コンソールのmail.logの内容

Kawabeさん、どうもありがとうございます。
＞NAVは全く関係はなさそうですが。（17:00:01のログは、単なるAutoUpdateの起動です。）

実は、このmail.logのあとにもmail.logが記録されていてその時のsystem.logを調べるとやはりNAVがあったので単純にNorton AntiVirusがUpdateする時postfixが関係するものだと思ってしまいました。
＞AutoUpdateはcronとして登録されるので、出力はローカルmailとして通知されるだけのことです。
この「出力」は私が自分で出力をローカルmailとして通知するようにしなくてもシステムか何かが勝手（自動的に）に行っているということですよね。（私自身はローカルmailとして通知するようにした覚えは全くないので）
＞確かにFrom/To:PDJで何らかのプロセスがメールを出そうとしていますが、あくまでローカルmailですし、私にはさほど危険性があるようには見えませんけど。
このプロセスがわかれば一番良いのですが、危険性がなさそうとのことで少し安心しました。あとは安食さんのご指摘が気になります。
安食さんへ＊＊＊＊＊
＞ノード 211.121.200.189 は、不正／無効なIPパケット送出元として頻繁に利用されている模様。登録上のドメイン所有者はＯＤＮであるが、IPアドレスはSo-netです。
この根拠を教えて頂けたらと思います。どこかのブラックリストにでも載っているのでしょうか？それともlogか何かからわかるのでしょうか？不正／無効なIPパケット送出元として利用されている→この時私のpostfixがサーバとして不正利用されているという意味なのでしょうか？
添付ファイルも受け取った覚えがなく、怪しげなサイトへ行った覚えもなく、Winnyも使ったことがなく、インストールしたソフトと言えばセキュリティソフトとブラウザと現在は使用していないメールソフトだけです。NAVのスキャンをしても検出ゼロです。
もし何か不正なソフト、ウィルスによって実際、不正／無効なIPパケット送出元となっているならば、その感染経路（ウィルスならば）を今後のためにも、できれば知りたいと思います。
「不正／無効なIPパケット送出元」となっていると思われる根拠、自分のPCにどのような症状が表われた時にそのように判断したら良いのか、もし事実であれば即刻、それをストップさせないといけませんし、その後、感染経路等調べてほしい（←安食さんにという意味ではないのでご安心を）と思っています。どうか、根拠を教えて下さい、宜しくお願い致します。
　

安食さん、
＞ノード 211.121.200.189 は、不正／無効なIPパケット送出元として頻繁に利用されている模様。登録上のドメイン所有者はＯＤＮであるが、IPアドレスはSo-netです。
上記の件、セキュリティソフト会社の方や、このIPアドレスの持ち主であるプロバイダーさん等に急いで聞いてみました。
私のPCでの確認方法がわからないので、プロバイダーさんの持っている私の通信ログからそのような兆候がでていないかどうか聞いてみたところ、私は現在ダイヤルアップ接続で接続の度にIPが変わるので「不正／無効なIPパケットが送信されていたとしても、それだけでは、お客さまから送信されたとは断定することはできません。」との回答を頂きました。私が今手元にあるログを調べても私にこのIPアドレスがプロバイダーから割り振られていたのはこのmail.logにあるように１０月１３日の特定の時間帯のみでした。しかし安食さんの「頻繁に」の言葉からは決して一時的なものではないような感じも受けます。
　そうなると、不正／無効ＩＰパケットの送出元となっているのは私ではなく、プロバイダーからこの　211.121.200.189　を割り振られた人がそのような送出元になっている（そのようなことが可能なのかどうかわかりませんが）という事でしょうか？プロバイダーさんはセキュリティソフトでスキャンしても何も検出されなければ私自身がそのような送出元になっている可能性は非常に低いとも言われました。
　こうなるとますます安食さんの根拠をお聞きしたいですし、事実が確認できればすぐにストップさせなければなりません。
　ご出張、ご多忙、何かの理由でPCの接続が出来なくなった等、いろいろご事情はあるのかもしれませんが、もしかして安食さんご本人の身に何かあったのではないか（病気、怪我）と心配にもなってきました。ご本人はお元気であると祈りつつご回答お待ちしております。
　

