投稿日:2006年02月25日 作成鷹の巣

No.20228 ハッキング対策



ハッキング対策

No.20228 投稿時間:2006年02月25日(Sat) 00:11 投稿者名:ミニプー URL:

はじめまして。
ここ最近私のサーバーにハッキングしようとしている人が増えているようです。(Apache, WarFTP, ArGoSoft Mailserver)

NORTON INTERNET SECURITY 2004を使っているのですが
このコンピュータに対する侵入 「HTTP MS IIS NTLM ASN1 BO」 の試みを検出して遮断しました。

と毎日のようにと出てきます。これがただHTTPでアクセスしようとして出ているのか、本当にハッキングをしようとしているのかが不明です。

見てみると主に韓国と中国、そして稀に日本からのようです。(串刺しているかもしれないので不明ですが…)
これはどのような攻撃・脆弱性なのでしょうか?
出てきたIPをすべてブロックはしているのですが、日に日に増えていて大変困っています。
なにかブロックするいい方法はありますか?
ご指導お願いいたします。


まず踏み台にされていないかチェックしてみたら?

No.20229 投稿時間:2006年02月25日(Sat) 09:53 投稿者名:123 URL:

アドバイスって程のことではありませんが、まず踏み台にされていないかチェックしてみたら?

踏み台登録確認君
http://sv2ch.baila6.jp/chk_relay.cgi
オープンプロクシやメールの不正中継のデータベースに登録されていないか確認した方が良いのではないかと思います。

後は攻撃かどうかログをしっかり確認する。
NIS2004のSymantec Client Securityが過剰反応しているのかもね、名前の通りサーバー用じゃない訳だしね。
(延長キーの更新はしていると思いますが、ノートンはエンジンはそのままだった様な・・・)

でメールサーバーやFTPサーバーは本当に必要ですか?


> はじめまして。
> ここ最近私のサーバーにハッキングしようとしている人が増えているようです。(Apache, WarFTP, ArGoSoft Mailserver)
>
> NORTON INTERNET SECURITY 2004を使っているのですが
> このコンピュータに対する侵入 「HTTP MS IIS NTLM ASN1 BO」 の試みを検出して遮断しました。
>
> と毎日のようにと出てきます。これがただHTTPでアクセスしようとして出ているのか、本当にハッキングをしようとしているのかが不明です。
>
> 見てみると主に韓国と中国、そして稀に日本からのようです。(串刺しているかもしれないので不明ですが…)
> これはどのような攻撃・脆弱性なのでしょうか?
> 出てきたIPをすべてブロックはしているのですが、日に日に増えていて大変困っています。
> なにかブロックするいい方法はありますか?
> ご指導お願いいたします。


DSBL チェックに引っかかりました。

No.20240 投稿時間:2006年02月25日(Sat) 23:41 投稿者名:ミニプー URL:

返信ありがとうございました。
DSBL チェックに引っかかりました。
他は大丈夫だったのですが、私のメールサーバーはオープンリレーは不可になっています。
固定IPではないので、私が原因かどうかがよくわかりませんでした。
以前同じIPを使っていたユーザーという可能性もありますか?


一応メールサーバーとFTPサーバーは頻繁に使用しています。

毎日メールサーバーの履歴をチェックしていますが、外部の人がオープンリレーで送ろうとしている形跡はありますが、全て失敗しているようです。

どうしたらいいのかよく判りません。
私が無知なのが問題だとは思いますが、ご指導お願いいたします。


> アドバイスって程のことではありませんが、まず踏み台にされていないかチェックしてみたら?
>
> 踏み台登録確認君
> http://sv2ch.baila6.jp/chk_relay.cgi
> オープンプロクシやメールの不正中継のデータベースに登録されていないか確認した方が良いのではないかと思います。
>
> 後は攻撃かどうかログをしっかり確認する。
> NIS2004のSymantec Client Securityが過剰反応しているのかもね、名前の通りサーバー用じゃない訳だしね。
> (延長キーの更新はしていると思いますが、ノートンはエンジンはそのままだった様な・・・)
>
> でメールサーバーやFTPサーバーは本当に必要ですか?
>
>
> > はじめまして。
> > ここ最近私のサーバーにハッキングしようとしている人が増えているようです。(Apache, WarFTP, ArGoSoft Mailserver)
> >
> > NORTON INTERNET SECURITY 2004を使っているのですが
> > このコンピュータに対する侵入 「HTTP MS IIS NTLM ASN1 BO」 の試みを検出して遮断しました。
> >
> > と毎日のようにと出てきます。これがただHTTPでアクセスしようとして出ているのか、本当にハッキングをしようとしているのかが不明です。
> >
> > 見てみると主に韓国と中国、そして稀に日本からのようです。(串刺しているかもしれないので不明ですが…)
> > これはどのような攻撃・脆弱性なのでしょうか?
> > 出てきたIPをすべてブロックはしているのですが、日に日に増えていて大変困っています。
> > なにかブロックするいい方法はありますか?
> > ご指導お願いいたします。


とりあえず (修正版)

No.20246 投稿時間:2006年02月26日(Sun) 09:30 投稿者名:123 URL:

> 返信ありがとうございました。
> DSBL チェックに引っかかりました。
> 他は大丈夫だったのですが、私のメールサーバーはオープンリレーは不可になっています。
> 固定IPではないので、私が原因かどうかがよくわかりませんでした。
> 以前同じIPを使っていたユーザーという可能性もありますか?
>
>
> 一応メールサーバーとFTPサーバーは頻繁に使用しています。
>
> 毎日メールサーバーの履歴をチェックしていますが、外部の人がオープンリレーで送ろうとしている形跡はありますが、全て失敗しているようです。
>
> どうしたらいいのかよく判りません。
> 私が無知なのが問題だとは思いますが、ご指導お願いいたします。

>DSBL チェックに引っかかりました。

これが変なアクセスの原因ではないかと推測します。

DSBLのブラックリストに載っているって事は裏を返せば、不正が可能なリストである訳で悪意のある人間にはオイシイのです。
当然群がってくる訳です。

Distributed Server Boycott List
出典: フリー百科事典『ウィキペディア(Wikipedia)』
http://ja.wikipedia.org/wiki/DSBL

動的なIPアドレスですので何年も前の方がヘマをしてそのまま逃げ出したのでしょうね。

さてミニプーさんの対処ですが、面倒かもしれませんがサーバーを運営する者の努めとしてDSBLへ解除依頼のメールを出す。
そうしないとこのIPアドレスを取得した方が同じ目に会いますから。


私ではないと言う事になりますか?

No.20241 投稿時間:2006年02月25日(Sat) 23:45 投稿者名:ミニプー URL:

もう一度DSBLのリストを確認したのですが、追加された日にちが2004年の1月になっていました。
この時期はまだ私はサーバーを立ち上げていなかったので、私ではないと言う事になりますか?


目次掲示板過去ログ目次▲頁先頭