09. ウィルスからの攻撃
中国からのアタック
最近、中国からxmlrpc.phpのアタックがあります。このファイルはないのですが、中国は何でも平気でやってくるので困ったものです。
202.103.42.108 - - [04/Mar/2006:22:10:52 +0900] "POST /xmlrpc.php HTTP/1.1"
202.103.42.108 - - [04/Mar/2006:22:10:53 +0900] "POST /blog/xmlrpc.php HTTP/1.1" 202.103.42.108 - - [04/Mar/2006:22:10:54 +0900] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1"
202.103.42.108 - - [04/Mar/2006:22:10:55 +0900] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1"
202.103.42.108 - - [04/Mar/2006:22:10:57 +0900] "POST /drupal/xmlrpc.php HTTP/1.1"
202.103.42.108 - - [04/Mar/2006:22:10:58 +0900] "POST /phpgroupware/xmlrpc.php HTTP/1.1"
202.103.42.108 - - [04/Mar/2006:22:10:59 +0900] "POST /wordpress/xmlrpc.php HTTP/1.1"
202.103.42.108 - - [04/Mar/2006:22:11:00 +0900] "POST /xmlrpc.php HTTP/1.1"
202.103.42.108 - - [04/Mar/2006:22:11:02 +0900] "POST /xmlrpc/xmlrpc.php HTTP/1.1"
202.103.42.108 - - [04/Mar/2006:22:11:03 +0900] "POST /xmlsrv/xmlrpc.php HTTP/1.1"
Mac OS X狙う新ウイルス AS.MW2004.Trojan
ITmedia総合情報サイトのMac OS X狙う新ウイルス、P2Pで感染拡大によると、トロイの木馬「AS.MW2004.Trojan」が発見され、P2Pネットワーク「Gnutella」を介して感染するようだ。
ホームホルダー内のファイルがすべて消去されるらしく、その下にある、Picture , Documents , Music等のファイルが消えるということは被害は甚大であり、取り返しがつかない。
紹介されているウィルスのアイコンをみると、これは明らかに、マイクロソフトオフィスの「大事なお知らせ」のアイコンで、これを悪用している。
MacのGnutellaで有名なのは、Limewireだと思われるが、使ったいるユーザの方は注意が必要だ。
個人的には利用していないので、Gnutella経由での感染はないが、それ以外の感染ルートが本当にないのか心配である。
ウィルス感染したPCのオープンポート
ウィルスに感染したPCから、サーバに対して未だにDoS攻撃が続いているが、ウィルス感染したPCがオープンにしているポートを調べてみたら下記の通りでした。
自分のPCのポートがオープンになっているか調べてみて、もし、意識してオープンしていないポートが開いていたら、ウィルス感染を疑ってもいいのではないでしょうか。
それにしても攻撃の数から考えると、相当数の人が未だに、古いウィするに感染していると思われる。
Open Port: 113 ident
Open Port: 135 epmap
Open Port: 445 microsoft-ds
Open Port: 1025 blackjack
Open Port: 3008 midnight-tech
Open Port: 4551
Open Port: 5000 commplex-main
Open Port: 6621
Open Port: 10145
Open Port: 13984
Open Port: 15472
Open Port: 15918
Open Port: 16028
Open Port: 16323
Open Port: 19979
Open Port: 21233
Open Port: 21988
Open Port: 29484
Open Port: 30001 pago-services1
続々ぷららユーザ?からのDoS攻撃
3月27日より、Webサーバに対して、DoS攻撃が続いているが、これは、ぷららユーザからの故意の攻撃ではないと判断しました。
1.ぷららの不特定でかつ多数のアクセスポイントからの攻撃であること。
2.最近、OCNユーザ、moperaユーザ、ODNユーザ、海外からも攻撃があるとこと。
3.攻撃がうまくいっていないにも関わらず、定期的に攻撃を仕掛けてくること。
4.攻撃を仕掛けてくる端末のポート(135 , 139 , 445 , 1025 , 2745 , .....)が無防備にも数多くオープンになっている。 これはウィルスにとっては格好のターゲットであり、ウィルス感染している可能性が高い。
