて痛いから。
0088新米君 NGNG
Inbound TCP connection
Local address,service is (Backdoor-g-1)
Remote address,service is (210.71.213.12,3324)
0089新米君 NGNG
Inbound TCP connection
Local address,service is (98)
Remote address,service is (129.81.170.37,2653)

なんか98番っていうのが珍しいからアゲェ
0090名も無き少年 NGNG
98ってなに? BSDの/etc/servicesにはTACNEWSって書いてあるけど
なんだろう……。
0091sage NGNG
>>86-87
あはは。
お前らのせりふをよんでいると、以前に串系の掲示板で
鍋島氏が暴れていた頃を思い出すな。まさに厨房と蔑まれるに
ふさわしい奴らがうようよしてたよ。そんなおまえらに
「職業厨房」の肩書きをあげるから、気に入ったら使ってくれ。

"お前みたいな脳味噌プリンがポートスキャンしてなにするわけ?"
0092名無しさん@そうだ選挙にいこう NGNG
>>86-87
あはは。
お前らのせりふをよんでいると、以前に串系の掲示板で
鍋島氏が暴れていた頃を思い出すな。まさに厨房と蔑まれるに
ふさわしい奴らがうようよしてたよ。そんなおまえらに
「職業厨房」の肩書きをあげるから、気に入ったら使ってくれ。

"お前みたいな脳味噌プリンがポートスキャンしてなにするわけ?"
0093新米君 NGNG
質問いいすっかね?
>>88-89 は、だいたい0.5秒刻みで他に10ポートぐらい
スキャンして逝かれたみたいですが、攻撃元IPがバラバラでした。
21番から8080番まで順序よく?スキャンしてるので同一人物で
あることには間違い無いと思うのですが、なかなか巧妙で手口が
私にはわかりませんでした。
こんな便利なツールってありましたっけ?
0094(´ー`)y-~~>93 NGNG
ランダムでプロキシ変えてるだけだろ。
0095名無しさん@そうだ選挙にいこう NGNG
こういうポートスキャンを検出するソフトってあるんですか?
できればフリーで...
0096>93 NGNG
source addressを偽装するport scannerってのはザラにある.
こいつを使えば自分のIP addressをlogの海に沈めることも,
赤の他人にport scanningの汚名を着せることも簡単にできる.
「報復君」のideaが頓挫したのもこれが理由.

