アカウント名:
パスワード:
自分のIP アドレスから生成されるアドレスとは無関係な アドレスに感染が広まり、感染者の共通項を洗ったところ、 IP Messenger でメッセージ交換をしていたことが判明した。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
またやっちまった (スコア:1)
それにしても社内のPCはサーバ以外プライベートアドレスのはず
なのに感染したマシンはプライベートアドレス!!!
感染経路の特定が終わらないのでまだ会社でお仕事中
だれや(怒)勝手にネットワークにPC繋げてワームをばら撒いた
奴は
Re:またやっちまった (スコア:3, 参考になる)
http://www.isskk.co.jp/security_center/147/ms03-026rpc.html
> このツールは、MS03-026 RPC DCOMに関する脆弱性を持つ可能性の
> あるホストを見つけ出すためのツールです。
(中略)
> このツールは、コマンドラインツールです。検査結果をIPアドレスのリストとして、
> 標準出力へ出力します。検査結果は以下のように表示されます。
>
以下Slashcodeの投稿フィルタ?に引っかかったため、全角に変換。
> --------------------------------------------------
> C:¥>scanms.exe 192.168.0.1-192.168.0.254
> 192.168.0.2 [Windows XP] [ptch] [ptch] 5.6
> 192.168.0.5 [unknown010] [????] [VULN] 0.0
> 192.168.0.10 [Windows XP] [ptch] [ptch] 5.6
> 192.168.0.55 [Windows XP] [ptch] [ptch] 5.6
> --------------------------------------------------
>
> IP 192.168.0.5は、適切なパッチがおこなわれていません。
> リスト上にないホストは、Port 135を使ったアクセスが出来ない
> ホストです。出力カラムの[ptch] [VULN], [???]の部分、
> それぞれふたつの異なる手法による検査結果を表しています。
>
I'm out of my mind, but feel free to leave a comment.
Re:またやっちまった (スコア:0)
やっと、残り20台...そろそろ個別訪問するかなぁ~(苦笑)
ちなみにWindows98等の場合はチェックErrとなり
XXX.XXXX.XXXX.XXX [????] [....] 5.4
とか表示されてVULNと表示されない場合があるので注意が必要です。
攻撃
Re:またやっちまった (スコア:0)
というわけで正常にチェックできるのだけで問題なさそうですね
Re:またやっちまった (スコア:1)
# しかしすごいね。自宅のルータのログはポート
# 135 への接続で溢れかえってるよ。
(´д`;)
Re:またやっちまった (スコア:0)
> 135 への接続で溢れかえってるよ。
プロバイダによって異なるようですね。(あるいは地域か?)
ルータにはその手のログが全然引っ掛からないので。
(ルータ前段のADSLモデムのランプ自体、あまり点滅しない)
某n(宣伝と思われるのも何なので一
Re:またやっちまった (スコア:2, 参考になる)
なんつて。
もう大丈夫だろうと思って解放した途端にまた広まる予感。
(´д`;)
根本的にまちがってるよ。。。 (スコア:0)
NATにしたり、ファイアウォールいれたくらいで大丈夫なら、世の中こんなにおおさわぎにならないでしょ。。。
こういうものって、結局人災なんだから「管理者」さん
今回のアルゴリズム (スコア:0)
Re:今回のアルゴリズム (スコア:0)
Re:今回のアルゴリズム (スコア:0)
Re:今回のアルゴリズム (スコア:0)
ひどくない/.はどこですか?
Re:今回のアルゴリズム (スコア:0)
Re:今回のアルゴリズム (スコア:0)
自分のIPアドレスの末尾を書き換えたアドレスへ攻撃をする
というのを高確率でやってくれるので(約半分はその動作)
従来のランダムアドレス攻撃に比べると
プライベートアドレス端末への感染率は
極めて高いと言えるのだが
さて、なぜ確率が低いなどと言えるのか
きっちり理由を述べてみたまえ
Re:今回のアルゴリズム (スコア:0)
プライベートアドレスのネットワークに入り込むために、どうやって感染するのですか?ということでしょう。
そりゃ、ネットワーク形態によっていろいろと手段はありますが、
メールを読んだら感染
Re:今回のアルゴリズム (スコア:0)
>#広がり方ではなくとっかかり方の話でしょう
悲しい事ながら...社内LANに接続するパソコンにAir H'とか携帯電話をつないでダイアルアップでインターネットに直接接続するような人が居たりするんですよ
他にも自宅でインターネット接続に使用したノートPCをそのまま会社のLANに接
Re:今回のアルゴリズム (スコア:0)
正>感染する常駐型のワームはローカルIPでも広範囲に広まって社内LANを麻痺させたりするわ
激しくタイプミス(苦笑
Re:今回のアルゴリズム (スコア:0)
> 自分のIPアドレスの末尾を書き換えたアドレスへ攻撃をする
> というのを高確率でやってくれるので(約半分はその動作)
攻撃対象のアドレスを生成するアルゴリズムの説明は方々で
見かけますが、そのアルゴリズムでは説明困難な事例が報告
されています。
それは、
自分のIP アドレスから生成されるア
Re:今回のアルゴリズム (スコア:1)
どこかの掲示板に書かれていた、という程度なら、おそらく間違いでしょう。
ウイルス対策ソフトウェアのメーカーは、ウイルスを実際に動かして挙動を調べる
ブラックボックステストだけではなく、逆アセンブルもしているそうで、
「ランダムに、稀に○○という動作をする」というのもたいていわかります。
#378972 [srad.jp] に書かれている「事例」で一番不可解なのは、
Blaster ワームに感染した PC がどこから感染したかを、どうやって知ったかです。
知る方法がないとまでは言いませんが(途中で怪しいパケットのログを取っておくとか?)、
普通はわからないような気がします。
鵜呑みにしてみる?