MacOSXは12分に一度ブロードキャストアドレス(255.255.255.255ではない)のUDPポート137に向ってパケットを放出し,サブネット上のマスタブラウザとなっている全ての機器を検索する. Wiresharkでは"NBNS Name query NB __MSBROWSE__"と表示される. この他に同…

主にストリーム動画に用いられるダウンローダー.速度向上の為かP2P技術を使用している.5倍の高速化が可能と述べられている. http://www.orbitdownloader.com/ インストール時にobinstall.rep.orbitdownloader.com(64.71.134.242)のポート80に以下のようなGET…

mDNS(マルチキャストアドレス224.0.0.251,UDPポート5353)を使用するもの以外に,次のブロードキャストが行われている. UDPポート137 Windowsのプリンタ共有 UDPポート161 SNMPによるデバイス検索.リクエストはSNMPv1, GetRequest .1.3.6.1.2.1.25.3.2.1.2.1(h…

21日11時頃 194.116.131.6(Poland, Pomorskie, Gdansk, Volta, Linux2.4-2.6, 24hop) SSH分散総当り攻撃を仕掛けたIPの一つから,CGIの脆弱性を狙った攻撃が行われる.今回は分散攻撃ではない. 直前にポートスキャンを行わない. barbutというバイナリをダウン…

http://isc.sans.org/port.html?port=22のSources/Dayが増加している. 国名 10/23の攻撃IP数 11/15の攻撃IP数 共通IP数 総IP数 共通IP数の比率 総計 306 310 129 487 26% GERMANY 40 40 11 69 15% UNITED-STATES 26 34 11 49 22% BRAZIL 18 25 7 36 19% POLA…

15日08時頃から 一つの対象に対して2から3分置きに7時間で138の攻撃者から172回の攻撃が続いている. 攻撃対象になったものは前回と同じ. 7時間の攻撃中snortのflexrespによるTCPリセットを乗り越えログインに進んだものはない.集中して発生しない攻撃の方がf…

12日17時頃 85.25.92.166 (s01.proudserver.de, Germany, intergenia AG, PlusServer - Dedicated Premium Serverhosting, Linux2.6,seldom2.4, 18hop) ポートスキャンの5分後,反応のあった32のアドレスに対してパスワードを破ろうとする. 4秒間34回の接続に…

2007/4から2007/10の期間,観測された4609のIPを/24のネットワークで集約し,バージョン番号等についてもある程度集約した上で集計したもの. バナー ネットワーク数 OpenSSH 455 TTSSH/1 442 PuTTY 422 libssh-0.2 343 WinSCP 249 TTSSH/2 124 libssh-0.1 61 S…

1パスワードを解析,前回から66日ぶり. ほぼ単純なlogのカーブに乗った? http://d.hatena.ne.jp/naablaa/20061223#p1

10/25ごろ,212.72.49.131,212.72.49.150,130.117.72.81から204.9.163.158,204.9.163.200に変更されたらしい.

L.root-servers.netが198.32.64.12から199.7.83.42になるらしい. ルートサーバーを指定する設定がない場合,使用されるルートサーバーのアドレスはlib/dns/rootns.cに書かれている. bind-9.4.2rc1では未だ変更なし. static char root_ns[] = ";\n" "; Interne…

22日08時頃から23日16時 295の機械からの1592回の分散総当り攻撃,1時間当り30IPが同数程度攻撃する. バナーは全てSSH-2.0-libssh-0.2 クライアントバナーSSH-2.0-libssh-0.1を検出するsnortルール http://www.cert.br/docs/whitepapers/defesa-forca-bruta-s…

portAdminSpeed(1.3.6.1.4.1.9.5.1.4.1.1.9) 1は自動,他はset port speedで定めた設定速度. http://tools.cisco.com/Support/SNMP/do/BrowseOID.do?local=en&translate=Translate&objectInput=portAdminSpeed portDuplex(1.3.6.1.4.1.9.5.1.4.1.1.10) 1は半2…

29日08時頃 204.126.179.71(ezproxy.piedmont.edu,*.ezproxy.piedmont.edu, USA, Georgia, Demorest, Piedmont College, Linux2.4-2.6, 22hop) *.ezproxy.piedmont.eduというDNSワイルドカードが設定されているが,逆引きも*.ezproxy.piedmont.eduと解決され…

19日00時頃 140.123.107.81(台湾, MOEC, National Chung Cheng University, Linux2.6, 13hop) ポートスキャンの3分後,反応のあった10のアドレスに対してadmin,root,stud,trash,aaron,gt5,william,stephanie等のパスワードを破ろうとする. 15分ほど攻撃を持続…

