|
防火壁ログのうち、目立ったものを集めています。ウチみたいなダイナミックIPの場合、 特徴として、スキルの低いクラッカーが何度もアクセスしてくるので通常よりたくさん集まってるのかもしれませんな。 また、偵察の結果、IPを攻撃リストに入れて、さあ、いざ攻撃や〜、というつもりでアクセスしてきたら、 既にそのIPの持ち主が変わっていた!(で、新しい持ち主がつまりウチで、ウチからは「おい、偵察もせなんで、いきなり攻撃かい!」というふうに見える)。というのもあるでしょうな。 ま、ざっとこんなん来てます。表示書式がいろいろ混在してますが、ご勘弁を。新しいのはどんどん上に追加していきます。 ■ 溜まり場 ■ まずは以下を見てみましょう。 Mar 16 21:47:21 XXX.213.31.78 free-tpg-078.tpgi.com.au TCP/27374 Mar 16 22:16:48 XXX.226.212.89 pD9E2D459.dip.t-dialin.net TCP/27374 Mar 16 22:23:05 XXX.177.15.154 hlfx60-2b-154.ns.sympatico.ca TCP/27374 Mar 16 22:55:44 XXX.0.147.237 unknown host TCP/27374いろんなところから見てますが、狙いは一つ、トロイのバックドアです。このときにウチに振られていた IPアドレスの以前の持ち主のホストにバックドアが仕掛けられていて、溜まり場だったのですかね?んーでも、所詮、動的なアドレスなので、そんな短時間に有名になって溜まり場になるもんでしょうか?あるいはこいつらはグループかもしれませんが。どっちにしろアングラチャットあたりで情報交換してるんでしょうけど。まあ、ガセでやってきたというのもアリかな。どーでもいいけどさ。 ■ Nimdaとか ■ wwwfilter で Nimda とか CodeRed のアタックを拾ってるんですけど、発信元ホストも抽出してます。 名前が引けたホストの一部を見てみましょう。攻撃時のIPアドレス、そのときに引いたホスト名、 攻撃日時です。動的IPの場合、すでにこれらのIPアドレスや名前は別のところに降られているので、 これらは現在必ずしも危険なわけではないので注意。しかし、この中で一つだけ固定IPがありますねー。 詳しい方やウチのサイトをよく見てるヒトはすぐわかりますね(ここってたしか前にも別件で...)。 まあ、隠してるから誰でもわかるだろうけど。 61.185.227.71 1601.adsl.xaonline.com 2002/03/06/11:20 61.121.43.72 nttmygi04072.ppp.infoweb.ne.jp 2002/03/05/09:43 61.70.210.212 u210-212.u61-70.giga.net.tw 2002/03/07/12:26 61.70.101.94 u101-94.u61-70.giga.net.tw 2002/03/07/08:50 202.102.85.9 990-A1-1151.nj.jsinfo.net 2002/03/07/17:10 61.250.231.139 61-250-231-139.rev.krline.net 2002/03/02/19:51 61.25.16.53 cj30XXXXX-c.sagam1.kn.home.ne.jp 2002/03/06/07:19 61.185.19.16 10781.xy-ddn.sn.cninfo.net 2002/03/02/01:12 61.210.59.43 nttnigt006043.flets.ppp.infoweb.ne.jp 2002/03/02/09:11 661.121.43.167 nttmygi04167.ppp.infoweb.ne.jp 2002/03/05/11:37 61.185.227.69 1599.adsl.xaonline.com 2002/03/04/01:13これだけでも結構いろんな事がわかります。 nttmygi04072.ppp.infoweb.ne.jp はおそらくNTTの宮城のあたりのフレッツかな、2つありますね。 きっと同じホストでしょう。動的IPアドレスなので別のアドレスを振られて、また暴れてるわけです。 .giga.net.tw の2つも同様ですかね。 で、これら以外も気が狂うほどたまってるんですが、さすがに最近では企業ドメインはほとんど見当たりません。さすがにほとんど対処したということでしょうかねえ。 ■ 串くれ〜 ■ ネライを絞るのはよいことですが、こうして見るとあさましさを感じます。よっぽど串が欲しかったのね。 Dec 31 09:08:18 XXX.29.5.186 ppp-XXX-5.29-151.libero.it TCP/1080 Dec 31 09:08:18 XXX.29.5.186 ppp-XXX-5.29-151.libero.it TCP/3128 Dec 31 09:08:18 XXX.29.5.186 ppp-XXX-5.29-151.libero.it TCP/8081 Dec 31 09:08:18 XXX.29.5.186 ppp-XXX-5.29-151.libero.it TCP/8888 Dec 31 09:08:21 XXX.29.5.186 ppp-XXX-5.29-151.libero.it TCP/1080 Dec 31 09:08:21 XXX.29.5.186 ppp-XXX-5.29-151.libero.it TCP/3128 Dec 31 09:08:21 XXX.29.5.186 ppp-XXX-5.29-151.libero.it TCP/8081 Dec 31 09:08:21 XXX.29.5.186 ppp-XXX-5.29-151.libero.it TCP/8888 8081, 8888 なんてのにもあたってますね。 Aug 1 07:24:47 PROTO=6 X.X.X.X:4357 X.X.X.X:8080 Aug 1 07:24:47 PROTO=6 X.X.X.X:4358 X.X.X.X:1080 Aug 1 07:24:47 PROTO=6 X.X.X.X:4360 X.X.X.X:3128 Aug 1 07:24:53 PROTO=6 X.X.X.X:4682 X.X.X.X:1080 Aug 1 07:24:56 PROTO=6 X.X.X.X:4682 X.X.X.X:1080 ■ 踏み台のお手本2 ■ こちらさんも踏み台でしょうが、このホストでは Apache が走っていて、 このまんま80番ポートにアクセスすると(つまり、IE, NN とかのブラウザで見ると)、ドキュメントルートがそのまま丸出しでした。例の「あなたの予想に反してうんたらかんたら」というヤツです。ずさんに管理すると(管理とはいわないか、放置?)、いきなり踏み台だよーん、というヨイ例です。 Nov 24 13:06:14 XXX.204.29.148 www2.XXX.ne.jp TCP/111www2 っつーことは www1 もあるよな、で、当然 www で公開してるよな、つーわけで www.XXX.ne.jp にお邪魔すると、またしてもシステムインテグレーション企業。ありますねー、「ネットワーク構築サービス」なるものが。ほかにもDB開発など多彩。いやー困ったもんですな。あと、ホームページ作成サービスなんてのがありますが、だいたいこの会社、ページの中で自分の会社名タイプミスしてるとこありますぜ(笑)。 ■ 踏み台のお手本 ■(2001/11/23 追記) ある日こんなのが来ました。 Oct 19 17:16:48 XXX.XXX.XXX.102 smtp1.XXX.XXX.net TCP/21スニッファはこれについてこう報告しています。 [**] spp_stream4: STEALTH ACTIVITY (SYN FIN scan) detection [**] 10/19-17:23:38.683337 XXX.XXX.XXX.102:21 -> XXX.XXX.XXX.XXX:21 TCP TTL:25 TOS:0x0 ID:39426 IpLen:20 DgmLen:40 ******SF Seq: XXXXXXXX Ack: XXXXXXXX Win: XXXXXXXX TcpLen: XXXXXXXXFIN スキャンという(後述)まあ、ちょっとヒネリの入ったスキャンだよん、 と言ってるわけです。出所も21番であったりと、確かにヒネられてますが、 こういうのはスキャニングツールには標準装備なので、特に高等技術ではないのね。 大概有効だけど、ウチみたいなとこではかえって目立っちゃう。 それはいいとして、出所です。一見して SMTP サーバーとわかるネーミング。 すばらしい!試しに www1.XXX.XXX.net としてみると、案の定 Web サイトです。 すばらしい!どうやらネットコミュニケーション事業の会社のようです。 個人情報とか沢山持ってそうです(危険だ)。 まあ、踏み台にされとるのでしょう。しかし、まさに標的になりやすいお手本のようです。 