以上の理由より、おそらくウィルス感染した端末からの攻撃であると判断しています。
これらウィルスに感染した端末のユーザへ通知する方法もなく、これらユーザは無防備のため、今後、さらに新手の悪意あるウィルスに感染する可能性は残念ながらきわめて高い。
常時接続の場合、踏み台にされる可能性もある。 危険な状況である。
サーバ管理者はこのようなユーザから日々身を守る努力をする必要があり、セキュリティのためのコストは日々増すばかりである。
攻撃してくる相手のそのときにIPアドレスは分かっているので、ISPがユーザにウィルス感染を通知してくれると、ユーザも助かり、また、世の中のためにもなります。
これにより、ウィルスが駆除されれば、そのISPは健全なユーザの集まるISPとしてブランドも高まると思いますが、ISPの方このような努力をされてみてはいかがでしょうか。
続ぷららユーザ?からのDoS攻撃
今もまだ攻撃が続いています。 これはウィルスに感染したユーザからの攻撃の可能性は十分あります。大量のデータは、ポート80番だけでなく、下記の多くのポートにも送られてきていることがわかりました。
順番にポート2745(TCP), 135(TCP), 1025(TCP), 445(TCP), 3127(TCP), 6129(TCP), 139(TCP), 139(TCP), 2745(TCP), 139(TCP), 2745(TCP), 2745(TCP), 6129(TCP), 3127(TCP) , 80(TCP)
我が家では、ダイアルアップルータで、ほとんどのポートを閉じているので、上記ポートに来るパケットはすべて破棄しているが、不安です。
Windowsのことはよくわからないのですが、これらポート135, 139 , 445, 1025は、WindowsOSのサービスポートのようで、Windowsユーザは開いている可能性が高いようです。
まず、Windowsユーザはセキュリティパッチをあて、インターネットに接続するときは、これらポートを閉じて接続する方が賢明だと思います。
きっと、ADSL/FTTHユーザでも、ADSLモデム、ONU経由で直接接続している方は多いのではないでしょうか。
注意が必要だと思います。
不正アクセス監視のSnortというソフトの勉強をはじめようと思います。
2004/04/04 22:56:22
220.220.147.203/3779
220.220.71.128/3127
TCP
廃棄[NAT]
2004/04/04 22:56:22
220.220.147.203/3783
220.220.71.128/6129
TCP
廃棄[NAT]
2004/04/04 22:56:22
220.220.147.203/3773
220.220.71.128/2745
TCP
廃棄[NAT]
2004/04/04 22:56:22
220.220.147.203/3787
220.220.71.128/139
TCP
廃棄[NAT]
2004/04/04 22:56:16
220.220.147.203/3773
220.220.71.128/2745
TCP
廃棄[NAT]
2004/04/04 22:56:16
220.220.147.203/3787
220.220.71.128/139
TCP
廃棄[NAT]
2004/04/04 22:56:13
220.220.147.203/3787
220.220.71.128/139
TCP
廃棄[NAT]
2004/04/04 22:56:13
220.220.147.203/3783
220.220.71.128/6129
TCP
廃棄[NAT]
2004/04/04 22:56:13
220.220.147.203/3779
220.220.71.128/3127
TCP
廃棄[NAT]
2004/04/04 22:56:13
220.220.147.203/3778
220.220.71.128/445
TCP
廃棄[NAT]
2004/04/04 22:56:13
220.220.147.203/3777
220.220.71.128/1025
TCP
廃棄[NAT]
2004/04/04 22:56:13
220.220.147.203/3774
220.220.71.128/135
TCP
廃棄[NAT]
2004/04/04 22:56:13
220.220.147.203/3773
220.220.71.128/2745
TCP
廃棄[NAT]
ぷららユーザ?からのDoS攻撃
以前は、ウィルスに感染したと思われる方からのアタックはあったのですが、最近、自宅サーバへのDoS攻撃が激しくなってきた。
Macintoshには「ネットワークユーティリティ」というすばらしユーティリティがあり、調べてみると、「ぷららユーザ」からのDoS攻撃のようである。
ぷららはトラフィックを監視しているようですが、是非、このようなDoS攻撃を行うユーザの規制を行っていただきたいものである。
常に監視していますが、ここ最近、ひつこく攻撃をしてきます。
もしかして、ウィルス感染者からのアタックなのだろうか?