＞Oct 13 16:43:09 *** configd[37]: setting hostname to "p79c8bd.packjt00.ap.so-net.ne.jp"
Sharing (日本語版OSでは「共有」？？）の"Computer Name.local"がここのsetting hostnameに反映されていないので腑に落ちません---Oct 13 18:31:40でも同様。ところがOct 13 17:29:01／Oct 13 18:33:13の時点で認識されています。その間にSymantecの製品（Anti-Virus app？）コンポーネントが起動しています。
正常に運用されているならmail.logにはログがでないと認識していましたが．．．
それに、message-id=のパラメータもオカシイです。”20061013081628.xxxx.貴殿のアカウント名@xxx.so-net.ne.jp”でああれば、納得できます。20061013081628は日時を示しています。
何らかの理由でシステムの内部が正しく働いていないように思えます。Postfixのheaderやbodyチェックはmalwareからのflooding被害を防ぐように設計されているようですから、それらが原因ではないように考えられます。少なくともソフトウェアによるものか構成ミスによるものか切り分けした方がよいかもしれません。
「不正／無効なIPパケット送出元として頻繁に利用されている模様」に関するご質問ですが、以前、別のスレッドでURLサイト例をご案内いたしましたけど．．．。当該ノードはso-netのメールサーバではありません。いろいろな会員（逆引きコードから推測すると、たぶんADSL会員用のノード）の方々がDHCPサーバからアサインされたこのノードを利用します。それらのユーザ中には、TCP/1025,1026番ポートなど利用するリモートコードやTCP/113番ポートを利用するmalwareなどを仕組まれる人々が大変多いことです。これらは、destination側攻撃ポートとしてTCP/135,139,445を選ぶ傾向が多いです。大半はWindowsユーザですが、脆弱性を放置したままのMac OS X 10.3シリーズやP2Pソフトを運用して、無効なパケットを飛ばすマックユーザもおります。
別スレッドの最後のセッションでは貴殿にご返事をとうとう出さず仕舞、小生の悪い性格です。日本も米国（複数ベンダー）サイトもディスカッション・フォーラムは１年近くも滞っています。コンピュータから離れる時間が増えています。

>Sharing (日本語版OSでは「共有」？？）の"Computer Name.local"がここのsetting hostnameに反映されていないので腑に落ちません---Oct 13 18:31:40でも同様。ところがOct 13 17:29:01／Oct 13 18:33:13の時点で認識されています。その間にSymantecの製品（Anti-Virus app？）コンポーネントが起動しています。
トピ主さんはPPPダイアルアップ接続です。接続された時点で、hostnameがFQDNになるのはconfigdの動作で、問題ないと思います。接続が切れた時点でローカル名（***.local）に戻っています。NAVのLiveUpdateはその間にしか動作出来ませんから、ここに入ってるんでしょう。（もしかしたらLiveUpdateが自動でダイアルアップさせたのかもしれません。）
以下は私がモデムでダイアルアップしたときのsystem.logです。ほとんどトピ主と同じです。
Oct 27 01:31:38 kwbG5 lookupd[599]: lookupd (version 369.5) starting - Fri Oct 27 01:31:38 2006
Oct 27 01:31:53 kwbG5 configd[44]: setting hostname to "p8bcd36.onenum00.ap.so-net.ne.jp"
>message-id=のパラメータもオカシイです。”20061013081628.xxxx.貴殿のアカウント名@xxx.so-net.ne.jp”でああれば、納得できます。
ローカルメールなのですから、@の後ろがホスト名になって当然だと思います。
他のスレッドでもトピ主さんの不安を煽るレスをされてますが、私は「本当かな？」と首をかしげるほうが多いです。私の知識がついて行ってないのも確かなので、ご発言内容を否定出来るわけではないのですが、トピ主さんはご自身で調べた上で、冷静に判断していただきたいと思います。

＞以下は私がモデムでダイアルアップしたときのsystem.logです。ほとんどトピ主と同じです。
＞ローカルメールなのですから、@の後ろがホスト名になって当然だと思います。
接続環境の取り違えによる私の勘違いで、貴殿が正しい。
＞他のスレッドでもトピ主さんの不安を煽るレスをされてますが、
”煽る”という言葉遣いは不用意で失礼なアプローチですね。そそのかす、扇動するという意味が含まれます。『不安を煽るレス』とは私のどの箇所の発言ですか？ご指摘願います。

>”煽る”という言葉遣いは不用意で失礼なアプローチですね。そそのかす、扇動するという意味が含まれます。
目的語次第でしょう。「不安」が目的語であればそのような意味ではなく、「刺激して大きくする」といった意味合いになると思います。
現実にmsg.3冒頭の御発言で、トピ主の不安は明らかに拡大しています。msg3.5.1でようやく理由を説明されてますが、明瞭な根拠が提示されているようには見えません。
断定的な言い方になってしまったことは国語力不足と反省します。ただ、私には、以前のスレッドを含め、そう感じられたということです。

