人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

お久しぶりです。
弊社サイトの一つのサーバで以下のイベントが発生しました。「そのホストから、そのホストの25番ポートへ接続しよう」としているわけです。
このイベントは私は初めて経験するので、記念にと言ってはナンですが、質問させていただきます。
「誰が何をしようとしているのでしょう?」

05/07/27, 10:57:56localhostns.x-fer.co.jpTCP256925Sen0着信方向の接続をブロックしています
------
05/07/27, 10:56:28localhostns.x-fer.co.jpTCP243125Sen0着信方向の接続をブロックしています

●質問者: Katuhisa
●カテゴリ:ビジネス・経営 コンピュータ
✍キーワード:co.jp いただきます お久 イベント サイト
○ 状態 :終了
└ 回答数 : 4/4件

▽最新の回答へ

1 ● aki73ix
●20ポイント

http://www.80code.com/feat_port25block-ja.htm

Port 25 Blocking対応

25番ポートはSMTPです

つまり、誰かがそのホストに繋いでメール送信で利用しようとしているわけです


考えられるのは、SPAMメールの送信の踏み台という可能性もありますし、個人利用であれば、社内の関係者の方が、メールサーバーのIPアドレスを間違えて設定したということもあります


ウィルスに感染したPCが、御社のPC情報を流用してメール送信しようとした可能性もあります

SMTPのHostを間違えてるわけですから、この線が高そうですね

http://www.x-fer.co.jp:8080/xferhpservlet?opcode=syagyou

localhost に接続してきているPCはns.x-fer.co.jpです

エクスファという会社のHOSTPCみたいですね

心当たりがなければ、問い合わせてみるのも良いかもしれません

◎質問者からの返答

申し訳在りません。説明不足が在りました。「localhost に接続してきているPCはns.x-fer.co.jpです」ではなく、ns.x-fer.co.jpに接続してきているPCは localhostです。

---

お書きの通り、SMTPのHostを間違えてるので、社内からより、社外からの可能性が高いと思っています。

つまり、踏み台にしようとか思っている。

----

なんだか、少しカワイゲを感じてしまいます。(不謹慎)


2 ● くまっぷす
●20ポイント

http://www.atmarkit.co.jp/fsecurity/column/ueno/32.html

@IT:25番ポートの攻防

質問内容と過去質問からはあなたがどこまで理解してらっしゃるかがいまひとつ理解できなかったので、基本的な話だけ。もしそんなの知ってるよ、ということであればすみません。

25版ポートはSMTP(Simple Mail Trasfer Protocl)のポートなので、何者かがそのホストをメールサーバとみなしてメール送信しようと試みています。イントラネットであればおそらくメールクライアントの設定ミスの可能性が高いですが、

http://www.casupport.jp/virusinfo/2004/win32_plexus_a.htm

ウイルス情報:Win32.Plexus.A

ウイルス(ワーム)がメールを送ろうとしている可能性もあります(このURLのワームはおりこうなのでむやみにメールサーバ以外のホストにつないだりはしませんが)。インターネットであれば、SPAM業者、ワーム、設定ミス…などいろいろな要因が考えられます。

◎質問者からの返答

ご回答ありがとうございます。

当該サーバへは、この件以外、結構な数のsmtp借用計画者がありまして、これらは堂々とIPを隠さずやってきます。

この件に関しては、localhost すなわち、127.0.0.1 な訳ですが、私の横に専用イベントウオッチ画面があり、キーボードレスです。

ワームにしては、短時間すぎますね。(攻撃時限設定型?)

DNS(host file 含む)をやられたのかな?


3 ● siigimaru
●20ポイント

http://www.brain-tokyo.jp/products/P2K/errlist3.html

???b?Z?[?W???i?P?R?O?O?P?`?j

URLは、意味ないかもです。

ちょい、情報が自分には足りなかったです。推測として下記が考えられます。


ns.x-fer.co.jp がSMTPの受信拒否をしていることでしょうか?

localhost がns.x-fer.co.jpにメールの配信をお願いしようとして、何らかの原因で拒否されているということですか。


簡単に想像できる原因は、


ns.x-fer.co.jpでメールハンドラ(sendmailとか)が動いていない(SMTPのHostを間違えてる?)

ns.x-fer.co.jpで動いているメールハンドラのセキュリティー設定で受信を拒否られているなどなどSMTPサーバの定義はメールクライアントで設定でえはと思います。

◎質問者からの返答

siigimaru 様

ご回答ありがとうございます。また、返信が送れまして大変申し訳在りません。

ns.x-fer.co.jp はサーバですが一般smtpはサービスしていません。ただ、別のG-IPからのsmtpには対応する様設定しています。この場合、localhost ではなく ***.x-fer.co.jp となるはずで、それまでは、そのようになっています。


4 ● aki73ix
●20ポイント

http://www.xucker.jpn.org/pc/currports_install.html

CurrPorts(TCP/IP監視ソフト) インストール ガイド

2回目です


> 申し訳在りません。説明不足が在りました。「localhost に接続してきているPCはns.x-fer.co.jpです」ではなく、ns.x-fer.co.jpに接続してきているPCは localhostです。

---

・・・・ということなら事情がちがいます

localhostというのはそのパソコン自身のことです

つまり、あるプロセスが、自分自身の25番ポートに接続しようとしているわけです


SSH Portフォワーディングやメールゲートウェイなどで、こういった処理をすることもありますが、そういう設定に心当たりがないのであれば、ウィルスやハッキングの可能性もあります


接続してしまった状態であれば、どのソフトがどのポートにアクセスしているかは、Windowsであれば、CURRPORTSというフリーソフトを使うと分かります


原因のプロセスを右クリックプロパティでチェックすることによって、単にメールソフトやメール監視ソフトの設定ミスかウィルスなのか分かると思います(あまりサーバーでメールソフトは使わないと思いますが)


ただ、この場合は遮断してしまっているので、このソフトでチェックするのは不可能です

ウィルスやSpywareを疑って一度スキャンをかけてみたほうがよいでしょう

http://www.atmarkit.co.jp/fnetwork/netcom/netstat/netstat.html

netstat - ホストのネットワーク統計や状態を確認する

下のイベントは、

TCP24 3125ということは 24番Portへ接続しているのでしょうから、24,25と連続でアクセスがあったのではないでしょうか?

24はちなみにAny Private Mail Systemです

順番にアクセスがあったことを考えると、ポートスキャンか何かが走った可能性もありますね


ウィルスが、感染したPCの脆弱性を調べるために自分自身にPortScanをかけてハッカーにその情報を送信するという可能性もあるわけです


サーバーがWindowsNT系や、LINUX系であれば netstatコマンドでインターネットへの接続状況が表示されます


ハッキングされている場合にはポートが空けられているはずなので手がかりになると思います

◎質問者からの返答

各種のご助言ありがとうございました。

また、質問に例示しましたログの項目内容とその区切りが明示されておらず、皆様にはご迷惑をおかけいたしました。

---

私なりに、もう少し精査してみたいと思います。

ありがとうございました。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