学術情報メディアセンターのネットワークからポート攻撃をしているという注意がきた。
12:10:27.682243 130.158.152.140.61464 > 71.69.88.218.5900: tcp 0
12:10:27.683284 130.158.152.140.61033 > 71.161.71.37.5900: tcp 0
12:10:27.841584 130.158.152.140.61901 > 71.179.104.16.5900: tcp 0
12:10:27.974443 130.158.152.140.63456 > 71.87.35.153.5900: tcp 0
12:10:27.974981 130.158.152.140.63594 > 71.171.175.155.5900: tcp 0
12:10:27.975584 130.158.152.140.60831 > 71.99.230.90.5900: tcp 0
だそうである。１４０からランダムなアドレスに対してポート５９００が開いているかを調べているやつである。一昨日もあったのだが、そのときはポートが５９０１で攻撃先のip はご丁寧に一つずつ増やして攻撃していた。

実務管理者（要するにサーバのadmin）は、８月にネットワークの更新が予定されていて、夏季休暇を８月にはとれないだろうからと、早めの夏休みをとっていて不在である。だからログが見えない。
また１４０が何者であるかを知らされていない。多分、　NATの上流側だろうと見当はつくものの、どのLANケーブルかもわからない。
というわけで一昨日は、１４０のマシン・ケーブルを同定し、間にリピータを挿入してパケットモニタ　Vigil を動作させるところまでしかできなかった。感染したパソコンが電源を落としたようで、パケットが飛ばさなくなったからである。
ログを読むことができないので、パケットを飛ばしていないと感染パソコンを見つけることができないのだ。
一日中、パケットモニタを見ているわけにいかない。
で、再度、学情から連絡のあった１２日に、あわてて調査開始。調査といってもセグメントの上流のケーブルを抜いて、パケットがでているかどうかを見るだけである。パソコンの電源を落とさないでくれと祈りつつ、調査開始。
で、どのセグメントかの同定ができて、成端箱まで行って、どの部屋からかを探しだし、パソコンを同定した。
と２行で終わっちゃうけど、実際は大変だ、セグメントが２１ヶもあるし、各セグメントには２つ以上のハブ（２０本以上のケーブル）がある。１本抜いてはチェックを繰り返すのである。モニタを見ている人とケーブルを抜く人の間は距離があるのでトランシーバでやり取りする。電話じゃないので、片側通行なので、トランシーバに慣れていないと情報が伝わらない。セグメントが同定できた時点で、ハブのLEDの点滅をみれば候補はすぐわかるが。さらに部屋を同定できたのはいいが、施錠されていて、住人は不在。警備員を呼んで、開錠してもらい、立ち会ってもらって、パソコンから　LANケーブルを抜いて、確認した。ノートパソコンでスリープ状態でもパケットを飛ばしていた。
失敗は、セグメントを切っているルータへケーブルを元に戻すのに間違えてしまったことにある。ポート番号とセグメント名の対応表が貼ってあったのだが、実は違っていたのだ。
学群と動物センタと電算機室を入れ違えてしまったのだ。
DHCPだから入れ替えても、パソコンはIP Addressを再取得すれば問題ないが、プリンタなどの固定　IPの機器が使えなくなってしまったのだ。
ちうわけで、言い訳をしつつ、全員に結果のメールを出した。
##############################
昨日（１１日）と本日（１２日）ネットワークの断続と、一部でプリンタ等との接続ができないことがあました。その原因となったウイルスの感染があったと思われるパソコンについての調査の結果を報告します。
[ 略 ]
このように、ウイルスに感染すると、被害者であると同時に加害者にもなることを十分認識していただき、パソコンのセキュリティには十分な注意を払っていただくようお願いします。
#############################
あー。８月のネットワーク工事も大変だぞ。この調子だと。