＞目的語次第でしょう。「不安」が目的語であればそのような意味ではなく、「刺激して大きくする」といった意味合いになると思います。

屁理屈を聞くためにコメントしたのではありません。単なる印象だけで、安易に「私が煽っている」と誤用をしないでいただきたい。投稿記事の見方によっては”煽り屋”というレッテルを張られかねない。
＞現実にmsg.3冒頭の御発言で、トピ主の不安は明らかに拡大しています。
再度申し上げますが、がっちゃん さんには別トピックで同じようなことを説明をしております。不安は見えるものが見えない、理解できるものが理解できない等々からもおきます。
＞3.5.1でようやく理由を説明されてますが、明瞭な根拠が提示されているようには見えません。
返事が遅すぎるということでしょうか？『日本も米国（複数ベンダー）サイトもディスカッション・フォーラムは１年近くも滞っています。コンピュータから離れる時間が増えています。』では理解していただけないでしょうか？人によってはアップル・ディスカッション・フォーラム等々が生活に最優先しない／できないことを知っていただきたい。グローバル・スタンダードの waving time は１週間前後（国や地域差あり）です。
セキュリティや個人情報の一端がからむ案件、根拠を示せない／示したくない／時宜を得なければ示さないほうがよい場合もあるということです。質問する前に、なぜ不明な点を自ら調べないで、先にけちをお付けになるか理解できません。『自分なりに調べたが、わかりにくいので差し支えなければ根拠を示してくれないか』というようなアプローチはできませんか？
ここに、現実の一端があります。４例（隣接した時刻２例づつ）ですが、いずれもこちらのディスカッション進行中の時期のものです。不正アクセス発信元はSo-netのノードです。捕捉したIPヘッダ不正情報は一部を掲載します。
10/19/06 23:21:02 IN TCP 220.211.232.210:2645 xxx.xx.xx.x:135
10/19/06 23:30:42 IN TCP 220.211.232.210:1967 xxx.xx.xx.x:135
10/19/06 23:34:05 IN TCP 220.211.232.210:2241 xxx.xx.xx.x:135
10/19/06 23:43:30 IN TCP 220.211.232.210:2833 xxx.xx.xx.x:135
10/19/06 23:46:19 IN TCP 220.211.232.210:1384 xxx.xx.xx.x:135
Firewall Policy rejected:
45000040 a05f4000 2906ddd5 dcd3e8d2 dcd33109 05680087 94776a7c
00000000 b002d200 8c150000 02040536 01030303 0101080a 00000000
00000000 01010402
不正アクセス：５回以上。
発信元： pd3e8d2.tokyus00.ap.so-net.ne.jp、搭載機又はＯＳ：Windows XP
不正パケット送出の原因：
●TCP/113番ポート上でIRC系ボットまたはウィルスが稼働中。
●攻撃者によるリモートコードがTCP/1025番ポート上でバックグランドで稼動。他のノードやネットブロックを標的としたポートスキャンを行っている。UDP/69番ポートに偽のFTPサーバアプリケーションを埋め込まれている。バックドアが作られている可能性が高い。
10/19/06 23:29:40 IN TCP 220.211.226.116:1664 xxx.xx.xx.x:135
10/19/06 23:37:40 IN TCP 220.211.226.116:1735 xxx.xx.xx.x:135
10/19/06 23:43:42 IN TCP 220.211.226.116:2331 xxx.xx.xx.x:135
10/19/06 23:46:29 IN TCP 220.211.226.116:4290 xxx.xx.xx.x:135
Firewall Policy rejected:
45000040 06304000 29067e63 dcd3e274 dcd33109 10c20087 7442ddf9
00000000 b002d200 33d10000 02040536 01030303 0101080a 00000000
00000000 01010402
不正アクセス：４回。
発信元： pd3e274.tokyus00.ap.so-net.ne.jp、搭載機又はＯＳ：Windows XP
本名をコンピュータ名に使用している。
不正パケット送出の原因：
●TCP/113番ポート上でIRC系ボットまたはウィルスが稼働中。
●攻撃者によるリモートコードがTCP/1025番ポート上でバックグランドで稼動。他のノードやネットブロックを標的としたポートスキャンを行っている。 UDP/69番ポートに偽のFTPサーバ・アプリケーションを埋め込まれている。バックドアが作られている可能性が高い。
10/27/06 18:02:33 IN TCP 59.147.100.27:3606 xxx.xx.xx.x:135
Firewall Policy rejected:
45000040 664c4000 2806c9a0 3b93641b 3b93478a 0e160087 954f3b02
00000000 b002d200 62c10000 02040536 01030303 0101080a 00000000
00000000 01010402
不正アクセス：４回
発信元： p93641b.gunmnt01.ap.so-net.ne.jp、搭載機又はＯＳ：Windows XP搭載の富士通製マシン
不正パケット送出の原因：
●TCP/113番ポート上でIRC系ボットまたはウィルスが稼働中。
●攻撃者によるリモートコードがTCP/1025番ポート上でバックグランドで稼動。他のノードやネ

