[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00712] Re: CodeRedWorm

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:00712] Re: CodeRedWorm
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Fri, 03 Aug 2001 16:57:24 +0900



Port139 伊原です。

On Fri, 03 Aug 2001 16:36:45 +0900
MICKY <micky@xxxxxxxxx> wrote:

>そのまま同じリスンポートは残ってます。もう１台運用している
>同構成のはずのホストは1027以降はリスンしてません。これって
>何？あ、良いです。自分で調べます。

聞かれてないけど、勝手にしゃべって明日お会いした時に”ご褒美に
ビール一杯”とか言おう B-)

On Fri, 03 Aug 2001 15:55:11 +0900
MICKY <micky@xxxxxxxxx> wrote:

>リブートしたら元に戻りましたけど。どういう事なんでしょう？>wizard
>な方
>
>TCP  0.0.0.0:1027   0.0.0.0:0  LISTENING
>TCP  0.0.0.0:1028   0.0.0.0:0  LISTENING
>TCP  0.0.0.0:1029   0.0.0.0:0  LISTENING
>TCP  0.0.0.0:1031   0.0.0.0:0  LISTENING
>TCP  0.0.0.0:1034   0.0.0.0:0  LISTENING
>TCP  0.0.0.0:1035   0.0.0.0:0  LISTENING
>TCP  0.0.0.0:1038   0.0.0.0:0  LISTENING
>TCP  0.0.0.0:1039   0.0.0.0:0  LISTENING
>TCP  0.0.0.0:1040   0.0.0.0:0  LISTENING
>TCP  0.0.0.0:1047   0.0.0.0:0  LISTENING
>TCP  0.0.0.0:1048   0.0.0.0:0  LISTENING
>TCP  0.0.0.0:1049   0.0.0.0:0  LISTENING
>TCP  0.0.0.0:1050   0.0.0.0:0  LISTENING

この結果と、fport.exe の結果で抜けてるポートがあるように見えるので
すけど、Process で System っていう行を削られました？

>92  msdtc    ->  1027  TCP C:\WINNT\System32\msdtc.exe

MSDTC サービスの本体です。通常動いてます。

>82  RpcSs    ->  1029  TCP C:\WINNT\system32\RpcSs.exe

W2K だとこれないんですけど、NT 4.0 だとあります。
135/tcp もこのプロセスぢゃないですか？PRC サービスです。
IIS は RPC サービスに依存するので通常動いています。
なんで 1029 とかで LISTENING してるかは...わかりません(^^;;

>284 MSTask   ->  1030  TCP C:\WINNT\system32\MSTask.exe
>284 MSTask   ->  1031  TCP C:\WINNT\system32\MSTask.exe

タスクスケジューラサービスの本体です。
タスクスケジューラサービスが開始されていると LISTENIG されます。

>331 win32sl  ->  1033  TCP C:\DMI\WIN32\bin\win32sl.exe
>331 win32sl  ->  1034  TCP C:\DMI\WIN32\bin\win32sl.exe

Wingate 関連のファイルぢゃないですか？
google で検索したらそんなのがひっかかりました。

>338 inetinfo ->  1037  TCP C:\WINNT\System32\inetsrv\inetinfo.exe
>338 inetinfo ->  1038  TCP C:\WINNT\System32\inetsrv\inetinfo.exe

これは IIS 本体のプロセス名です。

>116 AMVMAIN  ->  1046  TCP C:\ESM\AlertMan\PROGRAM\AMVMAIN.EXE
>116 AMVMAIN  ->  1047  TCP C:\ESM\AlertMan\PROGRAM\AMVMAIN.EXE
>116 AMVMAIN  ->  1049  TCP C:\ESM\AlertMan\PROGRAM\AMVMAIN.EXE
>116 AMVMAIN  ->  1050  TCP C:\ESM\AlertMan\PROGRAM\AMVMAIN.EXE

シマンテックの ESM 入れてます？

というわけで、あからさまに怪しいのはない気がしますが・・・
エクセルが入っていれば、WinInterrogate(http://winfingerprint.sourceforge.net/)
で各ファイルの情報と MD5 を取って他のシステムと比較してみるといい
かもしれません。
Tripwire があればもっと早いですけど・・・

Sysinternals の Process Explorer であがっているプロセスを調べてみ
るとサービスプロセスなのか色分けできるので、わかりやすいかと思い
ます。
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml


---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　インフォシークに　『ファンドランキング』登場！！　ってなに？　　　
　　　　　 http://fund.infoseek.co.jp/Rfund_top.cfm?svx=971122

Follow-Ups:
- [stalk:00713] Re: CodeRedWorm
  - From: MICKY

References:
- [stalk:00710] Re: CodeRedWorm
  - From: Hideaki Ihara
- [stalk:00711] Re: CodeRedWorm
  - From: MICKY

Prev by Date: [stalk:00711] Re: CodeRedWorm
Next by Date: [stalk:00713] Re: CodeRedWorm
Previous by thread: [stalk:00711] Re: CodeRedWorm
Next by thread: [stalk:00713] Re: CodeRedWorm
Index(es):
- Date
- Thread