[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:02083] Re: すらまー

To: port139ml@xxxxxxxxxxxxx
Subject: [port139ml:02083] Re: すらまー
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Sun, 26 Jan 2003 10:42:10 +0900

おはようございます、Port139 伊原です。

On Sun, 26 Jan 2003 01:20:31 +0900
Kanatoko <anvil@xxxxxxxxxxx> wrote:

>> さて /. の情報などからすると、(今のところ)メモリ上への
>> 感染だけみたいですからやられているかの確認にはパケット
>> キャプチャですかね。
>
>ですね。

どこで読んだか失念したのですが、すらまーは発信元アドレスを
ランダムに設定し、ランダムな宛先へ送るんですよね？

とすると、Internet への出口でキャプチャする場合、フィルタ
条件としては 1434/udp 宛のすべてをキャプチャになるかと思う
のですが、内部のどのシステムかを確認するの面倒そうですね。
＃境界ルータで IN/OUT 両方 1434/udp を drop したとして...

感染ホストと同一セグメントでキャプチャすれば MAC アドレス
から確認できるかと思いますが、ルータ等の先って？

MSDE って感染対象でしたっけ？ CodeRed の時みたいに個人の
ノート PC に感染して内部へ持ち込まれるケースがあるような
気がしているのですがどなんでしょ？

-- 
Port139 セミナー 次回(大阪会場)は 3月14日開催予定
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139ml:02085] Re: すらまー
  - From: syun
- [port139ml:02086] Re: すらまー
  - From: Yoshikatsu NISHIYAMA
- [port139ml:02095] Re: すらまー
  - From: Kanatoko

References:
- [port139ml:02077] Re: すらまー
  - From: Hideaki Ihara
- [port139ml:02082] Re: すらまー
  - From: Kanatoko

Prev by Date: [port139ml:02082] Re: すらまー
Next by Date: [port139ml:02084] Re: すらまー
Previous by thread: [port139ml:02082] Re: すらまー
Next by thread: [port139ml:02085] Re: すらまー
Index(es):
- Date
- Thread