城館日記

2002年

6月

30日 日曜日

午前0時44分 昨日の不審アクセス

 今回のログ

 同一箇所からの連続アクセスが多い日です。以下は目立つところの情報を調べた結果そのままです。

65.54.249.126 11行目から18行目
Microsoft Corporation (NETBLK-MICROSOFT-1BLK)
   One Redmond Way
   Redmond, WA 98052
   US

   Netname: MICROSOFT-1BLK
   Netblock: 65.52.0.0 - 65.55.255.255

   Coordinator:
      Microsoft Corporation  (ZM23-ARIN)  noc@microsoft.com
      425-882-8080

   Domain System inverse mapping provided by:

   DNS1.CP.MSFT.NET		207.46.138.20
   DNS2.CP.MSFT.NET		207.46.138.21
   DNS1.TK.MSFT.NET		207.46.232.37
   DNS1.DC.MSFT.NET		207.68.128.151
   DNS1.SJ.MSFT.NET		207.46.97.11

   Record last updated on 20-Jun-2001.
   Database last updated on  28-Jun-2002 19:59:48 EDT.
209.202.218.129 19行目から24行目
Lycos, Inc. (NETBLK-NETBLK-LYCOS-1)
   400-2 Totten Pond Road
   Waltham, MA 02451
   US

   Netname: NETBLK-LYCOS-1
   Netblock: 209.202.192.0 - 209.202.255.255

   Coordinator:
      Yelsangikar, Vish  (VY7-ARIN)  nic-tech@LYCOS-INC.COM
      781-370-2700 (FAX) 650-428-5111

   Domain System inverse mapping provided by:

   NS1.HOTWIRED.COM		209.202.224.253
   NS2.HOTWIRED.COM		209.202.220.8
   NS3.HOTWIRED.COM		209.202.228.10
   NS4.HOTWIRED.COM		209.202.221.55

   Record last updated on 10-Jun-2002.
   Database last updated on  28-Jun-2002 19:59:48 EDT.
213.45.59.250 29行目から35行目
inetnum:      213.45.56.0 - 213.45.59.255
netname:      TIN
descr:        Telecom Italia Net
descr:        TIN ADSL service in OSPF Area 05
descr:        PROVIDER
country:      IT
admin-c:      TAS10-RIPE
tech-c:       TAS10-RIPE
status:       ASSIGNED PA
remarks:      Please send abuse notification to abuse@tin.it
notify:       nettin@tin.it
mnt-by:       TIN-MNT
changed:      network@cgi.interbusiness.it 20000609
changed:      nettin@tin.it 20010212
source:       RIPE

route:        213.45.0.0/16
descr:        INTERBUSINESS
origin:       AS3269
mnt-by:       INTERB-MNT
changed:      cgiadmin@cgi.interbusiness.it 20000118
source:       RIPE

role:         TIN-Network Administration Staff
address:      TIN - Telecom Italia Network
address:      Via di Val Cannuta,182
address:      00166 Roma
address:      Italy
phone:        +39 06 3688 4139
fax-no:       +39 06 3688 4167
e-mail:       cmontechiarini@intin.it
trouble:      Please report spam/abuse notification to abuse@tin.it
admin-c:      EB339-RIPE
tech-c:       CC297-RIPE
tech-c:       CM1426-RIPE
nic-hdl:      TAS10-RIPE
notify:       claudio.ciotola@telecomitalia.it
notify:       cmontechiarini@intin.it
mnt-by:       TIN-MNT
changed:      nettin@tin.it 20001204
source:       RIPE
202.248.20.81 202.248.20.82 202.248.20.86 49行目から78行目
Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 202.248.20.0
b. [ネットワーク名] NIFTY-SERVE
f. [組織名] ニフティサーブ ネットワーク(ニフティ株式会社)
g. [Organization] NIFTY SERVE NETWORK(NIFTY Corporation)
m. [運用責任者] KT855JP
n. [技術連絡担当者] KS1046JP
n. [技術連絡担当者] YN917JP
p. [ネームサーバ] ns0.nifty.ad.jp
p. [ネームサーバ] ns1.nifty.ad.jp
y. [通知アドレス] jpnic-contact@nifty.ad.jp
[割当年月日] 1998/06/09
[返却年月日]
[最終更新] 2001/06/21 13:48:27 (JST)
ip-alloc@nic.ad.jp
61.121.100.105 79行目から93行目
Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 61.121.100.0
b. [ネットワーク名] NIFTY-SERVE
f. [組織名] ニフティサーブ ネットワーク(ニフティ株式会社)
g. [Organization] NIFTY SERVE NETWORK(NIFTY Corporation)
m. [運用責任者] YN006JP
n. [技術連絡担当者] KS1046JP
n. [技術連絡担当者] YN917JP
p. [ネームサーバ] ns0.nifty.ad.jp
p. [ネームサーバ] ns1.nifty.ad.jp
y. [通知アドレス] secretariat@nifty.ad.jp
[割当年月日] 2001/07/16
[返却年月日]
[最終更新] 2001/07/16 22:32:02 (JST)
ip-alloc@nic.ad.jp

29日 土曜日

午前2時52分 1昨日の不審アクセス

 今回のログ

28日 金曜日

午前1時44分 昨日の不審アクセス

 今回のログ

 15行目から39行目にかけてが、昨日書いた 重くなった時間帯のアクセスです。80番ポートから62000番代のポートにひたすらアクセスを繰り返しています。いわゆるDoS攻撃って奴なんでしょうか。40行目から47行目の 210.173.173.17 はニュースサイト『impress Watch』のドメインに対応しています。2度目なので、先ほどメールで報告しておきました。56行目でアクセス元アクセス先共に1524版ポートのアクセスがありますが、このポートのサービスである ingreslock を利用したトロイの木馬型のウイルスがあるようです。59行目の12345番ポートですが、冗談かと思ったらちゃんと予約されていました。サービス名は italk で、説明は Italk Chat System。なんと、日本人によって開発されたチャットシステムでした。詳しいことは http://www.italk.ne.jp/ を見ていただいたほうがいいでしょう。

27日 木曜日

午前1時47分 昨日の不審アクセス

 今回のログ

 このごろ突然重くなることが何度かあります。今日も12時過ぎに昔のアナログ回線のように重くなったのでログをチェックしてみると、その頃に大量のアクセスが記録されていました。今まではたいした負荷ではないのでほっといていましたが、そろそろ無視できなくなってきたようです。アクセス元は例の 61.211.232.88 です。あまりにもひどいので、実は昨日の日記のあとで改めてサポートへメールを送りました。今回もログデータ付きです。対処できるかどうかだけでも教えて欲しいと書いておきましたが、さてどうなるか。今のところは音沙汰無しです。

26日 水曜日

午前1時13分 080昨日の不審アクセス

 今回からタイトル変えます。ルータは不正アクセスとして処理していますが、必ずしも不正な手段でアクセスした結果とは限りませんので。たまたまアクセスしてしまった場合もしっかり記録されてしまいます。

 今回のログ

 4行目から27行目の 61.211.232.88 は言うのが嫌になりそうな旧『さくらインターネット株式会社』所有の www88.sakura.ne.jp です。ファイルがないのか設定でしているのかわかりませんが、普通にブラウザでアクセスしてもエラーになって何だかわかりません。偽装していないなら Apache 1.3.26 が動いています。42行目から83行目のアクセスは全てジオシティーズ所有のドメインです。踏み台にでもされたんでしょうか。間を空けて、172行目から再びアクセスが始まっています。

25日 火曜日

午前1時15分 1昨日の不正アクセス

 今回のログ

 久しぶりにしつこいのが。7行目から30行目の 61.211.232.88 は既に何度もアクセスをしてきている www88.sakura.ne.jp です。64480番と64481番って何があるんでしょうか。31行目からの 209.202.218.123 は一見少なく見えますが、実際には短時間に多数のアクセスをしています。招待は不明です。

24日 月曜日

午前1時53分 頭痛

 一昨日は久しぶりに頭痛になりました。なんとなく検索してみたら、どうやら筋緊張性頭痛のようです。早い話が睡眠不足やストレス肩こりなどが原因で筋肉に負荷がかかったために起こる頭痛だそうです。そういえば、前日は普段よりもパソコンの前に座って作業をしている時間が長かったような気が・・・。