結局, source addressだけじゃ大した証拠にもならないんで,
せめてここで晒し者にしてやろうってのがこのthreadの趣旨のはず.
0097名無しさん@そうだ選挙にいこう NGNG
晒してねーやん。
0098>97 NGNG
何を?
0099名無しさん@そうだ選挙にいこう NGNG
普通、sourceが不正なパケットは自分ところのネットワークから
外に出ていかないようにするんだけどね。
あと、相手先も同様で、外から受け取るはずのパケットのソースが
自ネットワークからだったりするとたたき落とすようにするんだけども。
0100名無しさん@そうだ選挙にいこう NGNG
>99
あらゆるネットワークの管理者が真面目にそういう対応をしてくれれば
IPスプーフィング胸囲^H^H脅威は無くなるのにね。
0101>100 NGNG
「IPスプーフィング」のあとに「の」が抜けてるのか?
つーか「(誤変換)^H*n」てゆー表現、寒い。
0102名無しさん6809 NGNG
Unix系の雑誌でクズ記事^H^H^H^Hよもやま話書いてるライターにありがちな表現だな。
0103(´ー`)y-~~>99 NGNG
それを言っては自信満々の96が可愛そうでちゅ。
とても可哀想なので、僕チンが96君を上位厨房に認定してあげまちゅ。
気を取り直すでちゅ。>>96
0104名無しさん@ダメスレ審査委員会 NGNG
┌────────────────────────┐
│    ( ̄ ̄).                               │
│     )  (.     ダ メ ス レ 認 定 証. .      │
│   / 2ch \..                          │
│   | ΛΛ  |/ ̄ ̄ ̄ ̄ ̄ \. 認定番号. 第5532号.│
│   | ( ゚Д゚)< ダメだこりゃ! |..                │
│   \__/ \_____/....              │
│..                                  │
│   このスレが.2ch.ダメスレ審査委員会.の定める認定  │
│  基準.(第5項.) を満たしていることを.ここに証する。.  │
│..                                   │
│  平成12年9月.    2ch. ダメスレ.審査委員会   │
│                   理 事 長.  ひろゆき@管直人  │
│                認定委員. 名無しさん..       │
└────────────────────────┘
 ■ ダメスレ認定を受けたスレッドではsageで発言、
   あるいは放置してください。   … ひろゆき@管直人より
0105まあまあ NGNG
祝レッドゾーン
2000-09-20 20:08:33 ICMP flood 146.188.232.98
0106名無しさん@そうだ選挙にいこう NGNG
皆さんのところ、こういうの来てない?
Sep 20 18:05:05 210.172.128.20:80 -> XXX.XXX.XXX.XXX:2415 UNKNOWN 2*S***A* RESERVEDBITS
Sep 20 18:05:24 210.172.128.20:80 -> XXX.XXX.XXX.XXX:2441 UNKNOWN 2*S***A* RESERVEDBITS
Sep 20 19:31:45 210.172.128.20:80 -> XXX.XXX.XXX.XXX:3813 UNKNOWN 2*S***A* RESERVEDBITS
Sep 20 23:03:56 210.157.27.68:1096 -> XXX.XXX.XXX.XXX:8001 SYN **S*****
Sep 20 23:03:59 210.157.27.68:1098 -> XXX.XXX.XXX.XXX:8000 SYN **S*****
Sep 20 23:04:01 210.157.27.68:1099 -> XXX.XXX.XXX.XXX:3128 SYN **S*****
Sep 20 23:04:03 210.157.27.68:1100 -> XXX.XXX.XXX.XXX:3121 SYN **S*****
Sep 20 23:04:03 210.157.27.68:1101 -> XXX.XXX.XXX.XXX:1080 SYN **S*****
Sep 20 23:04:06 210.157.27.68:1102 -> XXX.XXX.XXX.XXX:80 SYN **S*****
Sep 21 17:58:25 210.172.128.20:80 -> XXX.XXX.XXX.XXX:3724 UNKNOWN 2*S***A* RESERVEDBITS
Sep 21 18:01:28 210.172.128.20:80 -> XXX.XXX.XXX.XXX:3763 UNKNOWN 2*S***A* RESERVEDBITS
Sep 21 23:03:08 210.157.27.81:1062 -> XXX.XXX.XXX.XXX:10080 SYN **S*****
Sep 21 23:03:08 210.157.27.81:1063 -> XXX.XXX.XXX.XXX:8080 SYN **S*****
Sep 21 23:03:10 210.157.27.81:1064 -> XXX.XXX.XXX.XXX:8001 SYN **S*****
Sep 21 23:03:12 210.157.27.81:1065 -> XXX.XXX.XXX.XXX:8000 SYN **S*****
Sep 21 23:03:14 210.157.27.81:1066 -> XXX.XXX.XXX.XXX:3128 SYN **S*****
Sep 21 23:03:16 210.157.27.81:1067 -> XXX.XXX.XXX.XXX:3121 SYN **S*****
Sep 21 23:03:16 210.157.27.81:1068 -> XXX.XXX.XXX.XXX:1080 SYN **S*****
Sep 21 23:03:17 210.157.27.81:1069 -> XXX.XXX.XXX.XXX:80 SYN **S*****
Sep 21 23:03:18 210.157.27.81:1069 -> XXX.XXX.XXX.XXX:80 SYN **S*****
Sep 22 00:09:30 210.172.128.20:80 -> XXX.XXX.XXX.XXX:4818 UNKNOWN 2*S***A* RESERVEDBITS
Sep 22 00:09:30 210.172.128.20:80 -> XXX.XXX.XXX.XXX:4819 UNKNOWN 2*S***A* RESERVEDBITS
0107>99 NGNG
ネットワーク境界でのフィルタリング:
IP ソース アドレスを偽ったサービス妨害攻撃をくじく
http://www.ipa.go.jp/security/rfc/RFC2827JA.html
0108名無しさん@そうだ選挙にいこう NGNG
フリーでこういうの検知できるいいソフトないっすかね〜
0109名無しさん@そうだ選挙にいこう NGNG
WinWrapper、ZoneAlarm、blackICE
…ってどれもフリーじゃないや(藁
0110>109 NGNG
会社で使いたいってこと?
フリーのZoneAlarmは使っているけど。
0111名無しさん@そうだ選挙にいこう NGNG
BlackICE入れたら一晩で五人もスキャンしてくださりました。
しかもみんな私の使ってるプロバイダの人たちみたい。
サポートに連絡したら注意してくれたりするのかなぁ??
0112名無しさん@そうだ選挙にいこう NGNG
BlackICEってWin2kで問題なく動いてる?
0113111 NGNG
>112
動いてます。2.1cnJね
0114名無しさん@そうだ選挙にいこう NGNG
NortonのPersonalFierwallってどう?
10月に新しいやつでるみたいだけど。
0115112 NGNG
2.1cnJ?

