26日06時頃 202.143.144.53(Linux2.4-2.6,タイ,Ministry of Education MOE?) FTPにAdministrator等でログインし,RMD sarcaxxoというコマンドを発行. map:x100.000000y15.000000:hybrid

26日15から22時 1000パケット,300アドレス/時程度 ターゲットアドレスの末尾は87,88 スペインがほとんど,残りはイタリア,フランス,イスラエル,スウェーデン

MacOSX用のBitTorrent 現在バージョン0.6.1 ユーザエージェント名はTransmission/0.6 リンク http://transmission.m0k.org/ BitRocketというのもあるらしい http://www.bitrocket.org/

MacOSX用のBitTorrent 現在Public Beta1(ver17) ユーザエージェント名はXtorrent(Registered)/17 リンク http://www.xtorrentp2p.com/ http://www.xlife.org/(http://www.newsfirex.com/blog/) http://www.torrentskickass.com/

17時頃192.26.91.193(Linux2.4-2.6:ftp.kddlabs.co.jp,ftp.kddilabs.jp,ftp.kddlabs.co.jp,ftp.ne.jp)から計8GB程のダウンロード ほぼ同時にダウンロードを開始しているが,その速度は3倍ほど開きがある(1300秒と6400秒ほど) ftp.ne.jpとftp.kddlabs.co.jpは…

25日0時から10時頃 1800パケット,500ソースアドレス/時(最盛時5時頃) ターゲットの末尾,87(2アドレス,ただし片方に著しく偏っている) イタリア約半数,あとはスペイン,フランス,ポルトガル,イスラエル,スウェーデン等に散らばっている

拡張子はpwl \Windows\ユーザー名.pwlにユーザーごとに分けて保存されている. パスワードファイルを削除し,コントロールパネル-パスワードの設定を,このコンピュータでは、すべてのユーザーが同じ基本設定とデスクトップ設定を使うにすると,パスワードを聞か…

一瞬しか見えない. Press the spacebar to pause... KEY MAPPING FOR CONSOLE REDIRECTION: Use the <ESC><0> key sequence for <F10> Use the <ESC><@> key sequence for <F12> Use the <ESC><Ctrl><M> key sequence for <Ctrl><M> Use the <ESC><Ctrl><H> key sequence for <Ctrl><H> Use the <ESC><Ctrl><I> key sequence for </i></ctrl></esc></h></ctrl></h></ctrl></esc></m></ctrl></m></ctrl></esc></f12></esc></f10></esc>

Coolstreaming http://files.hf.com.ru/Coolstreaming/coolstreaming0.45.exe PPlive http://www.pplive.com/ qqLive http://tv.qq.com/ AClab http://actlab.tv/ CCIPtv http://www.cciptv.com/ ppStream http://www.ppstream.com/ omn http://www.omn.org/…

A awaiting inside ACK to SYN a awaiting outside ACK to SYN B initial SYN from outside C CTIQBE media D DNS d dump E outside back connection f inside FIN F outside FIN G group g MGCP h H.225.0 H H.323 I inbound data i incomplete k Skinny me…

/service/mathlm/runの内容 exec /usr/local/sbin/stone -ddd 外部のライセンスマネージャ:16286 自分のローカル側ホスト名:16286 2>&1 stoneはdの数が増えるほどログが詳細になる.

http://www.honeynet.org/papers/bots/botnet-commands.html

ngrep -i -q -t -R -I ダンプファイル -O アウトプットファイル '(PRIVMSG |JOIN |USER |PART |QUIT |PASS |NICK |ACTION |SERVER |OPER |SQUIT |MODE |TOPIC |NAMES |INVITE |KICK |STATS |LINKS |TIME |CONNECT |TRACE |ADMIN |INFO |NOTICE |WHO |WHOIS |…

cronとrsyncを登録する場合. cygrunsrv -I cron -p /usr/sbin/cron.exe -e "CYGWIN=ntsec" -a '-D' cygrunsrv -I rsync -p /usr/bin/rsync.exe -e "CYGWIN=ntsec" -a '-v --daemon --config=/usr/local/etc/rsyncd.conf --no-detach' pはパス名,eは環境変数,…