 ついでに、頭の片方だけ(右側だけ?)が痛いからといって片頭痛とは限らず、だんだんひどくなるのは筋緊張性であって、片頭痛は急激に悶えるほどの痛みが起こって、苦しんでいるとそのうちにふっと直ってしまうとのことです。ちなみに、この痛みは死ぬほど激しいとか。経験したくはないものです。薬で収まるそうなので、片頭痛で悩まされている方は病院へ行ってみてもらいましょう。

午前1時50分 昨日の不正アクセス

 今回のログ

午前1時30分 一昨日の不正アクセス・・・

 今回のログ

 85行目でアクセスを受けている161番ポートは SNMP で、アクセスもとの2242番ポートは foliocorp というサービスに使われ、このサービスは Folio Remote Server と説明されています。詳しくは不明です。アクセス元ホストの 61.155.244.8 はチャイナテレコムのもので、SNMP でアクセスされる理由はないと思うのですが。100行目でアクセスされている100番ポートは kmscontrol というサービスで、KDE という X window system によるデスクトップ環境のコントロールパネル kcontrol(KDE コントロールセンター)の関係らしいです。

22日 土曜日

午前2時19分 昨日の不正アクセス

 今回のログ

21日 金曜日

午前1時44分 昨日の不正アクセス

 今回のログ

20日 木曜日

午前2時32分 昨日の不正アクセス

 今回のログ

 1行目から7行目にかけて12回も謎なアクセスをしている 61.195.55.1 ですが、持ち主を調べてみてびっくりです。ゲーム会社のスクエアでした。ドメインは DNS から引くことは出来ませんでしたが、HTTP でアクセスしてみると PlayOnline.com のトップページが。こういうことの連絡先が掲載されていないようですが、技術連絡担当者当てでいいのでしょうか。とりあえず様子みます。42行目から46行目の 61.121.100.105 は似不ティーのウェブサーバでした。46行目から61行目の 210.224.161.68 と 210.224.164.41 は、どちらも旧さくらインターネット株式会社。もうそろそろメールで送った結果を催促してもいい頃ですが、まだ音沙汰無しです。210.224.164.41 のほうは、いつも見に行ってるお絵描き掲示板サイトでした。ありえなくはないのですが、いきなり遭遇するとびっくりです。ここは連絡手段がないのですが、報告どうしましょう。

19日 水曜日

午前2時47分 昨日の不正アクセス

 今回のログ

 同一 IP アドレスからのアクセス最高記録。9行目から101行目にかけてと、114行目から139行目にかけて、210.81.151.236 からの大量アクセスです。調べてみると、持ち主はヤフージャパンで、ドメインは割り当てられていませんが、ジオシティーズのウェブサーバとして使われているようです。150行目に 65.33.152.105 から6112番ポートでのアクセスがありますが、サービス名は dtspcd とのことですが、CDE という X window system のグラフィカル環境のデスクトップ・サブプロセス・コントロールサービスのことだそうです。このサービスを担当するデーモンにはにはバッファー・オーバーフローによるセキュリティホールがあり、ルート権限でのリモートログインが可能になってしまうとのこと。CERT/CC によって2001年11月31日に最初の告知がされているので、現在のバージョンでは既に対処されているでしょう。このアクセスは、いつまでも古いバージョンのままにしているマシンを狙ったものであると思われます。ちなみに、CDE は重い上に邪魔なだけなのでインストールすらしていません。

18日 火曜日

午後4時42分 昨日の不正アクセス

 今回のログ

 1行目から3行目にかけて、210.153.89.137 が4回アクセスしている 4011番ポートは altserviceboot というサービスで使用されているとのことです。Alternate Service Boot(代替サービスの開始?)という説明がされていますがよくわかりません。この IP アドレスに対応するドメインは mail.geocities.co.jp で、これはジオメールの SMTP サーバです。でも、アクセスもとのポートは POP3 なんですよね。そもそも、なぜ SMTP サーバが POP3 サーバ(しかも存在するかどうかもわからない)にアクセスを試みるのかわかりません。バーチャルサーバでしょうか。

