お久しぶりです。

弊社サイトの一つのサーバで以下のイベントが発生しました。「そのホストから、そのホストの25番ポートへ接続しよう」としているわけです。
このイベントは私は初めて経験するので、記念にと言ってはナンですが、質問させていただきます。
「誰が何をしようとしているのでしょう?」

05/07/27, 10:57:56localhostns.x-fer.co.jpTCP256925Sen0着信方向の接続をブロックしています
------
05/07/27, 10:56:28localhostns.x-fer.co.jpTCP243125Sen0着信方向の接続をブロックしています

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2005/07/27 11:49:34
  • 終了:--

回答(4件)

id:aki73ix No.1

aki73ix回答回数5224ベストアンサー獲得回数272005/07/27 12:07:09

ポイント20pt

25番ポートはSMTPです

つまり、誰かがそのホストに繋いでメール送信で利用しようとしているわけです


考えられるのは、SPAMメールの送信の踏み台という可能性もありますし、個人利用であれば、社内の関係者の方が、メールサーバーのIPアドレスを間違えて設定したということもあります


ウィルスに感染したPCが、御社のPC情報を流用してメール送信しようとした可能性もあります

SMTPのHostを間違えてるわけですから、この線が高そうですね

localhost に接続してきているPCはns.x-fer.co.jpです

エクスファという会社のHOSTPCみたいですね

心当たりがなければ、問い合わせてみるのも良いかもしれません

id:Katuhisa

申し訳在りません。説明不足が在りました。「localhost に接続してきているPCはns.x-fer.co.jpです」ではなく、ns.x-fer.co.jpに接続してきているPCは localhostです。

---

お書きの通り、SMTPのHostを間違えてるので、社内からより、社外からの可能性が高いと思っています。

つまり、踏み台にしようとか思っている。

----

なんだか、少しカワイゲを感じてしまいます。(不謹慎)

2005/07/27 12:22:28
id:Kumappus No.2

くまっぷす回答回数3784ベストアンサー獲得回数1852005/07/27 12:27:13

ポイント20pt

質問内容と過去質問からはあなたがどこまで理解してらっしゃるかがいまひとつ理解できなかったので、基本的な話だけ。もしそんなの知ってるよ、ということであればすみません。

25版ポートはSMTP(Simple Mail Trasfer Protocl)のポートなので、何者かがそのホストをメールサーバとみなしてメール送信しようと試みています。イントラネットであればおそらくメールクライアントの設定ミスの可能性が高いですが、

ウイルス(ワーム)がメールを送ろうとしている可能性もあります(このURLのワームはおりこうなのでむやみにメールサーバ以外のホストにつないだりはしませんが)。インターネットであれば、SPAM業者、ワーム、設定ミス…などいろいろな要因が考えられます。

id:Katuhisa

ご回答ありがとうございます。

当該サーバへは、この件以外、結構な数のsmtp借用計画者がありまして、これらは堂々とIPを隠さずやってきます。

この件に関しては、localhost すなわち、127.0.0.1 な訳ですが、私の横に専用イベントウオッチ画面があり、キーボードレスです。

ワームにしては、短時間すぎますね。(攻撃時限設定型?)

DNS(host file 含む)をやられたのかな?

2005/07/27 12:51:28
id:siigimaru No.3

siigimaru回答回数556ベストアンサー獲得回数52005/07/27 14:42:17

ポイント20pt

http://www.brain-tokyo.jp/products/P2K/errlist3.html

���b�Z�[�W�ꗗ�i�P�R�O�O�P�`�j

URLは、意味ないかもです。

ちょい、情報が自分には足りなかったです。推測として下記が考えられます。


ns.x-fer.co.jp がSMTPの受信拒否をしていることでしょうか?

localhost がns.x-fer.co.jpにメールの配信をお願いしようとして、何らかの原因で拒否されているということですか。


簡単に想像できる原因は、


 ns.x-fer.co.jpでメールハンドラ(sendmailとか)が動いていない(SMTPのHostを間違えてる?)

 ns.x-fer.co.jpで動いているメールハンドラのセキュリティー設定で受信を拒否られているなどなどSMTPサーバの定義はメールクライアントで設定でえはと思います。

id:Katuhisa

siigimaru 様

ご回答ありがとうございます。また、返信が送れまして大変申し訳在りません。

ns.x-fer.co.jp はサーバですが一般smtpはサービスしていません。ただ、別のG-IPからのsmtpには対応する様設定しています。この場合、localhost ではなく ***.x-fer.co.jp となるはずで、それまでは、そのようになっています。

2005/07/29 22:26:21
id:aki73ix No.4

aki73ix回答回数5224ベストアンサー獲得回数272005/07/28 16:13:07

ポイント20pt

http://www.xucker.jpn.org/pc/currports_install.html

CurrPorts(TCP/IP監視ソフト) インストール ガイド

2回目です


> 申し訳在りません。説明不足が在りました。「localhost に接続してきているPCはns.x-fer.co.jpです」ではなく、ns.x-fer.co.jpに接続してきているPCは localhostです。

---

・・・・ということなら事情がちがいます

localhostというのはそのパソコン自身のことです

つまり、あるプロセスが、自分自身の25番ポートに接続しようとしているわけです


SSH Portフォワーディングやメールゲートウェイなどで、こういった処理をすることもありますが、そういう設定に心当たりがないのであれば、ウィルスやハッキングの可能性もあります


接続してしまった状態であれば、どのソフトがどのポートにアクセスしているかは、Windowsであれば、CURRPORTSというフリーソフトを使うと分かります


原因のプロセスを右クリックプロパティでチェックすることによって、単にメールソフトやメール監視ソフトの設定ミスかウィルスなのか分かると思います(あまりサーバーでメールソフトは使わないと思いますが)


ただ、この場合は遮断してしまっているので、このソフトでチェックするのは不可能です

ウィルスやSpywareを疑って一度スキャンをかけてみたほうがよいでしょう

http://www.atmarkit.co.jp/fnetwork/netcom/netstat/netstat.html

netstat - ホストのネットワーク統計や状態を確認する

下のイベントは、

TCP24 3125ということは 24番Portへ接続しているのでしょうから、24,25と連続でアクセスがあったのではないでしょうか?

24はちなみにAny Private Mail Systemです

順番にアクセスがあったことを考えると、ポートスキャンか何かが走った可能性もありますね


ウィルスが、感染したPCの脆弱性を調べるために自分自身にPortScanをかけてハッカーにその情報を送信するという可能性もあるわけです


サーバーがWindowsNT系や、LINUX系であれば netstatコマンドでインターネットへの接続状況が表示されます


ハッキングされている場合にはポートが空けられているはずなので手がかりになると思います

id:Katuhisa

各種のご助言ありがとうございました。

また、質問に例示しましたログの項目内容とその区切りが明示されておらず、皆様にはご迷惑をおかけいたしました。

---

私なりに、もう少し精査してみたいと思います。

ありがとうございました。

2005/07/29 22:37:43

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません