投稿日:2002年08月20日 作成鷹の巣

No.4668 皆さんは、ハッキングに対してどのように対処されていますか?



皆さんは、ハッキングに対してどのように対処されていますか?

No.4668 投稿時間:2002年08月20日(Tue) 15:47 投稿者名:NO HACK URL:

被害はないんですが、ここのところ非常にハッキングは多いんです。僕の場合、特にぷららからのハッキングが多いんです。そこで、事務局にログを提出しましたら(下の方もおっしゃっていますが)、とても丁寧に対応してくれました。こんな感じです。

「株式会社ぷららネットワークスでございます。度々のご連絡恐れ入ります。

今回のログも、Nimdaによるポートスキャンの可能性が考えられますので、
前回頂いたものとあわせて調査いたします。

ウイルスによる被害拡大については、弊社としても最小限に食い止めたいと
考えております。今後も同じような状況が確認されます場合には、お手数でも
再度ご連絡いただければ幸いです。

どうぞ、よろしくお願い申し上げます。」

こちらが引き下がる必要はありません。どんどんログを提出して、不正行為を阻止するような行動に出ないといけないような
気がします。ぷららもそれなりの対応はしてくれているようなので、ログはできるだけ提出することにしています。困ったもんです。


自分でレス

No.4669 投稿時間:2002年08月20日(Tue) 18:14 投稿者名:NO HACK URL:

ぷららのハッキングが約4割以上。なんでこんなに多いのでしょう?本当に腹が立ってきました。自己レスでした。皆で対抗しませんか?


本当のアタックには気を付けています

No.4670 投稿時間:2002年08月20日(Tue) 18:46 投稿者名:OAK URL:

> 被害はないんですが、ここのところ非常にハッキングは多いんです。僕の場合、特にぷららからのハッキングが多いんです。そこで、事務局にログを提出しましたら(下の方もおっしゃっていますが)、とても丁寧に対応してくれました。こんな感じです。

ニムダやコードレッドによる80ポートへのアクセスはハッキングかどうかは別として。

ニムダ、最近少なくなりました。せいぜい一日数ヶ所程度。以前は一日100ヶ所ぐらいからありましたから。
特にプララが多いとは思いません。近接アドレスにアタックするらしいですから NOHACK さんはその近辺のIPなのでしょう。
私は無視してます。いちいちメール出すと多いときはたいへんだし、海外からも多いですから。

コードレッドは最近国内は少ないようで、やっぱり無視。あまりひどいと海外ならルータのファイヤーウオールで
16ビットまとめてクローズしています。

ニムダやコードレッドはIISサーバでないので、実害も出ないし。

メールで来るウイルスはそのヘッダー情報から、送られてきたISPに出していますが、ISPにより対応はまちまち
NTT系は割と良いですね。AOXXなんか返事もこない。一般に評判の良いISPはその辺の対応も良いです。
しかし、受け取ったほうで本当に手を打ってくれているかは分かりません。

むしろ、本当のアタックに気を付けています。
ポート80はこちらのアパッチのバージョンを出さないとか、FTPなどは必要なドメインからしか許可しないとか。
Tripwire などで、ファイルの変更があればメールを受ける。ログをこまめに見る、なるべく最新版や最新パッチを使うなど。


コメントありがとうございます。

No.4672 投稿時間:2002年08月20日(Tue) 21:45 投稿者名:NO HACK URL:

ご親切にご回答ありがとうございます。

> > 被害はないんですが、ここのところ非常にハッキングは多いんです。僕の場合、特にぷららからのハッキングが多いんです。そこで、事務局にログを提出しましたら(下の方もおっしゃっていますが)、とても丁寧に対応してくれました。こんな感じです。
>
> ニムダやコードレッドによる80ポートへのアクセスはハッキングかどうかは別として。

しかし、実際にアクセログを見ると、ニムダのあとがあるんです。404ですから、確かに問題はないのでしょうが、私は私個人の問題だと思わないのです。現実にこのアクセスで感染する方もいるでしょうから、そういう意味では、われわれは連帯感を持つべきだと考えます。IISとか、アパッチであるとかいう区別をしていると、それは「自宅サーバー」関連のこのページの意味がなくなります。AN ATTPDだけがサーバーではありません。