17日 月曜日

午前1時39分 昨日の不正アクセス

 今回のログ

 61.211.232.88 は相変わらず目的不明です。今回は、62854番と62855番のポートに交互にアクセスしています。75行目の 210.59.145.22 ですが、数時間後に7回連続で再度アクセスしています。ドメインは p2.kimo.com.tw で、アクセスしたら Yahoo のサーバにあるページにジャンプしました。

16日 日曜日

午前0時27分 昨日の不正アクセス

 今回のログ

 今回も連続しているところが多いことで。目立つところのドメインを調査。

  • 210.173.173.17 → www.watch.impress.co.jp
  • 210.173.173.16 → ngs.impress.co.jp
  • 210.81.151.236 → 不明(Yahoo Japan 所有)
  • 210.224.164.41 → 不明(さくらインターネット所有)
  • 61.211.232.88 → www88.sakura.ne.jp

 一番上は impress Watch のサーバです。下から2番目は DNS ではドメインが引けず、IP アドレスの所有者が 旧さくらインターネット株式会社であることが判明したのみ。一番下はいつものところです。

15日 土曜日

午前3時6分 梅雨入り

 静岡は数日前に梅雨入りし、今週は雨ばかりです。しかも、豪雨。今もすさまじい雨の音が轟々と家中に響いています。まあ、雷雨よりはマシですが。雷雨だとパソコンを使うのは怖くて、電源はもちろんあらゆるケーブル類を抜いてしまいます。

午前2時56分 昨日の不正アクセス

 今回のログ

 妙に ICMP でのアクセスが多いですね。いくつかドメインを調べてみましょう。

  • 80.133.158.139 → p50859E8B.dip.t-dialin.net
  • 80.142.191.73 → p508EBF49.dip.t-dialin.net
  • 217.82.201.82 → pD952C952.dip.t-dialin.net
  • 217.82.195.73 → pD952C349.dip.t-dialin.net
  • 205.171.13.34 → bur-edge-08.inet.qwest.net
  • 205.171.8.41 → lax-core-01.inet.qwest.net
  • 66.83.44.90 → 66.83.44.90.nw.nuvox.net
  • 62.211.49.127 → r-na057-8b127.tin.it

 一番多い上4つはドイツ最大王手のプロバイダらしいです。Google で検索してみたらあちこちにアクセスの痕跡とセキュリティ関係の情報が見つかりました。ドメインからはダイアルアップ接続であることが予想できます。

 TCP にも目立つものがあります。8行目から31行目にかけての 210.153.89.140・210.153.89.178・210.153.89.212 の3つがそれで、どれもジオシティーズです。どれも特定のポートにのみひたすらアクセスしているので、ポートスキャンと言うよりは攻撃に見えます。しかし、間隔が長めで回数も多くはないので、何かのネタにされたのかもしれません。210.153.89.140 のみアクセス元ポートが81番で、それ以外は 80番。81番ポートのサービス名は hosts2-ns で HOSTS2 Name Server と説明されていますが、何のことやらです。

14日 金曜日

午前2時3分 昨日の不正アクセス

 今回のログ

 さくらインターネット株式会社所有の IP アドレス(61.211.232.*)を持つ端末(サーバなのか PDA なのか 個人パソコンなのか不明なので)からのアクセスは減るどころか増えてます。報告もまだ来てませんが、メールが届いてから5営業日経った今月19日までは待ちます。

13日 木曜日

午前3時54分 syslog の設定

  COMSTARZ neo の syslog を FreeBSD で受け取って記録する方法の解説です。

 まず、syslog とはなにかですが、一言で言えば SYSTEM LOG、つまりシステムの状態や変化を記録するための仕組みです。この処理をするためには、情報を専用のアプリケーションに送ってやる必要があります。このアプリケーションは常駐させておく必要があります。FreeBSD では裏で地道に処理をするこういったアプリケーションをデーモンと呼びます。悪魔の意味ではなく、守護神のほうです。標準で多くのデーモンがインストールされていて、syslog の場合は syslogd がこれに当たります。今回の場合では、ルータである COMSTARZ neo が FreeBSD マシンに syslog メッセージを送り、待機している syslogd がファイルに記録していきます。

