[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:0747] ファイアウォール内にnimdaが入ってきました。一体なぜ?

まなべです。発言するのはひさしぶりになります。

先ほどプライベートネットワーク内のマシンでapacheの設定をして
いて気が付いたんですけど、なぜかマスカレードの内側にあるマシン
で動いているapacheのログに計3回nimdaの攻撃が記録されました。

うちの環境ですけど、Linuxマシンをダイアルアップルータがわりに
していてISDNで接続しています。カーネルは2.2.19でipchainsを使っ
てIPマスカレードの設定をしています。そのルータ代わりのLinux
マシンでもapacheが常時動いていますので、80番ポートへのアクセス
は全部こちらに行くはずなんですが、なぜか今回マスカレード内の
MacOS Xマシンのapacheにnimdaの攻撃が3回記録されました。当然
ルータ兼サーバのLinuxマシンにはじゃんじゃん記録されています。

1回目は7日の20時58分頃、2回目は23時7分頃、3回目は8日の0時16分
頃です。最初の攻撃元は逆引きできず、2回目と3回目はnslookupし
たところaol.comのドメインでした。例によって一回の攻撃につき12
回くらいずつのアクセスが記録されてます。

ipchainsのfowardルールでは内側の192.168.x.xからのパケットだけ
マスカレードするように設定してあるので、そもそもマスカレード
内のマシンに外からのアクセスが来るはずがないと考えていたので
すが、この認識は間違っているのでしょうか?

正直ちょっと頭を抱えています。みなさんのところはどうですか?
Windows2000はあまり起動しないし、アップデータもかけているので
実害はないんですけど、ちょっと気味悪いです。

何か情報お持ちの方フォロー下さい。

真鍋博史
manabe@xxxxxxxxxxxxx



--[PR]------------------------------------------------------------------
 
             960円でグループウェア!?
 
             http://www.xteam.jp/?mid=101376
------------------------------------------------------------------[PR]--