でも、99%がぷららネットワークからのアタックなので、ウィルス感染者であれば、ぷらら以外からのアタックもあってもいいですね。
---
送られてくる大量データ
220.220.244.3 - - [03/Apr/2004:23:49:20 +0900] "SEARCH "/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\"........延々と続きます。
これは、表示したら、Safariが動かなくなったので、削除しました。
---
攻撃のログの一部
220.220.148.50 - - [27/Mar/2004:00:44:54 +0900]
220.220.182.209 - - [27/Mar/2004:20:37:01 +0900]
220.220.209.3 - - [28/Mar/2004:07:43:26 +0900]
220.220.209.3 - - [28/Mar/2004:08:01:12 +0900]
220.184.200.229 - - [28/Mar/2004:12:07:30 +0900]
220.220.209.98 - - [28/Mar/2004:21:47:59 +0900]
220.220.6.77 - - [29/Mar/2004:11:41:56 +0900]
220.220.85.36 - - [30/Mar/2004:03:42:52 +0900]
220.220.31.204 - - [30/Mar/2004:09:21:29 +0900]
220.220.138.66 - - [30/Mar/2004:19:13:43 +0900]
220.220.200.95 - - [30/Mar/2004:20:08:47 +0900]
220.220.44.242 - - [30/Mar/2004:20:11:20 +0900]
220.220.218.133 - - [30/Mar/2004:21:20:44 +0900]
220.220.76.150 - - [30/Mar/2004:21:33:41 +0900]
220.220.140.178 - - [30/Mar/2004:21:41:35 +0900]
220.220.186.234 - - [30/Mar/2004:22:11:06 +0900]
220.220.30.102 - - [30/Mar/2004:22:45:57 +0900]
220.220.99.30 - - [30/Mar/2004:23:56:38 +0900]
220.220.99.30 - - [30/Mar/2004:23:58:35 +0900]
220.220.193.231 - - [31/Mar/2004:00:26:10 +0900]
220.220.24.16 - - [01/Apr/2004:00:13:37 +0900]
220.220.116.66 - - [01/Apr/2004:00:40:55 +0900]
220.220.65.56 - - [01/Apr/2004:02:13:58 +0900]
220.220.179.223 - - [01/Apr/2004:04:36:25 +0900]
220.220.179.223 - - [01/Apr/2004:05:12:59 +0900]
220.220.179.223 - - [01/Apr/2004:06:12:34 +0900]
220.220.50.123 - - [01/Apr/2004:09:29:47 +0900]
220.220.131.30 - - [01/Apr/2004:09:39:07 +0900]
220.220.80.72 - - [01/Apr/2004:10:10:47 +0900]
220.220.33.235 - - [01/Apr/2004:10:31:20 +0900]
220.220.13.217 - - [01/Apr/2004:11:10:42 +0900]
220.220.13.217 - - [01/Apr/2004:11:29:31 +0900]
220.220.13.217 - - [01/Apr/2004:11:36:33 +0900]
220.220.79.145 - - [01/Apr/2004:14:20:59 +0900]
220.220.87.251 - - [01/Apr/2004:14:29:27 +0900]
220.220.156.43 - - [01/Apr/2004:14:42:56 +0900]
220.220.218.79 - - [01/Apr/2004:16:37:37 +0900]
220.220.148.84 - - [01/Apr/2004:22:48:18 +0900]
220.220.155.104 - - [01/Apr/2004:23:09:26 +0900]
220.220.148.84 - - [02/Apr/2004:00:22:33 +0900]
220.220.147.195 - - [02/Apr/2004:00:37:58 +0900]
220.220.26.80 - - [02/Apr/2004:02:15:55 +0900]
220.220.206.200 - - [02/Apr/2004:03:27:17 +0900]
220.220.145.72 - - [02/Apr/2004:04:37:04 +0900]
220.220.84.67 - - [02/Apr/2004:04:51:28 +0900]