●攻撃者によるリモートコードがTCP/1025番ポート上でバックグランドで稼動。他のノードやネットブロックを標的としたポートスキャンを行っている。
●TCP/29番ポート上に偽FTPサーバアプリケーションを埋め込まれている。セキュリティ・フローを悪用したKibuv.B ワームが活動中。攻撃者によってゾンビ化されたマシンでDoS攻撃が可能な状態。
10/27/06 18:00:55 IN TCP 59.147.15.173:4206 xxx.xx.xx.x:445
Firewall Policy rejected:
45000040 85274000 2a06fd33 3b930fad 3b93478a 106e01bd dd3e1b9c
00000000 b002d200 8b180000 02040536 01030303 0101080a 00000000
00000000 01010402
不正アクセス：４回
発信元： p93641b.gunmnt01.ap.so-net.ne.jp、搭載機又はＯＳ：Windows XP搭載のソーテック製マシン ●攻撃者によるリモートコードがTCP/1025番ポート上でバックグランドで稼動。他のノードやネットブロックを標的としたポートスキャンを行っている。

> 不正アクセス発信元はSo-netのノードです......
この上げられている不正アクセスは本トピックと無関係では？
mail にも関係ないし、macosx ですらない。
なんでここに挙げて、がっちゃんさんに何を言いたいのでしょう？非常に疑問を感じます。
so-net 起源の不正アクセスだからここに挙げたのでしょうか？
そんな程度の関連なら、重箱の隅をほじくるようにすれば、いくらでも挙げられます。

すでにはにさんがコメントされている通り、「だからどうなの？」という疑問が募るばかりです。msg.3の冒頭のコメントの証拠なのでしょうか？「211.121.200.189」はトピ主のマシンがDUPで割り当てられたアドレスであることは明白だと考えます。その周辺アドレスから不正アクセスがあったからといって、それが危険なのでしょうか？私のルータにも同じようなブロックログは常時出ています。（当然ルータのWANアドレス周辺からがほとんどですが。）それとも、211.121.192.0 - 211.121.255.255からの不正アクセスが統計上からも非常に多い、という客観的事実があるのでしょうか？
>不安は見えるものが見えない、理解できるものが理解できない等々からもおきます。
確かにその通りです。しかし、理解できたからといって不安が消えるとは限りません。
体に異常を感じて医者へ行った時、たとえ詳しく分析結果を説明してもらって症状を理解したとしても、「これは〜の疑いがある」というだけでは、患者は不安になるばかりでしょう。「大丈夫、安心しなさい」といってもらうか、問題があるなら処方や処置をしてもらわないと不安は消えないと思います。
この点について安食さんとこれ以上議論をしてもトピ主さんにとって迷惑なだけでしょうから、私は「心配いらないと思う」という自意見と、以前のトピでもお勧めした「ルータの導入」を再度進言し、これで引っ込みます。安食さんが「危険」と判断されるなら、どうか不安を取り除ける段階までアドバイスされてあげてください。

安食さん、お忙しいところすみませんでした。
私の知識不足から皆さんのコメントがなかなか理解できず、何度も読み直したり言葉を調べたりしているうちにすっかり遅くなってしましました。
＞何らかの理由でシステムの内部が正しく働いていないように思えます。Postfixのheaderやbodyチェックはmalwareからのflooding被害を防ぐように設計されているようですから、それらが原因ではないように考えられます。少なくともソフトウェアによるものか構成ミスによるものか切り分けした方がよいかもしれません。
今日、アップルさんへもpostfixその他について聞いてみましたが、もしかしたらソフトがおかしくなっているかもしれないと言われました。皆さんに教えて頂いた通り、postfixは確かに最初は稼働しない状態でMacに入っているそうです。
＞大半はWindowsユーザですが、脆弱性を放置したままのMac OS X 10.3シリーズやP2Pソフトを運用して、無効なパケットを飛ばすマックユーザもおります。

