[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:02771] Backdoor Q?
- To: connect24h@xxxxxxxxxxxxx
- Subject: [connect24h:02771] Backdoor Q?
- From: le <sec@xxxxxxxxxx>
- Date: Sat, 05 May 2001 09:38:23 +0900
―――――――――――――――――――――――――――――――――――
【重要】メーリングリストサービス:《6月1日 旧ドメイン御利用停止》
―――――――――――――――――――――――――――――――――――
【お知らせ】6/1からは旧ドメイン(easyml.com)のご利用が停止となります。
詳細に関しましてはこちらへ => http://ml.infoseek.co.jp/1123.php3
------------------------------------------------------------------------
こんにちわ。
る と申します。
最近、Snortで次のようなログを発見いたしました。
[**] BACKDOOR Q access [**]
04/22-05:54:25.295925 0:0:C:8:D5:6 -> 0:10:11:FF:E0:0 type:0x800
len:0x3C
255.255.255.255:31337 -> ***.***.106.102:515 TCP TTL:12 TOS:0x0 ID:0
IpLen:20 Dg mLen:43 ***A*R** Seq: 0x0 Ack: 0x0 Win: 0x0 TcpLen: 20
こりゃおかしいと思って
% snoop -o 255255255255.log src 255.255.255.255
とかしてみたら
1 0.00000 BROADCAST -> ***.***.33.183 PRINTER C port=31337 cko
2 2903.93550 BROADCAST -> ***.***.32.36 PRINTER C port=31337 cko
3 13652.70806 BROADCAST -> ***.***.25.143 PRINTER C port=31337 cko
4 4689.02603 BROADCAST -> ***.***.141.208 PRINTER C port=31337 cko
5 7861.77142 BROADCAST -> ***.***.37.102 PRINTER C port=31337 cko
6 2121.38985 BROADCAST -> ***.***.20.173 PRINTER C port=31337
7 10109.13101 BROADCAST -> ***.***.35.28 PRINTER C port=31337
-------------------------
てな感じになっています。数日に一回くらいの割合で怪しげなパケットが飛んで
るみたいです。
どなたか何か情報もってるかた、いませんか?
------------------------------------------------------------------------
今週は チェックした?
http://www.infoseek.co.jp/Keyword?pg=ranking.html&svx=971122