[stalk:00336] 韓国からのパケット

["Katsuro Miyakoda" <katz@xxxxxxxxxxx>]

はじめまして。いつも参考にさせていただいてます。
すでにみなさんがご存知のように韓国からのパケット111/tcpや53/tcpがやたら多い
昨今です。

当方が関与しているサーバでも極端な状態になっています。なぜ、こんなにもアジア
圏、特に韓国からの攻撃が多いのか、不思議に思い、逆にステルススキャンをかけま
くり、十数件の韓国系アドレスを逆調査しました。

http://whois.krnic.net等で発信元をたどると、インチョンとかその他の地域の小学
校においてあるサーバが複数含まれておりました。どれも、相当にわきの甘いサーバ
ばかりで、telnet/dns/http/finger/ftpのポートを厭けているのはあたりまえ。中に
は12345/tcpが開いているサーバなどまであります。

当初は、「日本の教科書問題等に怒り、日本をじゅうたん爆撃する韓国人若手教師」
が管理するサーバという雰囲気で見ておりましたが、そういう気配は全然なく、「だ
れかに徹底的に遊ばれまくる韓国小学校のサーバ群」という風に見えてきました。

国をあげてのIT政策で、まともに管理者も立てずに小学校にサーバを置くような、極
端かつ超ハタ迷惑な政策が実施されているのではないかという様子がうかがえます。
向こうの文部省（Office of Education)の政策で管理者もなくサーバが置かれてい
る、という想像です。
同様な感想をsecurityfocusのインシデントでもみました。

私ののぞいたあるサーバは、Office of Education（文部省！）そのものの中にある
ように見えましたが、信じられないことに、そのサーバはdoomのサーバにまでされて
おり、侵入者の遊び道具と化している様子でしたし、また、別のサーバはチャット
サーバにもなったりして、すっかり遊ばれておりました。

securityfocusで見た人の中には、そうしたircサーバにつなげたらしいです。する
と、なんとルーマニア語のbotが動いていた、とのこと。この方の意見では、きっと
韓国小学校サーバはルーマニアのクラッカーにやられているんだ、という話も読みま
した。

他にものぞいてみた方、いらっしゃいますか？

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
◆ 「パワーアップ！検索エンジン30万馬力キャンペーン」開催中！（5/2マデ）
　　　　　　　 http://www.infoseek.co.jp/ISCamp?svx=971122