2.1ckJとか2.1clJじゃなくてnってバージョンもあるのかな?
体験版の2.1ckJってのを入れてるんだけど、
アタックFilter failed 侵入者0.0.0.0
ってメッセージしか出ないっす。
[通知]ファイアウォールフィルタが設定できませんでした
という通知も出てる。
0116名無しさん@そうだ選挙にいこう NGNG
うちも設定を変更するたびに
0.0.0.0が侵入者リストに出てきました。
うざいから、信頼できるIPに登録しました。
他は正常に動作しています。
0117>115 NGNG
ftpに行ってみれ。
0118名無しさん@そうだ選挙にいこう NGNG
ftp://ftp.toyo.co.jp/pub/blackice/defender21CNJ/

たしかにあったけど…これってどこからリンクされてるの?
持っていって平気なのか??
0119名無しさん@そうだ選挙にいこう NGNG
そう思うのなら直リンするのよせ。見つけたら自分一人こっそり
落として使えばいいだろ。わざわざアドレスのっけるなよ。
Anonymous FTPなんだしあそこのHPからリンクされてる
所だからな。まぁいいんじゃないか。
0120名無しさん@そうだ選挙にいこう NGNG
RELEASE 2.1.cnJ (このリリース)
. 不具合: Windows 2000 SP1 で、BlackICE が "filter failed"
イベントを報告 する.
ステータス: 修正

だって。めでたしめでたし。
0121名無しさん@そうだ選挙にいこう NGNG
すいませんよく分からないのですが

IP: 211.0.41.165
Node: KABU
Group: PEAR39.COM
MAC: 00402659617C
DNS: kabu.pear30.com

IP: 211.0.237.110
Node: THINKPAD
Group: メルコ
MAC: 444553540000
DNS: p110-dna10aobadori.miyagi.ocn.ne.jp

この2人がなんかしてるみたいなんです。
BlackICEでは
Net BIOS port probe
とでてます。
これは具体的に何をしてるんでしょうか?
0122名無しさん@そうだ選挙にいこう NGNG
http://tako.2ch.net/test/read.cgi?bbs=osaka&key=961896397&ls=50
って事じゃないのかな。
0123121 NGNG
>122

ありがとう
とりあえず害はなさそうだ
0124名無しさん@そうだ選挙にいこう NGNG
だれかWin95でポートの閉じ方教えて(泣)
0125名無しさん@そうだ選挙にいこう NGNG
211.7.223.129(n01-129.ip-tokyo.highway.ne.jp)
9/23 午後5時半頃
うちの全ホストに対し port 8080 を絨毯爆撃