 まずは、COMSTARZ neo の設定を変更して、syslog メッセージの送り先を FreeBSD マシンにする必要があります。デフォルトでは自分自身になってしまうようです。ブラウザからの変更が出来ないので、telnet でコマンドによる変更をします。簡単な説明だけしますので、詳しくはリファレンスマニュアルを参照してください。技術サポートセンターから PDF 版がダウンロードできます。

sys set syslog host FreeBSD マシンのプライベート IP アドレス

 これで送り先が変更されます。ついでにファシリティの確認、必要なら変更をしてしまいましょう。ファシリティは私自身まだ良くわかっていないのですが、メッセージのレベルのようです。確認は次のコマンドで行います。

sys set syslog facility

 このコマンドの最後にファシリティの値(0〜23の数字)を追加すると変更が出来ます。ちなみに、COMSTARZ neo のデフォルト値は user を意味する 1 です。

 これで COMSTARZ neo のほうは終わりです。次に FreeBSD の設定変更をします。

 まずは syslogd が起動している必要があります。特にいじっていなければ大丈夫だとは思いますが、念のため確認してみましょう。

ps ax | grep syslogd

 何か表示された場合は起動しています。何も表示されない場合はまだ起動していませんので、/etc/rc.conf に syslogd_enable="YES" と書き加えてください。既にこの項目があって NO になっている場合は YES にするだけで、新たに追加する必要はありません。また、起動していてもしていなくても、syslogd_flags="-4 -n -a COMSTARZ neo のプライベート IP アドレス" と追加してください。この値は syslogd のオプションとして使われます。-4 は IPv4 のみを扱い、-n は DNS への問い合わせを止めて処理を軽くし、-a は その後ろの IP アドレスのマシン(今回は COMSTARZ neo)からの syslog メッセージを許可します。最後の -a についてはマニュアルに詳しく説明されています。

 /etc/rc.conf への記述ですが、等号の前後にはスペースを入れないでください。起動時にエラーが出る原因がわからず、1ヶ月以上悩んでいました。

 次に、syslogd の設定を変更して、COMSTARZ neo からの syslog メッセージを記録するようにします。設定ファイルは /etc/syslog.conf です。このファイルには ! で始まる行がいくつかあり、その中の最も上の行よりも上に次のように追加します。

COMSTARZ neo のファシリティの名前.*    記録するファイルのパス

 ファイルパスの前のスペースは水平タブで、半角スペースではうまくいかないことがあります。なお、パスで指定されたファイルは既に存在している必要があります。方法は何でもいいので、空のファイルを予め作って置いてください。

 これで再起動すれば指定したファイルに次々に記録されますが、そのままではファイルサイズが無限に増え続けてしまいます。出来ればサイズの上限を決めたり分割したいところです。このような処理をするためのツールが newsyslog です。このツールは /etc/newsyslog.conf を参照して、条件に応じてファイルを分割します。詳しいことはマニュアルを見てください。ちなみに、私は1週間ファイルを残すようにしています。この日記のために何度も参照するため、ファイルは圧縮せずにそのまま置いています。

 COMSTARZ neo は単独でも syslog を記録できますが、組み込み機器のため保存できるサイズは知れています。しかし、パソコンで受け取ることで長期にわたって記録することや、ちょっとしたスクリプトを書けば詳細なレポートを生成することも可能になります。それに、ルーターに限らず syslog はなかなか面白いものです。Windows しかわからないと言う方には、*Con をお勧めします。telnet で行う必要があった処理を GUI で出来るので便利です。

午前1時52分 昨日の不正アクセス

 今回のログ

 途中で設定変更による再起動をしたため、もしかすると抜けがあるかもしれません。何を変更したかについてはこの上の日記で書いています。

12日 水曜日

午前2時58分 昨日の不正アクセス

 今回のログ

 3行目からの 61.115.106.174 は同じプロバイダのダイアルアップ接続のようです。と言うことは、個人のパソコンからでしょうか。色々なポートから27822番ポートにのみアクセスをかけてます。特にこのポートを使用しているサービスはなさそうですが、何が目的なのでしょうか。3回アクセスしたらポート変更と言う機械的なアクセスなので、ツールを使っているかもしれません。これだけ見てもどこの誰かわかりませんが、プロバイダのログと比較すれば住所までわかるはず。やりすぎると逮捕される可能性があるのでほどほどに。

