このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

ASIP、1080/tcp Socksへのスキャンについて質問

発言者:今泉克美
( Date Monday, March 12, 2001 17:35:23 )


この二日間
中国と台湾から似たようなPORTスキャンがきています。
中国 CHINANET Guangdong province network と
台湾 Chunghwa Telecom Data communication Business Group と、からです。

手口が、他とは異なり、このふたつだけはそっくりなので
同じ人かな?と思います。

1080/tcp (SOCK)に対するスキャンをしつこくおこなったあと
おもむろに
8080/tcp (HTTP)に対するスキャンをしていきます。

ASIPのHELPを見る限り
1080番のPORTはサーバでは使われていないようなのですが。

そこで、ご質問させてください。
1:サーバで使われていないPORTでスキャンされることに
どのような心配がありますでしょうか?
2:8080番は、以前やられたとき、やたらサーバがおそくなった
ようなのですが、いったい何をしかけてきているのでしょうか?

単純に、サーバをおとしてやれ!というものなのかどうか。。

みうら さんからのコメント
( Monday, March 12, 2001 19:37:08 )

東南アジアからのスキャンは当社にも頻繁に来るようになりました。
実際 BIND も落とされましたし・・・(T.T)

1080/tcp、8080/tcp はどちらも PROXY ですね。

> 単純に、サーバをおとしてやれ!というものなのかどうか。

落とされるだけならまだ良いんですが、PROXY を探す理由として、他のサイトを攻撃する
ための踏み台を探しているとか、或いは Socks を叩いてローカルの端末にアクセスするとか
いろいろ考えられますね。
今泉克美さんの所では、Port 1080,8080 どちらも開けていないのでしたら、そんなに
気にすることはないのでは。

今泉克美 さんからのコメント
( Monday, March 12, 2001 20:59:17 )

ご回答ありがとうございます!
PROXYですね。調べます。
助かりました。

今井真人 さんからのコメント
( Tuesday, March 13, 2001 07:34:32 )

私のところのUNIXサーバも、延々とスキャンを受けています。やっぱり台湾
が多いですね。

今泉克美 さんからのコメント
( Wednesday, March 14, 2001 16:37:52 )

3128もきました。(PROXY)
1080と8080と3128はトリオで試されるとのこと。
プロキシを探しに来ています。
3128などはプロキシ間で使われるPORTなんだそうで。
便利な串が見つかれば、利用しほうだいってことらしいです。

3128はIANAにはのってませんよね。

そこで。

http://www.snort.org/Database/portsearch.asp
で検索すると出てきます。

先月来、私のところに
スキャンで
11000
と
12345
もきていたんですが
IANAでは見当つかなくて
なーに?と思っていましたが
検索したらたまげました。
トロージャンとかそういうの。
うわーーー、て感じでした。