そんなに proxy が欲しいか?
0126名無し三等兵 NGNG
2000-09-25 17:43:20
NetBIOS port probe (port=139)
IP: 210.150.11.241
Node: VAIO-KOKABU
Group: JHQ
NetBIOS: KOKABU
MAC: 00600888CC4E
0127名無しさん@そうだ選挙にいこう NGNG
KOKABUってなんだろう
0128名無しさん@そうだ選挙にいこう NGNG
>127
トランスコスモス(株)の管理者あたりに
kokabu@hq.trans-cosmos.co.jpってやつがいるんだろうな(わら
0129名無しさん@そうだ選挙にいこう NGNG
トランスコスモスかい…
0130名無しさん@そうだ選挙にいこう NGNG
2000-09-26 18:17:01
NetBIOS port probe (port=139)
IP: 210.149.243.38
Node: MAACAH
Group: FUCHINOBE-SKK10
MAC: 444553540000
DNS: h038.p499.iij4u.or.jp
0131名無しさん@そうだ選挙にいこう NGNG
この場合は172.16.1xx.xxは,なにをしようとしているの?
1080と2426……

The firewall has blocked Internet access to your computer (NetBIOS
Session) from 172.16.1xx.xx (TCP Port 1080).
あと
(TCP Port 2426).
0132MAC NGNG
MACアドレスというのは偽装できるんですか?
0133名無しさん@そうだ選挙にいこう NGNG
同じプロバイダ使っている奴から(複数)ポートスキャンかけられるので
プロバイダにログと一緒に苦情メール送っておいた。約款に
基づき対処してくれるそうだ。
0134名無しさん@そうだ選挙にいこう NGNG
同一プロバイダ内からのNetBIOS port probeが多いのですが
これってその「侵入者」が、意図してやってるのではなく
Windowsの設定でNetBIOS over TCP/IPを切らずに
そのまま使っちゃってるってことですかね?? それともやっぱり意図的なんだろうか?
いちおうルータでPort137〜139は出さないように(Over TCPつかってませんが)
入らないようにしてあるつもりなのですが、それでも警告されます。
0135名無しさん@そうだ選挙にいこう NGNG
WIN98で、ポート137〜139の潰し方教えていただけませんか?
Service ファイルのところコメントにしてみたけどだめなんですよね・・・
なんか最近なんにもしてないのにモデムランプ点滅しっぱなしなので不安で・・・
これはまた別と思いますけど
0136Five NGNG
>>132
できます。簡単です。

>>134
宛先アドレスが classful な broadcast なら、意図せずに漏れている
ものと思われます。

>>135
TCP/IP のプロパティで「NetBIOS を利用する」とかチェックボックスが
あったと思います(最近使ってないので記憶が曖昧)。それを外せば
NBT が無効になるはずです。
0137横から。 NGNG
>136
IPアドレスやMACアドレスの偽装やその見破り方ってのは、
どのようなものを読んだら良いでしょうか?
0138>135 NGNG
それって、Trojan仕込まれてるだけじゃないの?
0139Five NGNG
>>137
IP Address の偽装は、普段から arpwatch とかで IP Address と MAC Address の
対応関係を把握していればある程度は検出できると思います(DHCP な環境だと
ほぼ不可能ですが)。

MAC Address の偽装の検出は、過去にも議論になりましたが、ほぼ不可能という
結論で一致しています。
0140137 NGNG
なるほど。
では、IPアドレスやMACアドレスの偽装ってどういうメリットがあるんでしょうか?
あくまでハク関係のため?
と同時に、偽装したらパケットの受信はできなくなるんでしょうか?
0141>134 NGNG
意図的じゃなく同プロバイダの他のユーザーにつなぎに行くということは
ありうるの??
0142Five NGNG
>>140
偽装する目的の多くは、セキュリティの回避でしょう。
IP/MAC Address でアクセス制限をしているのをごまかすといった感じです。
あとは意図的に既存のものと重複する IP/MAC Address を利用して、
ネットワークを混乱に陥れるとか(似せ ARP 攻撃は古典的ながら対処法が
ないということで、管理者の頭痛の種になっています)。
0143135 NGNG
>Fiveさん
なぜかチェックついたままディスエーブルになってて
クリックでけへんのです・・・
>138さん
ううう再インストールしてみます・・・