220.220.84.67 - - [02/Apr/2004:06:07:12 +0900]
220.220.121.200 - - [02/Apr/2004:06:10:48 +0900]
220.220.139.18 - - [02/Apr/2004:07:35:32 +0900]
220.220.198.164 - - [02/Apr/2004:10:05:48 +0900]
220.220.158.122 - - [02/Apr/2004:10:17:33 +0900]
220.220.13.19 - - [02/Apr/2004:10:52:05 +0900]
220.220.13.19 - - [02/Apr/2004:10:54:22 +0900]
220.220.118.212 - - [02/Apr/2004:11:38:24 +0900]
220.220.109.236 - - [02/Apr/2004:12:05:23 +0900]
220.220.101.141 - - [02/Apr/2004:12:16:49 +0900]
220.220.138.93 - - [02/Apr/2004:12:23:37 +0900]
220.220.157.137 - - [02/Apr/2004:12:33:33 +0900]
220.220.219.36 - - [02/Apr/2004:12:35:41 +0900]
220.220.48.209 - - [02/Apr/2004:13:44:34 +0900]
220.220.168.169 - - [02/Apr/2004:14:39:39 +0900]
220.220.147.80 - - [02/Apr/2004:14:44:09 +0900]
220.220.186.129 - - [02/Apr/2004:15:07:53 +0900]
220.220.142.103 - - [02/Apr/2004:15:11:14 +0900]
220.220.147.80 - - [02/Apr/2004:15:29:14 +0900]
220.220.126.15 - - [02/Apr/2004:15:57:44 +0900]
220.220.180.163 - - [02/Apr/2004:16:45:47 +0900]
220.220.145.37 - - [02/Apr/2004:16:49:05 +0900]
220.220.42.102 - - [02/Apr/2004:17:56:02 +0900]
220.220.1.125 - - [02/Apr/2004:18:13:59 +0900]
220.220.144.41 - - [02/Apr/2004:19:39:14 +0900]
220.220.177.27 - - [02/Apr/2004:22:10:15 +0900]
220.220.125.234 - - [02/Apr/2004:22:47:25 +0900]
220.220.146.205 - - [02/Apr/2004:22:54:32 +0900]
220.220.126.253 - - [02/Apr/2004:22:57:52 +0900]
220.220.63.94 - - [02/Apr/2004:23:19:07 +0900]
220.220.140.245 - - [02/Apr/2004:23:21:47 +0900]
220.220.191.187 - - [02/Apr/2004:23:27:07 +0900]
220.220.197.164 - - [02/Apr/2004:23:55:20 +0900]
220.220.112.102 - - [03/Apr/2004:00:45:01 +0900]
220.220.181.63 - - [03/Apr/2004:00:48:56 +0900]
220.220.79.72 - - [03/Apr/2004:00:54:29 +0900]
220.220.218.77 - - [03/Apr/2004:01:34:37 +0900]
220.220.71.231 - - [03/Apr/2004:01:38:52 +0900]
220.220.71.231 - - [03/Apr/2004:01:40:44 +0900]
220.220.71.231 - - [03/Apr/2004:01:41:29 +0900]
220.220.71.231 - - [03/Apr/2004:01:41:53 +0900]
220.220.71.231 - - [03/Apr/2004:01:43:30 +0900]
220.220.71.231 - - [03/Apr/2004:01:44:21 +0900]
220.220.71.231 - - [03/Apr/2004:01:44:58 +0900]
220.220.71.231 - - [03/Apr/2004:01:45:13 +0900]
220.220.71.231 - - [03/Apr/2004:01:46:57 +0900]
220.220.71.231 - - [03/Apr/2004:01:48:07 +0900]
220.220.71.231 - - [03/Apr/2004:01:49:14 +0900]
220.220.71.231 - - [03/Apr/2004:01:50:10 +0900]
