[connect24h:01664] Re: 状況整理と対応私案 (ver.2241900)

[syun <syun@xxxxxxx>]

こんにちは、馬場です。

東京メタリック通信で ADSL 接続しています。

私は、この１週間、iplog を使ってひたすらパケットを監視していました。
カーネルコンパイルなどで Reboot したので、マシンのIPアドレスは、
５回程かわりましたが、40弱のホストから rpc や dns 回りへのスキャン
を受けました。

そのうち、６ホストに、次のような内容のメールを書きました。

「◯日◯時◯分頃、あなたのホスト（IPアドレス：XXX.XXX.XXX.XXX）から、
◯◯におかしなアクセスがありました。あなたのホストが、
ウイルスに感染したり、乗っ取られたりしていなければ良いのですが。」

１つのホスト（国内）からは、社長名で謝罪と早急な対策を取るという
主旨のメールがきました（乗っ取られたそうです）。

もう一つのホスト（韓国）からは、
「ごめんなさい。でも、そのホストは私の機関が対処出来るものでは
無いのです。うちは、ドメインを管理しているだけなので。」
とメールがきました。その後も、このホストから変なアクセスがきました。

管理しているならホストの管理者に対応要請してよ、と思いましたが、
私個人では、これ以上の対応は取れませんでした。

＃ 今日は変なアクセスは１つだけでした。

Feb 25 19:44:12 amigo iplog[2555]: UDP: scan/flood detected 
                [ports 6976,6982] from 63.XXX.XXX.XXX [ports 7002,29976]

他の４ホストからは、返事はありませんでした。

>> 実ソースアドレスがMLやWeb上で公開されてしまうのはまずいかも
>> しれませんね。集めた情報は原則的には非公開ということにすれば
>> 大丈夫かな？
>
>というのがあるし、作為的に偽のデータを流されるとい
>うことも考えないといけないから難しいですかね。

そうですね。でも、攻撃元は、複数のホストにスキャンをかけるので、
報告の数で確からしさは上ると思います。

企業、学校、国など、各種団体で常時接続しているホストに、
スキャンや攻撃未遂を検出する Software を動かして、情報を
集める仕組は出来ないでしょうかね。

その Software の動いているホストを非公開にしておいて。