ありがとうございました。
0144Five NGNG
NetBEUI か IPX 入れてみましょう。
0145ほげ NGNG
プライベートIPアドレスでDNSに問い合わせてくるアホが
腐るほどいます。これってどこにも文句が言えない最高
(低)なDOS攻撃と言える。
#もちろんルータで止めておくけど。
0146一般人の心理 NGNG
ウイルスバスター2001のパッケージの
パーソナルファイアウオールの項に”ハッカーの進入を防ぐ”
って書かれているのをみて大笑いしてしまった。
”進入って何よ?(ワラ”って感じ。
いつの時代も厨房狙った商売は大繁盛だね。
あ〜ハッカーの進入怖いなあ(ワラ
0147MAC NGNG
>>136 こんにちは
私はBlackICEを入れていますがなんとポートスキャンしてきた相手の
マックアドレスが私のパソコンのとまったくいっしょだったのでビックリです。
これってほかっておいても良いのですかねー チョット心配
0148134 NGNG
>135さん
まずいちど「TCP/IP」の名がついているネットワークコンポーネントの
「バインド」で「Microsoftネットワーククライアント」や
「Microsoftネットワーク共有サービス」などのチェックボックスをはずしてください。
その後、プロパティウィンドの下にある「OK」を押すと
「バインドするドライバが選ばれてません。選択しますか?」と怒られますが
「はい」を選択してください。
(ダイアルアップアダプタやノートで複数のNIC使い分けてる場合は複数あるけど、
とりあえずそれ全部同じように)
TCP/IPそれを全部はずすと(ふつうは1つしかないかも、)
その後「TCP/IPのプロバティ内NetBIOSのタブでTCP/IP上で、NetBIOSを使用可能にする」を
指定解除することができるようになるとおもいます。
0149134 NGNG
補足
その後、共有サービス使いたい場合などは
ネットワークコンポーネントに「NetBEUI」を追加して
そっちに共有のバインドを振り分けてください。
もちろん、共有させたい別のマシンのほうも同じような設定で
NetBEUI入れてください。
0150名無しさん@そうだ選挙にいこう NGNG
>147
BlackICEのバグで自分自身を攻撃者と勘違いするというが
あったと思うけど、それじゃないかな? 調べてごらん。
0151MAC NGNG
>150 こんにちは
readme.txtに
>ただし、ある特定の条件下で、BlackICE は自分自身のコンピュータを侵入者
>として検出する恐れがあります.
とありますがIPアドレスもDNSも私とまったく関係がないところです。
実害がない限りはそのままほかっておくしかないのかなー

ほかのポートスキャン20件ぐらいはみんな別のMACアドレスでした。
0152名無しさん@そうだ選挙にいこう NGNG
arena.ne.jpのIPからSOCKS port probeが11回ほど。
なんであんな大手ホスティング会社からくるんだろう?
infosphereなら納得いくんだけどね。
その前後に見ていたwebもarena.ne.jpに関係ありそうなトコないんだけど……。
和geo,impress,ISIZEも使ってない。

地理的にはarenaのサーバセンターから近いのですが、そんなの関係ないしねえ
0153名無しさん@そうだ選挙にいこう NGNG
ポートスキャンされてます。
相手は某総合大学の一研究室内ワークステーションであることが分かったのですが、何か警告を与える、あるいは懲らしめてやる方法はありまえんでしょうか?
0154名無しさん@そうだ選挙にいこう NGNG
>>153
とりあえずpostmasterに警告しとくだけでいいのでは
0155うざうざうざ NGNG
The firewall has blocked Internet access to your computer (NetBIOS Session) from 210.230.95.151 (TCP Port 1074).
Time: 00/10/03 23:39:14

The firewall has blocked Internet access to your computer (NetBIOS Name) from 210.91.180.211 (NetBIOS Name).
Occurred: 2 times between 00/10/03 23:40:20 and 00/10/03 23:43:20