24日20時頃 59.52.203.232(中国,Jiangxi,Nanchang?,WindowsXP,2000) 21ポートとかなり広い範囲でスキャンしていく 通常みられるポートスキャンだけでなく,アプリケーションレベルの攻撃を行う. 遮断後も1時間以上スキャンを繰り返す. ポート番号 主な攻撃 21…

ポート514を使う 先頭部のにfacility,severityが両方含まれている. 8で割った余りがseverity,小さいほど重要度は高い. 0 LOG_EMERG 1 LOG_ALERT 2 LOG_CRIT 3 LOG_ERR 4 LOG_WARNING 5 LOG_NOTICE 6 LOG_INFO 7 LOG_DEBUG 8で割った商がfacility,15というチ…

24日2時ごろから 800パケット,250ソースアドレス/時程度 イタリア1/3,スペイン,フランス等ヨーロッパ圏に広がっている 1ターゲット,末尾は87

23日18時ごろから 300パケット,100ソースアドレス/時程度 主にイタリアから 1ターゲット,末尾は87

23日2時ごろから 500パケット,200ソースアドレス/時程度 ブラジル300,スペイン,イタリア100,日本も50程度ある 1ターゲット,末尾は211

OCNにある40以上のアドレスから一斉にICMPでUDPポート不到達メッセージがやってくる. ソースアドレスを詐称したWindowsのメッセンジャーポップアップ広告(?)が拒絶されたことを通知するもの. ICMPパケット内部には拒絶されたUDPメッセージ(の一部?)が含まれ…

SuSEなどの一部Linuxディトリビューションに搭載されるネットワークスキャナー.LAN Information Server OS起動時にサービスとして起動する.デフォルトでインストールされる(?) 使用されていないものを含め同一LAN上の全てのアドレスにpingやNmblookupを実行 …

PPLive http://www.pplive.com/ 迅雷(Thunder) http://www.sandai.net/thunder.htm 超級播霸 http://www.howvod.com/ Feidian http://tv.net9.org/ CoolStreaming http://www.coolstreaming.org/(今はない?) http://personal.ie.cuhk.edu.hk/~xyzhang2/(今は…

4つに分かれている.binやlibの下にもログがあるので注意 /opt/trend/imss/bin/aphost.log /opt/trend/imss/log/log.imss.yyyymmdd.0001 /opt/trend/imss/log/updatelog.debug /opt/trend/imss/lib/AU_Log/TmuDump.txt リンク http://esupport.trendmicro.co.…

インストールディレクトリ/imss/script/S99update リンク http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-26076&id=JP-26076

TFTPサーバーを用意する. inetd.confのtftpサーバーの項目を設定 tftp dgram udp wait root /usr/local/sbin/tcpd /usr/sbin/in.tftpd -s /usr/local/tftproot /etc/hosts.allowにtftpアクセス許可を出す. in.tftpd : スイッチのIPリスト tftpdのルートディ…

同様のことをexpectにやらせた場合. IOS用 #!/usr/bin/expect -- set timeout 20 log_user 1 exp_internal 0 spawn /usr/bin/telnet $argv expect "assword:" { send "パスワード\r" } expect ">" {send "enable\r" } expect "assword:" { send "パスワード\…

Etherアドレス-MIB名-ブリッジポート番号-インターフェースインデックス-ポート名と対応させていく. ブリッジポート番号はスイッチのスパニングツリーに変更が起きるとインターフェースインデックスとの対応が変るらしい.ポート名とインターフェースインデッ…

tacなどのありがたいものが見当たらないとき. cat -n | sort -k1,1 -nr | cut -f 2 逆にするだけなのにsortは大げさじゃないか(?).もしくはsedだけはあった(?)というとき. sed -e ':begin;$!{N;s/\(.*\)\(\n\)\(.*\)/\3\2\1/;b begin;}' sedはNによって複数…

snmpwalk -v 1 -c コミュニティ名 スイッチ名 ".1.3.6.1.4.1.9.9.23.1.2.1.1.4" IPアドレスは SNMPv2-SMI::enterprises.9.9.23.1.2.1.1.4.9.1 = Hex-STRING: XX XX XX XX のように16進数表示なので注意

http://www.iana.org/root-whois/index.html