[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:0786] Re:ファイアウォール内にnimdaが入ってきました。一体なぜ?

まなべです。

その後原因がわかりました。

on 01.11.9 5:29 PM, Yoshiaki Matsushima at yo-matsu@xxxxxxxxxxxxxxxx wrote:

> kobayasi> これらの方法で感染した NAT 内部のクライアントが、同じく NAT 内部の
> apache
> kobayasi> にアタックしたのではないか、という意味でしょうか。
> kobayasi> 
> kobayasi> 元記事の方は、NAT 内部の apache への攻撃が*外部*からあったことを問題
> 視され
> kobayasi> ているようですから、別問題じゃないでしょうか。

そうなんです。内部にはもちろん感染しているマシンはありませんし、
そもそもWindows起動するのもまれなんです。で、明らかに外部からの
攻撃が記録されてましたので頭を抱えていたのですが、

> ipchains の仕様って知らないし、設定依存だろうけど、
> 外向きのセッションが在ると、そのホストからは中へダダ漏れとか(汗、
> 特に、FTPを張っていると起きる奴も世の中には沢山在る様な・・・、

まさにこれでした。原因はAOLのクライアントソフトで、AOLの起動中に
だけ攻撃がきてました。とくにセッションを張っている理由がわかりま
せんが、そのセッションを張ったマシンが感染している場合にnimdaが
ファイアウォール越えてやってくるということのようです。そもそも
aol.comドメインのマシンが感染していること自体問題ですが、まあそ
の程度の企業なんでしょう。

AOLやってる人はそんなに多くはないと思いますけど、Windows2000など
でaolやってて、ルータ介してるから大丈夫と思ってる人は注意した方が
いいのかも。

お騒がせしてすみませんでした。

真鍋博史
manabe@xxxxxxxxxxxxx



--[PR]------------------------------------------------------------------
    ■ 「日本最大級」のPC関連商品検索・比較サイト ■
______________「パソconeco」___________
 400のパソコン関連ECショップ・ISPから15万件の商品・価格情報を一発検索
    ■  ┛┛┛超特価情報を知りたいならココ!┛┛┛ ■
 http://ad.freeml.com/cgi-bin/ad.cgi?id=a7M2Q
------------------------------------------------------------------[PR]--