The firewall has blocked Internet access to your computer (NetBIOS Session) from 210.230.95.195 (TCP Port 1244).
Time: 00/10/03 23:57:26

The firewall has blocked Internet access to your computer (NetBIOS Session) from 210.230.102.211 (TCP Port 1844).
Time: 00/10/04 0:19:38
0156名無しさん@そうだ選挙にいこう NGNG
>154
うちの大学でそれやられると
やった学生が飛びます(笑
0157名無しさん@そうだ選挙にいこう NGNG
>153
それ、飛ばしてやれ〜(藁
0158名無しさん@そうだ選挙にいこう NGNG
類似話題につき相互リンク
http://mentai.2ch.net/test/read.cgi?bbs=hack&key=970429103

ていうか、最近 NetBIOS関係へのアクセスが急に増えたように思うんだけどどうよ?
0159NGNG
厨房がスキルアップしてきたんじゃない〜(w
0160名無しさん@そうだ選挙にいこう NGNG
やっぱり増えてるんだ。
うちはNetBIOS関連はルータのフィルタリングで落としてるんだけど
最近妙に多くてログが流れちゃっていやだからログすら取ってない。

垂れ流しに気づいてないお馬鹿さんが増えたのかなとか思ってたんだけど
なんか理由があるわけ?
0161名無しさん@そうだ選挙にいこう NGNG
> 垂れ流しに気づいてないお馬鹿さんが増えたのかなとか思ってたんだけど
> なんか理由があるわけ?

最近「同じプロバイダの奴からNetBIOSへアクセスされた」って話を
よく聞きます。私もそうなんですが、原因がよくわからないんです。

自分のセキュリティソフト( WinWrapper,BlackICE )のバグ・誤動作かなと
思ったのですが、相手がパケットを「垂れ流し」ているというのもあり得ますね。
0162名無しさん@そうだ選挙にいこう NGNG
これか?
xxtp://www.zaq.ne.jp/zaq/news/virus.html
0163161 NGNG
>162
>これか?
>xxtp://www.zaq.ne.jp/zaq/news/virus.html

情報ありがとう御座いました。

http://inet.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_QAZ.A
より、一部引用↓。

>また、ローカルネットワークの共有フォルダを検索し、フルアクセス可能な
>共有フォルダに"notepad.exe"が存在した場合も同様にリネームして自分の
>コピーを作成します。したがってローカルネットワーク内でWindowsフォルダを
>フルアクセスで共有にしているマシンはすべてにシステム改変を受けます。

「ローカルネットワークの共有フォルダを検索し…」ってところでNetBIOSを
使うんでしょうね。

「ローカルネットワークの…」の部分は「同じプロバイダ内の…」くらいに
読み替えてもいいかもしれないし、「2000年8月9日前後に大量配布」となっ
ているので、最近急に増えた事ともつじつまが合いますね。
0164名無しさん@そうだ選挙にいこう NGNG
135と同じようにネットワークコンポーネントの
NETBIOSにチェックがついててはぜせない状態でした。
148に書いていた方法でチェックをはずせました。
はずしておいた方がいいんですよね?
0165名無しさん@1周年 NGNG
>「ローカルネットワークの…」の部分は「同じプロバイダ内の…」くらいに
>読み替えてもいいかもしれないし、「2000年8月9日前後に大量配布」となっ
>ているので、最近急に増えた事ともつじつまが合いますね。

東急CATV使ってるんだけど、最近妙にヘンなアクセスが多いなと思ったら
これだぁ。ログを見ると、もろに8/9から共有へのアクセスがポツポツと。
8/10からの増え方が異常なので、たった一日で東急内でマシンがかなりやら
れたと思っていいですね..
今日もすでに11人からアクセスがありました...この人達、ログイン名とIP
垂れ流しだよ。見てないけどウィルスにやられるくらいだからCドラフル
アクセスで共有してるんだろうし..
■ このスレッドは過去ログ倉庫に格納されています