> ニムダ、最近少なくなりました。せいぜい一日数ヶ所程度。以前は一日100ヶ所ぐらいからありましたから。
> 特にプララが多いとは思いません。近接アドレスにアタックするらしいですから NOHACK さんはその近辺のIPなのでしょう。
> 私は無視してます。いちいちメール出すと多いときはたいへんだし、海外からも多いですから。

私は逆にNimdaが多いのです。私は数としてはそんなに多くはありませんが、自分の近接IPであることが多いのは何故なのでしょうか?お教えください。
> コードレッドは最近国内は少ないようで、やっぱり無視。あまりひどいと海外ならルータのファイヤーウオールで
> 16ビットまとめてクローズしています。
>
> ニムダやコードレッドはIISサーバでないので、実害も出ないし。

私も、IIS command 32 にかかる状況ではないのです。「でも」そこが問題なのではないでしょうか?自分の環境がかからないからと言って、放っておいていいものでしょうか?私は違うと思うのですが。。。初心者の方、設定を間違っている方、色々居られると思うのです。ですから、私は、自分が感染していなくても、ログを提出することにしました。もしかすると、踏み台にされているかたの救いになるかもしれませんし。ほっとくと、悪を許すことになります。感染しないからと言って、放置することに対して私はイエスとは言えません。

> メールで来るウイルスはそのヘッダー情報から、送られてきたISPに出していますが、ISPにより対応はまちまち
> NTT系は割と良いですね。AOXXなんか返事もこない。一般に評判の良いISPはその辺の対応も良いです。
> しかし、受け取ったほうで本当に手を打ってくれているかは分かりません。

メールでの感染はNAV機能で防げます。特に悪質なものは私もヘッダー情報からISPに数度届けたことはあります。対応に
関しては、O*Nもどこまでやってくれたのか??疑問に思う節は確かにありました。

> むしろ、本当のアタックに気を付けています。
> ポート80はこちらのアパッチのバージョンを出さないとか、FTPなどは必要なドメインからしか許可しないとか。
> Tripwire などで、ファイルの変更があればメールを受ける。ログをこまめに見る、なるべく最新版や最新パッチを使うなど。

それは全くそのとおりです。こちらが最新の注意をしていなければいけないのは確かです。それでも、HTTP Port Probe, Proxy
Probe, IIS system 32 command, Code Red Iなど皆さん日常的にさらされていませんか?俺、黙っていてはいけないと思うんですが?

皆さんどう思われますか?プロバイダは矢張り何の手も打ってくれないのが本当なのかな?


結果報告です

No.4692 投稿時間:2002年08月21日(Wed) 22:36 投稿者名:NO HACK URL:

プロバイダ事務局より次のような回答がありました。「株式会社ぷららネットワークス ぷらら事務局でございます。この度は何度も Nimda によるぷらら会員からのアクセスログをご連絡頂きまして、たいへん恐縮です。これまで頂きましたものについては、すでに弊社側で実施者を特定しており、Nimda感染、駆除方法についての連絡を行いました。今回頂きましたものについても、同様に実施者の調査、Nimda駆除の連絡などを、弊社にて致します。」

一応、きちんと対応はしてくれたようです。ログのリモートホストが長時間にわたりnslookupでも変化していなかったので、私は確信犯だと思っております。いずれにせよ、今日は、ぷららからのアタックは全くなし。被害があるなしにかかわらず、私は報告するのがいいと思いました。これで被害に遭われる方も実際にいるのでしょうから。自宅サーバーという孤独なセキュリティとの闘いですから、自分から積極的に不正は認めないという姿勢が大切だと私は思っています。