OSは今10.4で、このMacに新たにP２Pソフトをインストールしたり使用した事はないです。
私は自ら他人のPCへアクセスしたり、パケットを飛ばしたり、何かをした覚えは一切ないのですが、知らない間にmalwareでも仕掛けられ意思に反して自分のPCがボット化、あるいは無効なパケットを飛ばしていたら大変！と大慌てしてしまい安食さんにはいろいろご迷惑をおかけ致しました。
お気を悪くなさらないで下さい。

Kawabeさんもいつもありがとうございます。
　私が一番不安に思うのは、自分の意志に反して自分のPCが他人のPCに不正アクセスを行ったり、不要なパケットを送出していることで、この度もちょっと慌てて皆様にご迷惑をおかけしました。
自分で意図的に行っていない事は、外部からの指摘がないと気付きません。もちろん自分で出来る限りのセキュリティを施す事は大切だと思います。
　以前ADSLだったのですが、今はダイヤルアップです。で、先日ルータを購入しに行きましたらダイヤルアップ用のルータはMacのあのクラゲのような形をしたものしかないそうで、それも製造中止か何かで既に店頭になく注文して２、３週間かかるといわれました。今後ADSLか光にしてしっかりルータを導入することを考えます。
　このトピックには直接は関係ないですが、不正アクセスってログを取ってプロバイダーに調べてもらえば、相手の名前は教えてくれませんが、プロバイダーにはどこの誰が行っているかわかるので相手に注意はしてくれますよね。
　もし、自分の意志に反して変な動きをしていてもさすがにプロバイダーに肩をポンポンと叩かれたら気付くでしょうからあまりにも多い不正アクセスはプロバイダーに言うのが効果的だと思います（意図的にやっていない場合）。そうは言っても皆さん忙しくてなかなか大変だと思いますが、私は突出しているもの（数百回以上とか）については言っています。余計な事も書きましたが、このたびの件、Kawabeさんもどうかお気を悪くなさらないように。
　

はにさん、どうも。
ここのBBSって善意の方ばかりが見ているわけではないでしょうから、、、。
いろいろ見て、いろいろする人もいるんでしょう。

＞この上げられている不正アクセスは本トピックと無関係では？
＞不正アクセスは本トピックと無関係では？ mail にも関係ないし、
＞macosx ですらない。なんでここに挙げて
それは下種の勘ぐりというもの。突っ込み急いては事を仕損じます。小生の意見が貴意に添えないようで恐縮ですが、意見を異にする機会があっても歓迎してほしいものです。私の発言の全体の流れを汲み取りください。原因については、セキュリティ上の問題ではないだろうという仮判定と、ソフトウェア若しくは構成上（投稿時は利用環境設定の文字列を割愛）の問題に焦点をあてて発言済みです。
問題解決にあたっては、不要なものは除外ということで可能な限り関連する事象を広範囲に検討することが大切です。Postfix の異なる脆弱性の実例は何度かインターネット上で広く取り上げられた歴史があります。OSやmailソフトウェア以外にもローカルポートへアクセスするサードパーティ製のソフトウェア、インターフェース、モデムやルータ（がっちゃんが未購入であることは承知）のファームウェアも切り分けの対象に入れる場合があります。
『so-net 起源の不正アクセスだからここに挙げたのでしょうか？ 』のご質問については、あなたも参加していた別スレッドでのディスカッションを配慮した上でのことですから、疑問を呈するほどのことではないでしょう。
ところで、ログ記録上の発信元がso-netだからといって、そこが起源とは限りません。現に、sourceがso-netでも他社ISP でも、IPパケットのヘッダー情報が偽装されたものは多々見受けます。destinationがあなたの使用中のIPノードだからといって、あなたを攻撃しているとは限りません。

あなたの失言対する私のクレイムをはぐらかしています。人に不快感を与えたり誤解を与えるような言葉遣いを今後遠慮されるのかされないのか、はっきり意思表示をされれば済むことです。
＞しかし、理解できたからといって不安が消えるとは限りません
「・・・・等々からもおきます。」と述べました。全部列挙をしていません。
そもそも私の最初の投稿内の「不正／無効なIPパケット送出元として頻繁に利用されている」様子とは、ISPとの固定契約ではないということを認識していれば、ISP側（がっちゃんさんのPlalaーー＞ So-net契約においては）からその都度割り当てられているというは当然前提になるのです。すなわち、セキュリティ上問題のある多くの利用者のマシンがそのIPアドレスを
経由して不正アクセスを続ければ「不正／無効なIPパケット送出元」ブラックリストになるわけです。この辺の説明はその時点でしなくてもよいという判断です。