11日 火曜日

午後3時53分 昨日の不正アクセス

 今回のログ

 変わったことがない限りは解説はやめます。

 今まで何度も出てきている『さくらインターネット株式会社』ですが、合併により名称が『エスアールエス・さくらインターネット株式会社』に、ドメインが sakura.ad.jp に変更になっていました。不正アクセスなどの問合せ先が用意されていたためログとともにメールで報告したところ、担当部署に伝えたので後ほど返事を送るとのメールが翌日に送られてきました。不正アクセスやスパムの問い合わせが多いのは確かなようですが(問い合わせ案内のところに掲載されています)、サポートに関してはかなりいいようです。

10日 月曜日

午前1時7分 昨日の不正アクセス

 今回のログ

 1行目いきなりの SSH は台湾から。管理してるのも台湾人らしいです。6行目の TELNET はオーストラリアから。どうもオーストラリアが多いですね。20行目の 111番(SUN Remote Procedure Call)にアクセスしているのと、27行目と28行目の53番(Domain Name Server)は韓国。33行目からの 61.211.232.88 と51行目からの 61.211.232.145 はさくらインターネット株式会社です。前回のログでも同じドメインからアクセスがあります。ここはいったい何をやってるのか非常に気になります。

9日 日曜日

午前1時29分 昨日の不正アクセス

 今回のログ

 このところ、ほんと狙われてるという感じがします。ここに出てるのは全てブロックに成功したものだけなのですが、通してしまったものがある可能性は常に残るわけで、正直気持ちのいいものじゃありません。19行目と20行目の 208.191.23.165 はオーストラリアから。SMTP へのアクセスなので、スパム用に踏み台サーバを探している可能性があります。21行目の 65.199.239.125 も同じくオーストラリアから。SSH 狙いなので、操作ミスでなければ侵入目的の可能性が。32行目の 213.26.50.66 も SSH です。これもまたオーストラリア。妙にオーストラリアが多いです。50行目から60行目にかけて、210.81.210.210 から合計57回ものアクセスがあります。アクセス先の6970番ポートは特にサービスは決まっていないようですが、かなりこれは気持ち悪いです。調べてみたところ RealPlayer が使用しているようで、対応するドメインも stream.jvcmusic.co.jp とそれらしいものになっていました。実際この時間帯に使用していて、丁度23時30分に終了したので間違いないでしょう。連続しているからと言って、必ずしも攻撃目的とは限らないので判断が難しいです。再生用ポートを指定するように設定したほうがいいのかもしれません。61行目からは同じポートに何度もアクセスがありますが、今度こそ身に覚えがありません。ざっと対応するドメインを調べてみました。

  • 210.162.136.1 → alive.annie.ne.jp
  • 210.135.90.6 → www1.din.or.jp
  • 210.135.90.41 → cnt1.din.or.jp
  • 61.211.232.145 → www15t.sakura.ne.jp
  • 61.211.232.88 → www88.sakura.ne.jp

 下の2つは、またもや さくらインターネット株式会社 です。安くてもこれでは怖くて使えません。

8日 土曜日

午後4時24分 昨日の不正アクセス

 資料に使っているページが見れなかったので、公開を遅らせました。

 今までは last message repeated * times(* は任意の数字)という部分は削除していたのですが、内容が同じ場合に省略しているのだそうで残しておくことにします。エラーで同じデータが分裂したと言う意味かと思っていました。多いときには40とか60になるようです。その場合はほぼ間違いなくアタックをかけられているのでしょうね。

 今回のログ

 3行目の1080番が socks、8行目からの 211.123.57.98 は機能と同じポート開放チェックです。もう1度やったので。18行目から20行目の1287番ポートは特に使うサービスは決まっていないようです。21行目から25行目にかけて複数ポートに連続アクセスしている 203.174.71.5 は日本のフリーメールマガジン企業のようです。所有する IP アドレスは 203.174.71.0 から 203.174.71.255 まで。26行目と27行目でプリンタサーバにアクセスしようとしている 61.58.217.120 は台湾からで、管理は香港人1人と台湾人3人の模様。32行目で SSH クライアントから SSH サーバにアクセスしようとした 203.111.196.250 はシンガポールから、その下の33行目の 61.120.34.205 は国内で、DION のサブアロケーション。所有企業は株式会社ライトウェアです。