基本的に同感です。

No.4693 投稿時間:2002年08月22日(Thu) 00:54 投稿者名:パソマイン URL:http://paso.mine.nu/

> ご親切にご回答ありがとうございます。
>
> > > 被害はないんですが、ここのところ非常にハッキングは多いんです。僕の場合、特にぷららからのハッキングが多いんです。そこで、事務局にログを提出しましたら(下の方もおっしゃっていますが)、とても丁寧に対応してくれました。こんな感じです。
(中略)
> それは全くそのとおりです。こちらが最新の注意をしていなければいけないのは確かです。それでも、HTTP Port Probe, Proxy
> Probe, IIS system 32 command, Code Red Iなど皆さん日常的にさらされていませんか?俺、黙っていてはいけないと思うんですが?
>
> 皆さんどう思われますか?プロバイダは矢張り何の手も打ってくれないのが本当なのかな?
基本的に同感です。実は私も「Apache だから関係ないや」なんて思っていましたので、反省です。
ご指摘のように、黙っていてはだめだと思います。ただし、現状では私のサイトでは、海外からが
80%以上です。英文は苦手だもので、それも大義名分にして無視しています。

では。


パソマインさん、ありがとうございます

No.4697 投稿時間:2002年08月22日(Thu) 05:48 投稿者名:NO HACK URL:

> 基本的に同感です。実は私も「Apache だから関係ないや」なんて思っていましたので、反省です。
> ご指摘のように、黙っていてはだめだと思います。ただし、現状では私のサイトでは、海外からが
> 80%以上です。英文は苦手だもので、それも大義名分にして無視しています。

パソマインさん、ありがとうございます。そうですね、日本のプロバイダーより、確かに海外が多いですよね。私は泣き寝入りしないようにしています。できるだけ、海外にも報告はしたいものです。下手な英語ですが、僕はこんな風に送っています。

Dear Manager(あるいはwhois で出てくる管理責任者の名前でもいいかな?)

My name is Yamada Taro, managing a home-server at home. Lately, my computer
got an attack from the IP address considered to be the member of your ISP.
Since the PC of this person may be infected with the virus or there is
a possibility that his computer is being captured by the third person,
would you contact him or her?

I will send my web server's access log file as follows, could you analyze it?
I would like you to prevent virus damage expansion and unlawful access.

---------------------------------------------

ここにログのコピー

---------------------------------------------

Regards

Yamada Taro aaa@bbb.com


あまり返事が来ないこともありますが、返信がある場合もあります。泣き寝入りせずに、頑張りましょう。

では。


逆引き登録は必要でしょう。

No.4719 投稿時間:2002年08月24日(Sat) 07:38 投稿者名:帯鯖 URL:

帯鯖@名古屋です。
少し前の記事ですが、気になりましたので返信させて頂きます。

最近は Nimda の飛び回りは減ったものの、我が家にも、未だ少なからず CodeRed と混じってやってきます。
そこでふと気づいたこと。。。

日本の ISP は、ほぼ100パーセント逆引き登録をしてある。
海外の ISP は、ほとんど逆引き登録をしていない(大手でない限り)。


暇な時、Nimda の発信源を調べますが、やはり「ホスト名.ドメイン」を払い出さないアクセスは、海外からのものです。

現在、友人が東南アジアを転々としています。
彼はよく現地のネットカフェから私のサーバに遊びにくるのですが、「ホスト名.ドメイン」の記述は、一度もありません。


私が思うに、ドメイン名はインターネット上での名刺のようなものであり、名刺を持ってアクセスする以上、「私はこういう者で、伺い先には(ウイルスやワームなど)被害を与えない、もし与えたとしても責任を果たします」ぐらいの自己意識が、ISP には必要だと考えます。
逆引き登録をしていない ISP は、名刺を持たない訪問販売と同じで、どこの誰だか分からず、責任を果たせないだろう、信頼できないだろうの業者だと思います。