SMTP サーバーが踏んづけられてるのはおそらく sendmail の古Nov 22 21:53:29 XXX.26.141.102 smtp1.XXX.XXX.net TCP/21 いのでも使ってたの でしょう。わかりやすい!ホスト名ネーミングの安易さから、アカウント、パスワードの安易さも 期待できます。個人情報も取り出し放題なのでしょう。簡単に想像がつきます。 こういう踏み台はちょっかいを出すごとに有名になっていき、クラッカーたちに 有効に(笑)使われていってしまうのですな。 哀れになったので、身元は隠してあげるね。バレたら業界で生きていけないもんね。 早く気づけよー。こちとらポートスキャンごときでどうこう言えないからね。 被害者に同情されるなよー。 とかいって、全てクラッカー集団のカモフラージュだったりしたらすごいなあ。 その後.....(2001/11/23) Nov 22 21:53:29 XXX.26.141.102 smtp1.XXX.XXX.net TCP/21 Nov 24 04:45:47 XXX.26.141.102 smtp1.XXX.XXX.net TCP/211ヶ月経っても気づかないようですね。誰も教えてあげないのね(T_T) ■ お国の恥 ■ 踏まれてるにしろ、内部に手癖の悪いヤツがいるにしろ、防火壁ログにあがってくる不正パケット送信元ホストは基本的にロクなものではありません。私は非常に心が広いので、身元を隠してあげてますが(中途半端にだが...それがせめてものウサバラシ)、本当はそんな義理は無いのです。これらは何らかの迷惑をインターネット上で発生させているのです(少なくとも私にっとって迷惑)からね。 日本発のものはやはり結構目に付きますが、けっこうシステムバリバリ会社とか多いし、そこのサイトを覗いてみると立派なことが書いてあるんですね。恥の上塗りです。がんばれニッポン! とある1週間内で、日本発のものをチェックしてみました。モロバレになってしまうと潰れちゃいそうな企業もあるので、今回はログはナシにしときます。明日はわが身。
■ .to ドメイン ■ .to ドメインはトンガ王国のドメイン。とはいえ、当然だけど、それを利用しているのはトンガのヒトだとは限らないのね。つーか、むしろこのドメインに関しては、トンガ王国以外の国の人間の利用のほうが多いと思うなー。安いしね。 Nov 10 13:15:14 XXX.141.151.196 sv.XXX.to TCP/111このアドレスは INTERLINK という日本のプロバイダが管理してた。つまり、これはそこのユーザー。すなわち日本のヒトなのね。ところで、あまり知らなかったんだけど、 INTERLINK ではフレッツADSL固定IPサービスとかあるみたい。で、結構安かった。 うー勉強になるなー!! ではなくて。つまりこのヒトはとてもリーズナブルな価格でドメイン運用してるのね、でもなくて、だから、えーとなんだっけ? えーと、自分のドメインつきサーバーから攻撃してくるヤツはまずいないから(マヌケならありえる)、踏み台にされてるということがわかっちゃう(ToT)。で、こういったパケットを拾ったまた別のやつに「Yeah ! ここはチョロいネ、イタダキデース」(ナニ人?)なんて、また弱点突かれて踏み台にされちゃったりする。メール関連の悪事(SPAMとか)を行う時には、誰かから送られてきたスパムのSMTPサーバーを利用するのが定石だけど(やっちゃダメだよ)、それと似てる。 .to 使おうって知恵あるんだから(sv という名をつけるのは知恵が無いともいえるが)セキュリティも気を配ってね、金かからないから(笑)。 と、と、とととかなんとか言いながらHP探して見たら、これってホスティングサービスの会社のWEB鯖(でもたぶんオールインワン)じゃん!!!おいおいおいおい!!!勘弁してよーん。 会社がこれだ。ここのお客さんが不憫でならんよ。 ■ 実際こんなもん ■ 今日は 11/10 ですが、先日 SSH 関連のセキュリティホールがアナウンスされて (JPCERT では未だに出てないが...)22番宛てのスキャンが目立ってきてます。 で、以下はイリノイ州はロックフォードにあるe-コマース関係の会社から来てるんですが、こういう関係のところからのスキャンって結構あるのね。踏み台にされてるのか、社員に手癖の悪いヤツがいるかまではわからんけど、そっち系の企業なんて、そんなもんということ。 [**] spp_stream4: STEALTH ACTIVITY (SYN FIN scan) detection [**] 11/10-01:20:48.950231 12.2.185.2:22 -> XXX.XXX.XXX.XXX:22 TCP TTL:28 TOS:0x0 ID:39426 IpLen:20 DgmLen:40 ******SF Seq: XXXXXXXX Ack: XXXXXXXX Win: XXXXXXXXX TcpLen: XXXXXXXX =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ステルスだけど、引っかかってるのはデフォルトのシグネチャ。ごくごく一般的なツールを使ってるということね。勧告されてわりとすぐ打ってきたんで、まあマメなヤツなんでしょう。 ■ 攻撃ではないかもしれないが ■ これらはおそらくチャット系のサーバーが行方不明になったため飛んできたパケットなんぢゃないかと思うんですが。 Oct 30 17:30:31 XXX.158.172.127 unknown host UDP/4002 Oct 30 18:13:22 XXX.52.194.18 unknown host UDP/4000 Oct 30 18:13:22 XXX.52.194.18 unknown host UDP/4001 Oct 30 18:13:22 XXX.52.194.18 unknown host UDP/4002 Oct 30 18:13:22 XXX.52.194.18 unknown host UDP/4003とある外国語版チャットツールがあって、それは立ち上げるごとにポート番号がインクリメントされるそうです。あとの4つはそんな感じですな。それに短い時間帯で別々の出所からきてることからの推測です。 もちろん 調べてみた所どちらもその国発パケットでした。 しかし、日本のアドレス範囲に飛んでくるのが腑に落ちない。やっぱり不審パケット? ■ 厨房以下 ■ いくら厨房でもフツーここまでモロなことはしません。 何を参考にしたのでしょう? Oct 6 01:26:00 PROTO=6 XXX.136.214.112:21409 XXX.XXX.XXX.XXX:21 Oct 6 01:26:00 PROTO=6 XXX.136.214.112:21410 XXX.XXX.XXX.XXX:23 Oct 6 01:26:00 PROTO=6 XXX.136.214.112:21411 XXX.XXX.XXX.XXX:25 Oct 6 01:26:00 PROTO=6 XXX.136.214.112:21412 XXX.XXX.XXX.XXX:53 Oct 6 01:26:00 PROTO=6 XXX.136.214.112:21413 XXX.XXX.XXX.XXX:80 Oct 6 01:26:00 PROTO=6 XXX.136.214.112:21414 XXX.XXX.XXX.XXX:110 Oct 6 01:26:00 PROTO=6 XXX.136.214.112:21415 XXX.XXX.XXX.XXX:139 Oct 6 01:26:01 PROTO=6 XXX.136.214.112:21416 XXX.XXX.XXX.XXX:443 Oct 6 01:26:03 PROTO=6 XXX.136.214.112:21409 XXX.XXX.XXX.XXX:21 Oct 6 01:26:03 PROTO=6 XXX.136.214.112:21410 XXX.XXX.XXX.XXX:23 Oct 6 01:26:03 PROTO=6 XXX.136.214.112:21411 XXX.XXX.XXX.XXX:25 Oct 6 01:26:03 PROTO=6 XXX.136.214.112:21412 XXX.XXX.XXX.XXX:53 Oct 6 01:26:03 PROTO=6 XXX.136.214.112:21413 XXX.XXX.XXX.XXX:80 Oct 6 01:26:03 PROTO=6 XXX.136.214.112:21414 XXX.XXX.XXX.XXX:110 Oct 6 01:26:04 PROTO=6 XXX.136.214.112:21415 XXX.XXX.XXX.XXX:139 Oct 6 01:26:04 PROTO=6 XXX.136.214.112:21416 XXX.XXX.XXX.XXX:443 Oct 6 01:26:09 PROTO=6 XXX.136.214.112:21409 XXX.XXX.XXX.XXX:21 Oct 6 01:26:09 PROTO=6 XXX.136.214.112:21410 XXX.XXX.XXX.XXX:23 Oct 6 01:26:09 PROTO=6 XXX.136.214.112:21411 XXX.XXX.XXX.XXX:25 Oct 6 01:26:09 PROTO=6 XXX.136.214.112:21412 XXX.XXX.XXX.XXX:53 Oct 6 01:26:09 PROTO=6 XXX.136.214.112:21413 XXX.XXX.XXX.XXX:80 Oct 6 01:26:09 PROTO=6 XXX.136.214.112:21414 XXX.XXX.XXX.XXX:110 Oct 6 01:26:10 PROTO=6 XXX.136.214.112:21415 XXX.XXX.XXX.XXX:139 Oct 6 01:26:10 PROTO=6 XXX.136.214.112:21416 XXX.XXX.XXX.XXX:443 Oct 6 01:26:21 PROTO=6 XXX.136.214.112:21409 XXX.XXX.XXX.XXX:21 Oct 6 01:26:21 PROTO=6 XXX.136.214.112:21410 XXX.XXX.XXX.XXX:23 Oct 6 01:26:21 PROTO=6 XXX.136.214.112:21411 XXX.XXX.XXX.XXX:25 Oct 6 01:26:21 PROTO=6 XXX.136.214.112:21412 XXX.XXX.XXX.XXX:53 Oct 6 01:26:22 PROTO=6 XXX.136.214.112:21413 XXX.XXX.XXX.XXX:80 Oct 6 01:26:22 PROTO=6 XXX.136.214.112:21414 XXX.XXX.XXX.XXX:110 Oct 6 01:26:22 PROTO=6 XXX.136.214.112:21415 XXX.XXX.XXX.XXX:139 Oct 6 01:26:22 PROTO=6 XXX.136.214.112:21416 XXX.XXX.XXX.XXX:443443番が入っているのは面白いですね。 ■ 身元公表 ■ こう何度もいらっしゃるのではおもてなしせざるを得ません。 同じIPから同じようなアクセスを繰り返すとはよほど自己顕示欲が強い方なのでしょう。 私としては敬意を表して生IPを公開させていただきました。 それにしてもよほど515番がお好きなようで。 Aug 22 20:44:07 209.155.91.93 unknown host TCP/515 Aug 29 09:19:06 209.155.91.93 unknown host TCP/515 Aug 30 00:29:47 209.155.91.93 unknown host TCP/515当分続くようでしたら、当方では515番で待ち受けるハニーポットを仕掛けさせていただきます(笑)。 ■ 大胆不敵 ■ 思いっきりです。これは言い逃れできんぞ、おい! 腹立ったからホスト名出したる。でもダイナミックIPか(笑)。 Aug 30 00:51:01 XXX.83.125.192 pD9537DC0.dip.t-dialin.net TCP/1243 Aug 30 00:51:02 XXX.83.125.192 pD9537DC0.dip.t-dialin.net TCP/12346 Aug 30 00:51:02 XXX.83.125.192 pD9537DC0.dip.t-dialin.net TCP/20034 Aug 30 00:51:02 XXX.83.125.192 pD9537DC0.dip.t-dialin.net TCP/27374 Aug 30 00:51:02 XXX.83.125.192 pD9537DC0.dip.t-dialin.net TCP/54320 Aug 30 00:51:02 XXX.83.125.192 pD9537DC0.dip.t-dialin.net TCP/5880内容的には厨房でしょう。すべて NetBus, BO2K, Sub7 などのトロイ探し。 ■ 偽造? ■ 発信元も21番ポートです、ムリヤリなパケットですね。これはたぶん「捨て留守スキャン(おい!(^^;)」という方法の1種を実行しているのです。ステルススキャンとはフィルタリングをかわしてサービス稼働状況を調べるやりかたです。外部FTPサーバーからのパケットは通す設定が多いでしょうから、有効なのですね。でも、FTP鯖がサービスしてれば発信元なんぞどーだって通すでしょうに。FTP つーとバウンス攻撃というやつもありますなあ、そのネタはいずれ。