220.220.71.231 - - [03/Apr/2004:01:50:10 +0900]
220.220.71.231 - - [03/Apr/2004:01:50:13 +0900]
220.220.71.231 - - [03/Apr/2004:01:51:10 +0900]
220.220.71.231 - - [03/Apr/2004:01:51:21 +0900]
220.220.71.231 - - [03/Apr/2004:01:51:39 +0900]
220.220.71.231 - - [03/Apr/2004:01:51:57 +0900]
220.220.71.231 - - [03/Apr/2004:01:53:06 +0900]
220.220.71.231 - - [03/Apr/2004:01:56:54 +0900]
220.220.71.231 - - [03/Apr/2004:01:58:22 +0900]
220.220.71.231 - - [03/Apr/2004:02:01:05 +0900]
220.220.71.231 - - [03/Apr/2004:02:02:48 +0900]
220.220.71.231 - - [03/Apr/2004:02:04:14 +0900]
220.220.116.148 - - [03/Apr/2004:02:30:34 +0900]
220.220.151.199 - - [03/Apr/2004:02:31:21 +0900]
220.220.113.182 - - [03/Apr/2004:02:32:38 +0900]
220.220.76.125 - - [03/Apr/2004:02:44:32 +0900]
220.220.98.156 - - [03/Apr/2004:04:42:34 +0900]
220.220.178.104 - - [03/Apr/2004:05:36:59 +0900]
220.220.88.136 - - [03/Apr/2004:05:48:25 +0900]
220.220.178.104 - - [03/Apr/2004:05:49:53 +0900]
220.220.93.243 - - [03/Apr/2004:08:33:17 +0900]
220.220.41.154 - - [03/Apr/2004:09:06:13 +0900]
220.220.65.116 - - [03/Apr/2004:09:40:41 +0900]
220.220.78.243 - - [03/Apr/2004:10:37:19 +0900]
220.220.157.94 - - [03/Apr/2004:10:41:03 +0900]
220.220.91.105 - - [03/Apr/2004:12:06:44 +0900]
220.220.40.23 - - [03/Apr/2004:12:36:54 +0900]
220.220.190.241 - - [03/Apr/2004:12:48:21 +0900]
220.220.75.30 - - [03/Apr/2004:12:55:35 +0900]
220.220.85.179 - - [03/Apr/2004:13:09:16 +0900]
220.220.25.81 - - [03/Apr/2004:13:14:14 +0900]
220.220.137.107 - - [03/Apr/2004:13:27:30 +0900]
220.220.136.22 - - [03/Apr/2004:15:15:46 +0900]
220.220.49.147 - - [03/Apr/2004:16:59:05 +0900]
220.220.241.150 - - [03/Apr/2004:17:28:37 +0900]
220.220.151.154 - - [03/Apr/2004:17:36:43 +0900]
220.220.126.239 - - [03/Apr/2004:18:14:15 +0900]
220.220.243.231 - - [03/Apr/2004:18:20:03 +0900]
220.220.139.110 - - [03/Apr/2004:18:48:51 +0900]
220.220.241.150 - - [03/Apr/2004:19:08:03 +0900]
220.220.139.110 - - [03/Apr/2004:19:14:50 +0900]
220.220.225.132 - - [03/Apr/2004:20:15:55 +0900]
220.220.50.185 - - [03/Apr/2004:20:52:55 +0900]
220.220.213.233 - - [03/Apr/2004:20:55:09 +0900]
220.220.232.56 - - [03/Apr/2004:21:10:33 +0900]
220.220.159.123 - - [03/Apr/2004:21:37:33 +0900]
220.220.26.153 - - [03/Apr/2004:21:56:37 +0900]
220.220.159.157 - - [03/Apr/2004:22:19:05 +0900]
220.220.244.3 - - [03/Apr/2004:23:49:20 +0900]
220.220.93.15 - - [03/Apr/2004:23:59:54 +0900]
