Macの簡易ファイヤーウォールのログの読み方 - Macintosh - 教えて！goo

クラッキング対策ファイナルガイド
http://www.seshop.com/detail.asp?pid=16
今はずいぶん安く買えます。
http://www.amazon.co.jp/exec/obidos/ASIN/4881357 …

その第二版の、
Linux 版 クラッカー迎撃完全ガイド レビュー
http://www.linux.or.jp/bookreview/BR34.html

私の場合はこの二冊を読んだことで、かなり実り高い勉強ができました。
（とはいえまだまだなんですが）

将来とっぴょうしも無いテクニックが現れないうちは、基本的な侵入と防御の王道はこれらの本でだいたいわかった気になれました。

sable78 さんの場合はもうすでにかなりわかっていらっしゃる方ですので、ネットクラフトのチェックでこのサーバーはおかしい、と気付いた時点で、すぐにサーバー管理者へ連絡してあげるのがよいのではないでしょうか。

通報する

＞わかっているものについては全部サービス拒否しています

あれあれ、事前にちゃんとご注意されていたんですね！
にもかかわらずUDP137番に接続試行が実施されたのは確かに不思議ですよね！！
137番ポートはウエルノウンポートなので、黙っていたらNetBIOSになりますが、
もしかするとsable78 さんが不正侵入を拒否するために他のサービスのポートを
知らず知らず137に変更設定した…とかがないか、自分の設定の詳細をチェック
してみないと気持ち悪そうですね。

私もOSXのユーザーではないので、「簡易ファイヤーウォール専用書式？」の
読み方についてはよくわからない状態です…
一番注意を要するのは、Attempt to の解釈が、ポートが開いているから接続
試行の結果確実に侵入成功しているのか、ポートスキャンでノックだけされた
ことをAttempt to と表示するのか？、その辺ですよね…

ヘルプに読み方の詳細が載っていませんか？


私個人的には、ステルスモードにしているのにばれてしまった、というのが
何の意味なのか自分の受取りが間違っているのかわからなくて怖いですので
ちょっとよく勉強したいと思います。
（私もマックをはじめとしてセキュリティも勉強中の身の上で生半可な知識
しかありませんのですみません…）

＞もしそうであるなら、大変なことでじゃないでしょうか。
＞それとも、そんなことはよくあることなんでしょうか？

そうですねえ、去年かおととしに静岡新聞社などのWindowsサーバーが乗っ
取られてしまったのはまだ記憶に新しいですよね。
http://uptime.netcraft.com/
ネットクラフトのサービスで、調べたいサーバーのIPアドレスを入れると、
何の種類のサーバーなのかが簡単にわかりますので試してみてください。

この話題は、ここのカテゴリーでは早々に打留めになされて、「コンピューター
（技術者向け）＞ネットワークセキュリティ」のカテゴリーで再投稿されるのが
一番よろしいかと思います。

通報する

No.3です。

すみません、見落としていました。1. は "Deny" とありますね。
Macは相手の接続要求を拒否しているのでこのタイミングで侵入されていることは
ありません。
No.2 で侵入されたか判断出来かねると申し上げてしまいましたが、
訂正させて下さい。失礼致しました。。

通報する

こんばんは。
分かる範囲で回答出来ればと思いましたが、私はMac使いではありませんので
間違いでしたらどうぞご容赦下さい。

1.は 220.221.139.*** (Port:1546) が ppp0 を介して
220.221.33.*** (Port:135) へのアクセスを試みています。

2.は 83.16.82.** (Port:60685) が
220.221.33.*** (Port:137) へのアクセスを試みましたが、
お使いのMacがステルスモードで動作しているので、これに対する返答は
しなかったという意味だと思います。

詳細は割愛しますが、TCPの135番やUDPの137番は侵入口として非常によく狙われるポートです。
実際に侵入されたかどうかはここから判断出来かねますが、アクセス元のIPに
見覚えが無ければ相手が不正侵入を試みたものと判断して良いでしょう。

気になったのですが、このMacはもしかするとルータを使わないで直接
インターネットに接続されていませんか？
（根拠は 1.で Mac が ppp 接続していることと、1.と2.でグローバル
　IPからアクセスされていることです）

適切に設定されたルータは外部からの不正侵入を大幅に減らしてくれます。
もし導入されていないようなら5,000円程度のもので構いませんので、
是非検討して下さい。

通報する

こんにちわ
なかなかレスがつかないですね^^;
私はまだOSXじゃなくて古いOS9派なのですが、油断できないWindows98がLANに
混じっているので、自分のルータ−のログを時々点検して排除と受け入れの状況を
見たり、
産業経済省の「コンピューターウイルス／不正アクセスの届け出状況」
http://www.meti.go.jp/press/index.html
↑関係ない情報がたくさんありますが、月に一回ずつ、ウイルス／不正アクセス発
表が入りますので見落とせない信用のおける貴重情報です。

情報処理推進機構の不正アクセス情報
http://www.ipa.go.jp/security/index.html
ここは専門なんですが、ちょっとウインドウズの情報に片寄り過ぎている感じも
なきにしもあらずですが、不正アクセスの一般論を知るのに助かるサイトです。

・・・などを眺めるようにしています。

1.　ipfw: 12190 Deny TCP 220.221.139.***:1546
220.221.33.***:135 in via ppp0

OSXの簡易ファイヤーウォールに特化したことは私はわからないのですが、一般論
として、質問者さんの1546ポート（セキュリティ系サービスabbaccurayのポート
だそうですが、そもそもabbaccurayって何なんだか私も誰かに補足していただける
と嬉しいです）
http://www.fortigate.jp/portNo/port1500-1699/ind …
に、モデムのppp接続でやってきた訪問者が却下された記録ではないかと思います。

2.　ipfw: Stealth Mode connection attempt to UDP 220.221.33.***:137 from 83.16.82.**:60685

これはステルスモード（他人に知られないモード）になっているはずの質問者さん
が、なぜか83.16.82.**の60685という誰も使わないポートを利用した人物かロボット
動作のマルウエアから、質問者さんの137ポート（NetBEUIが使うポート）をノックさ
れたことを示しているんだと思います。
（お使いのMacで、Windowsの旧式のNetBEUI,NetBIOSを使うサービスが動作してい
るんでしょうか？）

ノックされて侵入？したけれど、そこに撹乱しようとした目的物がなかったので、引
き揚げたかもしれません。
83.16.82.**:60685のアクセス記録がたくさんあるようでしたら、こいつは拒絶のリスト
に入れてしまったほうがいいかもしれないですね。

というか、ステルスモードって、もう信用できない手法になってしまったんでしょうか…

ポートはウエルノウンポート以外に、最近の新しいサービスでどんどん埋まってきて
いるので、このような資料（これは草の根資料なので絶対の信頼ではありませんが）など
を適宜調べてみて、何の目的なのかチェック推理してみてください。
http://www.geocities.co.jp/SiliconValley-Cuperti …

私のログは、ほとんどが、チャット目的に1026と1027のポートを膨大にノックされて
いる記録が延々と続いています。
チャットを実際にやっていたら相当うんざりしそうです^^

でも、時々何の目的なのかポート番号では判別がわからない執拗なノックがあったりし
てちょっと警戒します。
ところが、冒頭の「コンピューターウイルス／不正アクセスの届け出状況」に載っていて
も、「何を目的にした不正アクセスか不明」と報告されていたりして無気味です…。

定期的にこれらの情報を眺めてみるようにしてみてください。

通報する

１は単純に220.221.139.***:1546からのアタックを拒否したことを示して２はステルスモードになっているが進入を試みられたことを示しています。

通報する