7日 金曜日

午前2時17分 昨日の不正アクセス

 今回のログ

 60行目から64行目にかけての 211.123.57.98(ns.furu.jp)ですが、いかにも狙ってます的なアクセスです。上から順に、メール受け取りの POP3、メール送信の SMTP、リモート操作の TELNET、Windows の共有サービスでも利用されている netbios-ssn(NETBIOS Session Service)、TCP/IP でMac のファイル共有を実現する afpovertcp(AFP over TCP)です。AFP は AppleTalk Filing Protocol の略です。この IP アドレスは OCN のサブアロケーション(箱に入って売られているものをばら売りするように、通常よりも小さな単位での割り振り)による物のようで、個人が所有しているようです。

 所有者の氏名とドメインから検索してみたところ、ドンピシャでフルカワ・システム・デザインが見つかりました。どうやら、ここで製作したシステムを使ってこちらで開放されているポートのチェック(早い話がポートスキャン)をしたときのログのようです。自分でやったのですが、ドメインが違ったので気がつきませんでした。

6日 木曜日

午前2時47分 昨日の不正アクセス

 今回のログ

 再び増えてます。しかもいつもより多いような気すらします。さらに、同じアドレスからの連続アタックが目立ちます。94行目の1524番ポートのサービス名は ingreslock で、ingres という説明がされています。調べてみたところ、Ingres というRDB のことらしいです。何でこんなのを狙うんでしょう。まあ、向こうにはこちらが企業か個人かなんてわからないのでしょうけど。

 調べていたら、クラッキング事件の記事を発見しました。ingreslock 1524 というクラッカー団体が存在するようです。サービス名とポート番号を組み合わせてるんですね。なぜこのサービスなのかは謎です。

午前2時18分 一昨日の不正アクセス・・・

 今回のログ

 これだけ少ないのは珍しいかも。ワールドカップの影響だったりするんでしょうか(笑)

 新しいことを始めたために時間が足りなくなってます。とりあえず解説は無しです・・・・。

4日 火曜日

午前1時24分 昨日の不正アクセス

 今回のログ

 今回は新入りがあります。3行目と4行目で53番ポートへのアクセスがありますが、調べてみたらサービス名は domain で、その説明は Domain Name Server となっています。どうやら、DNS サーバのためのポートのようです。ドメインの偽装でもしたかったのでしょうか。DNS サーバはプロバイダに頼っているので、内部にはありません。IP アドレス 210.162.136.8(ドメインは maui.annie.ne.jp)の持ち主を調べてみました。組織名が株式会社アニー、所有する IP アドレスは 210.162.136.0 から 210.162.137.0 。運営責任者は代表取締役の方で、会社紹介ページには写真もあります。企業としてはプロバイダ事業もやっているようですので、このアクセスはその関係からでしょう。

午前0時52分 ラジオから

 静岡ローカルですが、SBS1404.com というラジオ番組があります。内容はパソコン関係で、以前から良く聞いています。この番組ではメールや FAX での投稿が可能なので、数ヶ月前から積極的にメールでの投稿をするようになりました。そして、ついに昨日メールが読まれました。ラジオから自分が作った文章を読む声が聞こえてくるのは、何ともいえない不思議な気分です。そして、なかなかうれしいものでした。

 番組公式サイトをご覧になった方は気が付いたかもしれませんが、この番組はインターネット上でのストリーミング放送もしています。バックナンバーもありますので、ぜひ聞いてみてください。ちなみに、私のメールが読まれたのは冒頭コーナーの後です。昨日の分は明朝ぐらいには聞けるようになっているんじゃないかなと思います。