やはり、世界的に見てまだまだ IT は浸透しておらず、先進国だけが突っ走っている気がしています。

硬い文章になってしまいましたが、どうぞお許しを…


中国・韓国はほとんど逆引きなし

No.4728 投稿時間:2002年08月24日(Sat) 17:18 投稿者名:かつ URL:http://www.kkoba.com/

帯鯖さん、こんにちは。

私は数字好きで、Nimdaのログをずっと取ってます。
http://www.kkoba.com/counter/nimda.shtml

> 日本の ISP は、ほぼ100パーセント逆引き登録をしてある。
> 海外の ISP は、ほとんど逆引き登録をしていない(大手でない限り)。
> 私が思うに、ドメイン名はインターネット上での名刺のようなものであり、名刺を持ってアクセスする以上、
> 「私はこういう者で、伺い先には(ウイルスやワームなど)被害を与えない、もし与えたとしても責任を果たします」
> ぐらいの自己意識が、ISP には必要だと考えます。
> 逆引き登録をしていない ISP は、名刺を持たない訪問販売と同じで、どこの誰だか分からず、責任を果たせないだろう、
> 信頼できないだろうの業者だと思います。
私も、逆引きできないプロバイダは、「責任を果たしてない」と思います。

Nimdaのアクセスが多順に並べると、各国の逆引きできない比率は以下のようになります。
93% 中国
96% 韓国
11% 日本
55% 台湾
75% 香港
90% インド
20% 米国
83% インドネシア

ちょっと計算してみましたが、なんとなく思っていた結果通りでした。


同感です。

No.4730 投稿時間:2002年08月24日(Sat) 17:26 投稿者名:パソマイン URL:http://paso.mine.nu/

> 帯鯖さん、こんにちは。
>
> 私は数字好きで、Nimdaのログをずっと取ってます。
> http://www.kkoba.com/counter/nimda.shtml
>
> > 日本の ISP は、ほぼ100パーセント逆引き登録をしてある。
> > 海外の ISP は、ほとんど逆引き登録をしていない(大手でない限り)。
(略)
> 私も、逆引きできないプロバイダは、「責任を果たしてない」と思います。
まったく同感です。どうしてなんでしょう?中国はまだしも、
IT先進国の韓国は信じられない思いです。理由を知っている
方が見えたらコメントいただきたいです。


ひどい有様ですね。。

No.4734 投稿時間:2002年08月24日(Sat) 18:08 投稿者名:NO HACK URL:

帯鯖さん、かつさん、こんにちは。

> 私は数字好きで、Nimdaのログをずっと取ってます。
> http://www.kkoba.com/counter/nimda.shtml

> > 日本の ISP は、ほぼ100パーセント逆引き登録をしてある。
> > 海外の ISP は、ほとんど逆引き登録をしていない(大手でない限り)。
> > 私が思うに、ドメイン名はインターネット上での名刺のようなものであり、名刺を持ってアクセスする以上、
> > 「私はこういう者で、伺い先には(ウイルスやワームなど)被害を与えない、もし与えたとしても責任を果たします」
> > ぐらいの自己意識が、ISP には必要だと考えます。
> > 逆引き登録をしていない ISP は、名刺を持たない訪問販売と同じで、どこの誰だか分からず、責任を果たせないだろう、
> > 信頼できないだろうの業者だと思います。
> 私も、逆引きできないプロバイダは、「責任を果たしてない」と思います。
>
> Nimdaのアクセスが多順に並べると、各国の逆引きできない比率は以下のようになります。
> 93% 中国
> 96% 韓国
> 11% 日本
> 55% 台湾
> 75% 香港
> 90% インド
> 20% 米国
> 83% インドネシア

きちんと統計取って居られるんですね。帯鯖さんがおっしゃるように逆引きは必要ですね。
海外のプロバイダーは確かに逆引きできないところが多いですね。これは矢張り怠慢でしょう。
サイトによっては逆引きできないとアクセス拒否する場合もあるというのに。
確かに、中国、韓国、台湾などからのNimda攻撃が多いですね。ほとんどの場合、逆引きできません。
こうなると、もうお手上げです。対処のしようがないですね。

帯鯖さんのおっしゃるように、韓国が逆引きできないのは何故なんでしょうね?APNICの中で、大きな
役割持っているのに、変ですね。96%って数字は驚きです。


|目次|掲示板|過去ログ目次|▲頁先頭|