CLSCAN
For Your Information Page
サービスと、そのサービスに対して想定される可能な攻撃および危険性を説明 します。
アラートクラス
サービス名ポート/プロトコル攻撃の可能性
ftp21/tcp
  • ftpサーバの設定ミスによるシステムファイル取得
  • WU-FTPD の脆弱性 [ CA-99-13 (JPCERT/CCから) (CERT/CCから) ]
  • FTPバウンス攻撃 [ CA-97.27 (JPCERT/CCから) (CERT/CCから) ]
    • ssh22/tcp
  • SSH Communications Security の SSH 3.0.0 (Unix 版) の認証エラー [ JPCERT/CC緊急報告 ]
  • SSH CRC32 バッファオーバフロー [ CA-2001-35 ]
    • telnet23/tcp
  • リモート端末からの不正ログインの試み
    • domain53/tcp
  • Bindのもつ各種脆弱性に対する攻撃 [ CA-99-14 (JPCERT/CCから) (CERT/CCから) ] [ CA-98.05 (JPCERT/CCから) (CERT/CCから)
  • named サーバプログラムを悪用したアタック [ JPCERT/CC緊急報告 ]
    • linuxconf98/tcp
  • linuxconfへアクセスしlinuxのコンフィグレーションを変更する
    • pop2109/tcp
  • POPアカウントへの探査
  • ipop2dの脆弱性に対する攻撃 [ CA-97-09 (JPCERT/CCから) (CERT/CCから) ] (ipop3d、imapも参照のこと)
  • IMAP から POP2 への変換サーバプログラムについて [ JPCERT/CCの緊急報告 ]
    • pop3110/tcp
  • POPアカウントへの探査
  • ipop3dの脆弱性に対する攻撃 [ CA-97-09 (JPCERT/CCから) (CERT/CCから) ](ipop2d、imapも参照のこと)
  • Qpopperへのバッファーオーバフロー攻撃 [ 関連ドキュメント ]
    • sunrpc111/tcp
  • ネットワークファイルシステム NFS への各種攻撃
  • Sun Solstice AdminSuite Daemon sadmindへのバッファフロー攻撃 [ CA-99-16 (JPCERT/CCから) (CERT/CCから) ]
  • オートマウントデーモン amd へのバッファフロー攻撃 [ CA-99-12 (JPCERT/CCから) (CERT/CCから) ]
  • RPCコマンドデーモン rpc.cmsd へのバッファオーバーフロー攻撃 [ CA-99-08 (JPCERT/CCから) (CERT/CCから) ]
  • statdとautomountdの脆弱性 [ CA-99-05 (JPCERT/CCから) (CERT/CCから) ]
    statd サーバプログラムを悪用したアタック [ JPCERT/CC緊急報告 ]
  • マウントデーモン mountd へのバッファオーバーフロー攻撃 [ CA-98.12 (JPCERT/CCから) (CERT/CCから) ]
  • ToolTalk RPCサービスの脆弱性 [ CA-98.11 (JPCERT/CCから) (CERT/CCから) ]
    • imap143/tcp
  • いくつかのIMAPサーバ実装に対してのバッファオーバフロー攻撃 [ CA-98.09 (JPCERT/CCから) (CERT/CCから) ]
  • imapの脆弱性に対する攻撃 [ CA-97-09 (JPCERT/CCから) (CERT/CCから) ](ipop2d、imapも参照のこと)
    • linux_mountd635/tcp
  • マウントデーモンに対する攻撃で、マウントデーモン mountd へのバッファオー バーフロー攻撃と同じ [ CA-98.12 (JPCERT/CCから) (CERT/CCから) ]
  • RedHatからの 関連情報
    • ms_sql_s1433/tcp
  • Microsoft SQL Server Version 7.0 の脆弱性に対する攻撃
    • rpcbind32773/tcp
  • Sun Solarisのrpcbindの脆弱性に対する攻撃 [ CERT* Vendor-Initiated Bulletin VB-97.03 ]

