[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:01534] PipeCmdSrv.exe に関して



こんにちは.

セキュリティ スタジアムの kawa 氏の興味深いプレゼンテーション資料を
拝見し、ハニーポット( Windows 2000 Pro )を先週末より稼働させており
ます.
ここ数日、毎夜来訪者がございますが、昨日 PipeCmdSrv.exe なるプロセ
スの起動がセキュリティ ログへ記録されておりました.
# 監査を利用してプロセスのログを取っております.

調べてみますと、以下の URL に情報が載っておりました.

GTBot Trojan Information and Advisory on IRC DDoS Bots
http://golcor.tripod.com/gtbot.htm

DDoS か IRC 用ツールだと思われますが、もう少し詳細な情報がないも
のかと探しております.

生憎と Tripwire などを仕掛けておらぬため、上記ファイル以外にも
ファイルが追加されているかまだ確認できておりませぬ.
# いったんイメージ作成の為に停止しようかとは考えておりますが、
# 実行したプロセスをどのように利用するかもう少し監視してみたい
# と考えております.

実際に別のシステムで稼働させてみればよいかもしれませぬが、DDoS
のツールですと他サイトに迷惑がかかりますので、このプロセスが何
処のポート宛にパケットを送信するかなどを調べたいと考えておりま
す. (境界ルータでフィルタし,侵入者が DDoS を実行しても阻害した
いと考えております)

そこで、Windows 2000 で動作するプログラムで、そのプロセスがど
のように TCP/IP 関連のパケットを送信したかをトレースするプログ
ラムなどをご存知ありませんでしょうか?

実際に送信されたパケットは Ethereal でキャプチャをする予定で
ございます.

-- 
粗にして野にして卑
Tanaka Souji
souta3@xxxxxxxxxxxxxx