15日15時頃 211.136.202.122(中国,China Mobile Communications Corporation guangdon) ポートスキャンの3分後,反応のあった31のアドレスに対してパスワードを破ろうとする. 5分ほど攻撃を持続.5分ほど置いて一つにだけ再攻撃する バナーはSSH-2.0-libssh-0.1…

12日00時頃 59.37.63.162(中国, Guangdong, Guangzhou, ChinaNet Guangdong Province Network, Linux2.4-2.6, 20hop) ポートスキャンの3分後,反応のあった19のアドレスに対してroot等のパスワードを破ろうとする. 5分ほど攻撃を持続.5分中断して1対象にのみ…

9日03時頃 61.33.191.150(韓国, Seoul-t'ukpyolsi, Seoul, DACOM Corp.) ポートスキャンの3分後,反応のあった36のアドレスに対してroot等のパスワードを破ろうとする. 40分ほど攻撃を持続. バナーはSSH-2.0-libssh-0.1 map:x126.9997y37.5664:hybrid 9日06時…

7日01時頃 216.154.222.52(United States, Georgia, Norcross, Strategic Systems Consulting, Linux2.6,seldom2.4, 23hop) ポートスキャンの5分後,反応のあった22のアドレスに対してrootなどのパスワードを破ろうとする. 20分ほど攻撃を持続. バナーはSSH-2…

リンク Impress ITPro スーパーノードからの返答が異常になったとき,非スーパーノードのログイン要求が止らない状態になるのを回避もしくは抑制する機構が存在していなかった.今も存在していないのかもしれない. ネットワーク資源を保護する機能がないままP2…

29日08時頃 218.75.198.35(China, Fujian, Hunan, Data Communication Division, CHINANET-HN Zhuzhou node network, Linux2.6,seldom2.4, 20hop) ポートスキャンの5分後,反応のあった34のアドレスに対してパスワードを破ろうとする. SSHサーバーのリストが…

1パスワードを解析,2ヶ月近く沈黙していたが,同じ日に3つの場合について各1個づつ発見された. http://d.hatena.ne.jp/naablaa/20061223#p1

Javaで作成されたBitTorrentの一分派.Javaであるためか,Linux,MacOSでも動作. スピード,ピア数の調整機能,IRCクライアント機能,自ファイルの配布を簡単にするEmbedded Tracker機能,機能拡張プラグインなどがある. www.vuse.comにPOSTによるログインアクセス…

リンク http://heartbeat.skype.com/2007/08/the_microsoft_connection_explained.html http://blog.lares.jp/log/eid1819.html 日本時間で午後4時頃に夜中3時だったアメリカ東部にあるコンピュータの再起動が危険な数に達してしまった? 運悪くその時間にス…

スーパーノードだったコンピュータには60万IP/15分,140万IP/1時間のアクセスがやって来たらしい. http://linuxbox.org/pipermail/funsec/2007-August/013584.html クライアントの要求がほぼ全てのスーパーノードをタライ回しの状態? クライアントの要求を解…

リンク http://heartbeat.skype.com/2007/08/what_happened_on_august_16.html 多数のコンピュータが再起動したこと. コンピュータそのものが再起動?ソフトウエアが再起動? コンピュータの再起動はWindows Updateが原因?? http://isc.sans.org/diary.html?st…

Skypeにはglobal indexという検索リストを管理する特別なノードがあり,全体の1%程度が選ばれるらしい. http://www.itmedia.co.jp/enterprise/articles/0505/30/news070.html スーパーノードの集合が一度何らかの理由で過負荷状態になるか,検索の多くが正常終…

16日17時30分頃からSkypeの発生するP2P接続対象のアドレス数が通常の100から1000倍に増加する現象が発生. Windows,MacOS,およびバージョンや言語の区別なく発生.Linuxでも恐らく発生すると思われる.新バージョンがエンバグしているというわけではないらしい …

nForceチップセットにはEtherネットインターフェースが含まれていて,Linux2.6カーネルでこれを駆動しているのはdrivers/net/forcedeth.c nForceチップセットの中にはBIOSが正しくEtherアドレスを返答しないものや他と逆順で返答するものなどがあり,Etherアド…

12日8時頃 194.110.162.15(United States, Pennsylvania, Host, Extended Host, Linux2.6, 11hop) ポートスキャンの3分後,反応のあった22のアドレスに対してroot等のパスワードを破ろうとする. 30分ほど攻撃を持続.最後の10分は1つに対象を絞る. バナーはSSH…