    • ワーニングクラス
    ワーニングクラス
    サービス名ポート/プロトコル攻撃の可能性
    smtp25/tcp
  • Spam中継可能なsmtpを探索
  • Sendmail 8.8.3 and 8.8.4 に対するバッファオーバーフロー攻撃 [CA-97.05 (JPCERT/CCから) (CERT/CCから) ]
    • httpd80/tcp
  • Code Red ワーム ( JPCERT/CCの緊急報告 )
  • Webサーバのコンテンツを探すサーチーロボットの可能性がある
  • Webサーバへの各種攻撃 ( JPCERT/CCの技術メモ )
  • MS Data Access Components (MDAC)の脆弱性からを使ってのIIS Webサーバの乗っ取り [ IN-99-08 (JPCERT/CCから) (CERT/CCから) ]
  • マイクロソフトIISサーバへのバッファーオーバーフロー攻撃 [ CA-99-07 (JPCERT/CCから) (CERT/CCから) ]
  • マイクロソフト Windows 95/98のWebサーバへの攻撃 [ CA-98.04 (JPCERT/CCから) (CERT/CCから) ]
  • CGI BINコマンドの脆弱性への攻撃 [ CA-96.11 (JPCERT/CCから) (CERT/CCから) ]
  • CGI BINコマンドのサンプルコードへの攻撃 [ CA-96.06 (JPCERT/CCから) (CERT/CCから) ]
    • netbios_ns
    netbios_dgm
    netbios_ssn     		137/tcp
    138/tcp
    139/tcp
  • W32/BugBear [ (シマンテックから)]
  • 911 wormと呼ばれるWindow 98で感染するワーム [ IN-2000-03 (CERT/CCから) ]
  • マイクロトレンドからの 911 WORMの関連情報
  • 保護していないネットワーク共有への不正な接続 [ IN-2000-02 (CERT/CCから) ]
    • netbios 139/tcp (特に139/tcpに対する注意) Windows 2000を除く、 Windows NT 4.0、Windows 95、98、98 Second Edition と Windows Me に 対するDoSアタック。 関連情報
    microsoft-ds 445/tcp
  • Microsoft Windows 2000 のIraqiWorm [ IN-2002-06 (CERT/CCより)]
  • Windows 2000特有の脆弱性に対してDoS攻撃をしている。関連情報
    • socks1080/tcp
  • Sockへの接続ミス(相手先アドレス違い)
  • WinGate の脆弱性への攻撃 [ VN-98.03(CERT/CCから)]
  • 設定ミスにより外部へオープンしてしまったプロキシーの不正利用
    • Microsoft SQL Server 1434/udp
  • W32/SQLSlammerワーム [ JPCERT-AT-2003-0001 (JPCERT/CCから)] [ CA-2002-22(CERT/CCから)]
    • squid3128/tcp
  • Webサーバのコンテンツを探すサーチーロボットの可能性がある
  • オープンプロキシーを探索
    • regapi_dll3389/tcp
  • MS Windows NT Terminal Server 4.0のバッファオーバフロー [ Vulnerability Note VU#570330 ]
    • dtspcd6112/tcp
  • Solarisの CDE 関連デーモン (dtspcd)の脆弱性 [ CA-2002-01 ]
    • wwwproxy8080/tcp
  • Webサーバのコンテンツを探すサーチーロボットの可能性がある
  • オープンプロキシーを探索

    • その他

     一般には問題ないが特殊な状況では危険でありうるようなスキャン。トロイの 木馬あるいは古い脆弱性、あるいは非常にマイナーなシステムに関するものが 多い。
    その他
    サービス名ポート/プロトコル攻撃の可能性
    SubSeven1243/tcp
  • subsevenというWindows上で動作するトロイの木馬がインストールされて いて、かつ稼働している場合、そこに接続しようとする。 関連情報
    • NFS2049/tcp
  • 設定ミスで外部にまでオープンされているNFSがあるかを探している。
  • 古いNFSの脆弱性
    • The "cheese" Worm10008/tcp
  • The "cheese" Wormと呼ばれるLinuxワームの1種が使うバックドアのポート。 Li0n Wormも同じポートを使う。 [ IN-2001-05 (CERT/CCから) ]
    • NetBus12345/tcp
  • NetBusというWindows上で動作するトロイの木馬がインストールされて いて、かつ稼働している場合、そこに接続しようとする。 NetBusはBack Orificeによく似ているので、 Back Orifice が参考になる。
    • BackDoor-G27374/tcp
  • BackDoor-GというWindows上で動作するトロイの木馬がインストールされて いて、かつ稼働している場合、そこに接続しようとする。このポートは デフォルトポートである。BackDoor-Gはコンフィグレーションでポートを変更できる。 関連情報
    • Hackatack31789/udp
  • HackatackというWindows上で動作するトロイの木馬がインストールされて いて、かつ稼働している場合、そこに接続しようとする。 Hackatackは31789/udpだけでなく31785/tcp、31791/udpも利用する。
    • $Id: whatisthis.html,v 1.23 2003/02/03 01:33:43 hironobu Exp hironobu $