ウイルス感染

学術情報メディアセンターのネットワークからポート攻撃をしているという注意がきた。
12:10:27.682243 130.158.152.140.61464 > 71.69.88.218.5900: tcp 0
12:10:27.683284 130.158.152.140.61033 > 71.161.71.37.5900: tcp 0
12:10:27.841584 130.158.152.140.61901 > 71.179.104.16.5900: tcp 0
12:10:27.974443 130.158.152.140.63456 > 71.87.35.153.5900: tcp 0
12:10:27.974981 130.158.152.140.63594 > 71.171.175.155.5900: tcp 0
12:10:27.975584 130.158.152.140.60831 > 71.99.230.90.5900: tcp 0
だそうである。140からランダムなアドレスに対してポート5900が開いているかを調べているやつである。一昨日もあったのだが、そのときはポートが5901で攻撃先のip はご丁寧に一つずつ増やして攻撃していた。

実務管理者(要するにサーバのadmin)は、8月にネットワークの更新が予定されていて、夏季休暇を8月にはとれないだろうからと、早めの夏休みをとっていて不在である。だからログが見えない。
また140が何者であるかを知らされていない。多分、 NATの上流側だろうと見当はつくものの、どのLANケーブルかもわからない。
というわけで一昨日は、140のマシン・ケーブルを同定し、間にリピータを挿入してパケットモニタ Vigil を動作させるところまでしかできなかった。感染したパソコンが電源を落としたようで、パケットが飛ばさなくなったからである。
ログを読むことができないので、パケットを飛ばしていないと感染パソコンを見つけることができないのだ。
一日中、パケットモニタを見ているわけにいかない。
で、再度、学情から連絡のあった12日に、あわてて調査開始。調査といってもセグメントの上流のケーブルを抜いて、パケットがでているかどうかを見るだけである。パソコンの電源を落とさないでくれと祈りつつ、調査開始。
で、どのセグメントかの同定ができて、成端箱まで行って、どの部屋からかを探しだし、パソコンを同定した。
と2行で終わっちゃうけど、実際は大変だ、セグメントが21ヶもあるし、各セグメントには2つ以上のハブ(20本以上のケーブル)がある。1本抜いてはチェックを繰り返すのである。モニタを見ている人とケーブルを抜く人の間は距離があるのでトランシーバでやり取りする。電話じゃないので、片側通行なので、トランシーバに慣れていないと情報が伝わらない。セグメントが同定できた時点で、ハブのLEDの点滅をみれば候補はすぐわかるが。さらに部屋を同定できたのはいいが、施錠されていて、住人は不在。警備員を呼んで、開錠してもらい、立ち会ってもらって、パソコンから LANケーブルを抜いて、確認した。ノートパソコンでスリープ状態でもパケットを飛ばしていた。
失敗は、セグメントを切っているルータへケーブルを元に戻すのに間違えてしまったことにある。ポート番号とセグメント名の対応表が貼ってあったのだが、実は違っていたのだ。
学群と動物センタと電算機室を入れ違えてしまったのだ。
DHCPだから入れ替えても、パソコンはIP Addressを再取得すれば問題ないが、プリンタなどの固定 IPの機器が使えなくなってしまったのだ。
ちうわけで、言い訳をしつつ、全員に結果のメールを出した。
##############################
昨日(11日)と本日(12日)ネットワークの断続と、一部でプリンタ等との接続ができないことがあました。その原因となったウイルスの感染があったと思われるパソコンについての調査の結果を報告します。
[ 略 ]
このように、ウイルスに感染すると、被害者であると同時に加害者にもなることを十分認識していただき、パソコンのセキュリティには十分な注意を払っていただくようお願いします。
#############################
あー。8月のネットワーク工事も大変だぞ。この調子だと。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です