ま、とにかくウチでは門前払いでございますのよ、おーっほっほっほ。 Jul 12 14:51:54 PROTO=6 X.X.X.X:21 X.X.X.X:21※追記 : なんか結構来るようです。 Jul 28 03:02:01 PROTO=6 X.X.X.X:21 X.X.X.X:21以下はスニッファのログですが、近種のステルススキャンのひとつ。IP出しちゃいます、悪意丸出しですからね。 [**] spp_stream4: STEALTH ACTIVITY (SYN FIN scan) detection [**] 07/28-03:06:50.936844 61.140.73.131:21 -> 61.124.143.113:21 TCP TTL:26 TOS:0x0 ID:39426 IpLen:20 DgmLen:40 ******SF Seq: XXXXXXXXXX Ack: XXXXXXXXXX 〜省略〜 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+FIN スキャンやで〜、と言ってます。いきなり FIN パケットを送ってきたのです。 FIN パケットとはコネクションクローズ要求のためのパケット。 こうなるとサービスがある場合(この場合は21番だからFTP)、 OS は 「おーい、FTP 鯖さん、いきなり FIN や。どうなっとんのかいな?」 「知るかいな、ほっとけや」 ということで応答しません。 サービスがない場合は 「なんや、21番やら使っとらんで、アホかいな、よしゃ、エラー返したろ。」 となります。 つまり、「何にも返ってこなかったら鯖がある」と考える訳ですね。 しかし、ウチのように出先が何番だろうと、宛先が21番とかサービスのない番号のパケット全て叩き落す設定では、やっぱなーんの返事もしないので、「鯖がある」と勘違いされるのかな? ま、何度も書いてるように、ダイナミックIPだからスキャンレベルの攻防はお互いに無駄ボネなんで、どーでもいいけどね。 ■ 珍 ■ あまりこないですが、印刷ポート515番宛です。よく使われている LPRng には脆弱性を持ったものが存在します。赤帽のかなり古いやつとか。まあ、そんなもん狙うのはかなりの物好きかなんか? Jul 28 08:48:39 PROTO=6 X.X.X.X:1529 X.X.X.X:515※追記:とか言ってたら、その後やたらと来るようになりました。 とかとか言ってたら、これは新規で BSD 系の lpd の脆弱性ネライだったようです。 その後 CERT から注意喚起がありました。 さて、次。 Bla1.1 というトロイがありますが、んー、マニアックですな。 Jul 12 13:16:57 PROTO=6 210.140.241.19:389 202.248.147.159:1042 ■ ??? ■ 仕掛けた奴だけが知ってるトロイのポートか、なんかの間違いか、新手の何ぞやか、あるいは意図がよくわからないとか、とにかくよくわからないもの。場合によってはわしの無知ということで、弱さを暴露してるようなもんですが、まあ、どっちにしろブロックしてるんでいっか。 Jul 9 17:14:05 PROTO=6 200.241.52.7:24054 61.124.255.244:49954 Jul 12 13:16:57 PROTO=6 210.140.241.19:389 202.248.147.159:1357 (Electronic PegBoard ???) Aug 10 04:15:17 XXX.188.80.30 lc-proxy.sp.psinet.com.br TCP/49796 Aug 26 07:10:00 XXX.10.64.212 cmXXX-10-64-212.hkcable.com.hk TCP/61374 Aug 29 06:14:45 XXX.221.143.49 sv.sesameplace.co.jp TCP/9690しかし、次のは多少気になります。 Oct 16 21:36:50 XXX.137.165.54 unknown host UDP/1208 Oct 24 01:26:10 XXX.51.242.184 unknown host UDP/1209どちらのポートもあまり聞いたことないが、同じネライ(リモートツール)の可能性がある。 さて、この2つの発信元は APNIC の whois で調べたところ、プロバイダは異なるものの、ともに日本の IP エリアを狙ってくるあのお国のもの。となると、あまり知られていないが何らかの攻撃パターンの可能性も十分考えられるというわけ。 |