20日21時頃から 1000パケット,300アドレス/時程度 ターゲット末尾は87(1アドレス) ほぼイタリアから.スペイン,スウェーデン,フランスなどに分布 ISC

日時頃から時頃まで 200パケット,60アドレス/時程度 ターゲット末尾は87(1アドレス) イタリア2/3,ついでイスラエル,フランス,スペインなど ISC

20日02時頃から 1000パケット,300アドレス/時程度 ターゲット末尾は87(1アドレス,外部と通信しない,上のものとは別) イタリア約半数,スウェーデン,フランス,イスラエル,スペインなど ISC

19日21時から 1400パケット,400アドレス/時程度 ターゲット末尾は87(1アドレス) イタリア約半数,スウェーデン,フランス,イスラエル,スペインなど ISC

18日15時頃から22時頃まで 50パケット,10アドレス/時程度 ターゲット末尾は87(1アドレス) ほぼ全てドイツ,数は少ないがドイツを主にするものは珍しい. ISC

19日12時頃から 250パケット,20アドレス/時程度 ターゲットはWWWキャッシュサーバー,自分でDNS解決しキャッシュする. ほぼ全て中国から DNSクライアントをDNSサーバーでもあると仮定しているのか,中国国内にDNS解決要求をしてきたものを対象に53番ポートを調…

19日11時頃 韓国にある連続したアドレスからICMP到達不能メッセージ. ICMPパケット内に含まれていた元のポップアップ広告の文面.ほとんど変化はない.sys32win.comとdata32.comと言う部分が違うだけ. SYSTEMALERT STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION…

18日07時頃から 250パケット,70アドレス/時程度 ターゲット末尾は88(1アドレス,未使用) ほぼ全てスペイン ISC

通常状態でも主にアメリカカナダから多数のポップアップ広告と思われるパケットがやってくるが,得に17日ごろから急激に増え始める. 主に204.16.209.10(アメリカ,アラスカ州Wasilla?)が原因.512ターゲット,15000パケット/時程度,1日36万パケット程度で一定し…

TCPポート3389で通信する. RDP(Remote Desktop Protocol)は通信内容をRC4で暗号化するらしいが,コネクションの一部は暗号化されていない.Cookie: mstshash=に続いてユーザー名が含まれている. rdesktopのiso.cファイルにあるiso_send_connection_request関数…

16日04時頃から 1000パケット,300アドレス/時程度 ターゲット末尾は87(1アドレス) イタリア1/3,スペイン,フランス,イスラエル,ポーランド等に分布 ISC

16日14時頃 チェコにある連続したアドレスからICMP到達不能メッセージ. ICMPパケット内に含まれていた元のポップアップ広告の文面.若干変化があった.key32.comは新手のドメイン名? SYSTEMALERT SYSTEM ALERT :Windows has detected registry errors on your …

$HOME/.gtkrc-2.0に以下のように書いておく. gtk-key-theme-name = "Emacs" Firefoxも影響を受ける.

インストール時にSSH以外のネットワークサービスを起動しないように出来るようになった(デフォルトではない) デフォルトで動いてるサービス FMRI lrc:/etc/rcS_d/S50sk98sol lrc:/etc/rc2_d/S10lu lrc:/etc/rc2_d/S20sysetup lrc:/etc/rc2_d/S40llc2 lrc:/et…

fragment chain 1 インターフェース名

X3ビデオサーバーという本体OSと独立して録画を続ける専用システムを搭載しているらしい. ブロードキャストアドレス(255.255.255.255)のUDPポート51712番(デフォルト?)にサーバー,クライアントともにパケットを出し続ける. 頻度は10秒おき程度 クライアント…

15日04時頃から 5700パケット,1600アドレス/時程度 ターゲット末尾は90(1アドレス,外部と通信しない) スペイン1/3,フランス1/5,イタリア,イスラエル,ドイツ,アメリカなど広く分布,今までにない規模の分散スキャン ISC

固定電話とも通話できるというIP電話の一つ. 第一級で完璧に作動するSkypeキラーらしい. 使用していなくてもブロードキャスト(255.255.255.255)のUDPポート37385に10秒毎に以下の文字列を含むパケットを送出する. <IPMSGXmlData> <gmversion></gmversion> <msgseq>0</msgseq> <id>SENDBROAD</id> <gizmoid>{ID番号}</gizmoid> <username>ユーザー名</username> <hostname>ホスト</hostname></ipmsgxmldata>…

ICMP,UDPパケットを使ってネットワーク計測を行っているワシントン大学のプロジェクトらしい. 1つのアドレスを選び1時間に1回程度多数のアドレスからパケットを送ってくる. 選ばれたアドレスの末尾は1? ICMPパケット中に "URL:http://iplane.cs.washington.e…

13日21時頃から 240パケット,60アドレス/時程度 ターゲット末尾は87(1アドレス) ほぼイタリアから,フランスがわずかにある ISC

日本国内からのTCPポート22(SSH)のポートスキャンが連続する.いずれもLinux.ワームの類いが増えている可能性がある. 13日23時.221.243.18.3(www.primerib.jp;Linux2.4-2.6,東京?,有限会社プライムはwhois登録上は千葉県浦安市北栄) 14日00時,133.64.1.100(Li…

13日00時頃から 250パケット,70アドレス/時程度 ターゲット末尾は90(1アドレス,外部と通信しない) ほぼ全てフランス,アメリカ,スペインがわずかにある ISC

ウィルスバスター2007の無線LANパトロール機能を有効にし30分毎に自動でパトロールする設定にしておいた場合,同一LAN内で過去にARPパケットを受信して判明した活動中のIPアドレスのUDPポート137番をスキャンし,NetBIOSホスト名等を収集する. ウィルスバスタ…

12日09時頃 202.78.95.112(フィリピン,Nueva Ecija,Quezon;Linux2.6,seldom2.4) ポートスキャンの後反応のあった10のアドレスに対しパスワードを破ろうとする. バナーはSSH-2.0-dropbear_0.47 dropbearは小さなSSHサーバー,クライアント.uClibcを利用できる…

10日17時頃から11日02時頃まで 200パケット,50アドレス/時程度 ターゲット末尾は88(1アドレス) 11日01時頃から 2400パケット,700アドレス/時程度 ターゲット末尾は87(3アドレス) スペイン約半数,フランス,イタリア,イスラエル等に分布 ISC

Patch-ID# 123495-03を適用すると以下のファイルが置き換わる /etc/fonts/fonts.conf /usr/lib/amd64/libfontconfig.so.1 /usr/lib/libfontconfig.so.1 このパッチが適用されるとfirefoxの起動に障害が出る場合があるらしい.セグメンテーションフォールトで…

9日19時頃から10時02頃まで 1000パケット,300アドレス/時程度 ターゲット末尾は87(1アドレス) イタリア約半数,スペイン,フランス,イスラエル,スウェーデン 10日時頃から10時02頃まで 400パケット,100アドレス/時程度 ターゲット末尾は87(上と別の1アドレス) …

9日21時頃 14パケット,14ソースアドレス 14の攻撃者が14のターゲットを別々にスキャンしていく.規模は小さいがソース,ターゲットとも分散された本当の分散スキャン(?) ほぼ韓国から ISC

8日21時頃から9日05時頃まで 350パケット,90アドレス/時程度 ターゲット末尾は87(1アドレス) イタリア約半数,スペイン,スウェーデン,フランス,イスラエルなど ISC

8日20時頃から21時頃まで 800パケット,250アドレス/時程度 ターゲット末尾は87(1アドレス) ほぼ全てイタリア ISC