3日 月曜日

午前3時8分 昨日の不正アクセス

 今回のログ

 今回は比較的少ないです。だんだんマンネリになってきました。かといって大量アクセスとかされても嫌ですが・・・。

 1行目から何度かアクセスしている 210.224.164.41 ですが、調べてみたらさくらインターネット株式会社でした。所有 IP アドレスは、210.224.164.0 から 210.224.167.0 とのこと。またお前かと言った感じです。今回のログは、全体的に 211 で始まる IP アドレスが目立ちますが、韓国からのものが多いようです。多いようですといったのは、神奈川県の地域 IP 網も211で始まるとの情報を見つけたためです。噂によれば、CodeRed や Nimda のアクセスも韓国は多いとか。まあ、日本を含めてアジア全体が多いという話なんですが・・・。

2日 日曜日

午前1時18分 昨日の不正アクセス

 今回のログ

 1433番狙いが少なく、ほとんどが同じドメインと思われるアドレスからの大量アクセスです。異常な状態です。特に多いところの所属を調べてみることにします。IP アドレスの * は複数一致です。また、括弧の中は、このログにおけるアクセス数です。

  • 61.211.232.* (52回)→ さくらインターネット株式会社
  • 61.121.100.* (23回)→ ニフティサーブ ネットワーク
  • 61.25.*.* (30回)→ @Home Network Japan

 最初の2つは毎度お馴染みです。どうしようもないですね。で、最後の @Home Network Japan ですが、不正アクセスの多いところのようで、検索してみたらその手のところで複数見つかりました。しかも割り当てられた IP アドレスの範囲が広く、この他に 61.24.*.* と 61.26.*.* があるようです。感で http://www.home.ne.jp を開いてみると、ケーブル専用のサービスだから駄目だよと言うメッセージが表示されました。ロゴマークに見覚えがあるのですが、何でしたっけ・・・。

1日 土曜日

午前3時40分 毎日更新

 日記の更新記録をやめてから大分経ちますが、順調に日記は更新されています。面倒な作業をしなくてもすむというのは、非常に気が楽です。思いついたらすぐ書いてすぐ更新できると言うのもうれしい効果で、非常に身軽になれたという感じがします。

午前3時34分 昨日の不正アクセス

 今回のログ

 1行目と2行目の25番は、SMTPサーバのポートです。SMTP はメールの設定でよく出てくる有名なサービスです。このサービスはポストに当たるもので、メールを送信する場合はこのサーバがまず受け取ります。そして、同じサーバ(ドメインといったほうがわかりやすいかもしれません)に属するアドレス当てであれば自前の POP サーバに送り、他のサーバに属していれば外へと送り出します。最後の外に送り出すときにも SMTP が使われます。このアクセスは、スパムなどの踏み台に使えるサーバを探していると思われます。自宅サーバにはメールサービスが使えるようにする例が多くありますが、必要ないのと踏み台にされるのが嫌で全てのサービスを落としています。デフォルトでインストールされている Sendmail も起動していません。

 5行目に137番へのアクセスがあります。以前解説しましたが、NetBIOS Name Service です。Windows の共有サービスが有効になっていて、インターネットに対して剥き出しの場合は注意が必要です。場合によっては共有しているファイルを全部持っていかれることもありえなくはないのです。

 14行目から51行目にかけて、ジオシティーズサーバからのアクセスが連発しています。片っ端からと言う感じで、開いていると思われるポートばかりです。あそこは悪の巣窟ですか。

 1433番はもちろんですが、1080番と8080番へのアクセスが増加しています。じわじわと言った感じで、どこまで増え続けるのか怖い気がします。

午前2時51分 星界と Linux

 CalderaConectivaSuSETurbolinux の4社は、ビジネス向け Linux の推進を目的として、UnitedLinux という団体を結成しました。しかし、Linux 最大大手と言われる Red Hat はこれに加わっていません。

 既にニュースサイトなどでは発表済みのことですので、ご存知の方もいらっしゃるでしょう。そして、星界との共通点に気が付いた方もいらっしゃると思います。星界世界では、四ヶ国連合というものがありますね。先ほどの文章は次のように置き換えられます。

 人類統合体・ハニア連邦・拡大アルコント共和国・人民主権星系連合体の4国は、外的への対抗を目的として、四ヶ国連合を結成しました。しかし、人類世界最大国家と言われるアーヴによる人類帝国はこれに加わっていません。

 驚くほど似ています。特に意味はありませんが、久しぶりの星界ネタと言うことで・・・。