[connect24h:6214] Re: 流行の兆かな

[KATOH Yasufumi <karma@xxxxxxxxxxxxxxx>]

加藤泰文です．

伊原さんありがとうございます．

>>> On Tue, 12 Aug 2003 21:00:29 +0900
    in message   "[connect24h:6212] Re: 流行の兆かな"
                  Hideaki Ihara-san wrote:

> 135/tcp は DCOM とか使ってない限りあまり利用されるポートでは
> ありませんから、通信ログを取っていればそこから解析する方法も
> ありますね。

そうですね．

元から社内のルータでポートを遮断していれば，それで分かったかも知れませ
んが，お，おかしいと分かった後だったので，後の祭りというか...

その後は ethereal やら sniffer 等で感染の疑いのある PC を特定したり，
nmap で Port 4444 が開いている PC を探し出したりしてました．

> まだ社内に残っていれば？（というか再発したりすれば）syunlog
> をプロミスカスモードで動作させ発生源を突き止めれる“かも”し
> れませんが...

休暇を取っている人もいそうですし，まだパラパラ出てくる可能性もあります
ので，その時のために参考にさせて頂きます．

元からキャプチャしてログを取っていれば，最初に感染した PC を探し出す事
は出来るのですが，普段はもっとおおまかなログしかないので，このような重
大なセキュリティホールが出て，怪しげかも? って時は警戒度を上げて，ロギ
ング等しておくとか対応を決めておいてもよいかも知れませんね．

-- 
==============================================
((((    加藤泰文
○-○                karma @ prog.club.ne.jp
==============================================
(Web Page) http://www.ae.wakwak.com/%7Ekarma/
==============================================
     北米の音楽のページを更新 (August 6)

--[PR]------------------------------------------------------------------
　*　*　*　ご存知ですか？こんなにおいしい桃があるんです　*　*　*
　　　　 http://ad.freeml.com/cgi-bin/ad.cgi?id=ccTnW
　 ／＼　　 ／＼　　　　　　　　　　　　　　　　　／＼　　 ／＼
　( (  )　 ( (  )　　　　　　　　　　　　　　　　( (  )　 ( (  )
 <∋><∋> <∋><∋>　　◆特産品開発センター◆　　<∋><∋> <∋><∋>
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp