人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

PCのセキュリティについて、ご意見をお聞かせください。

社内のとあるPCには、symantec社のセキュリティソフトがインストールされています。
そのソフトより次のようなメッセージが頻繁に表示されるようになりました。

警告の概略:
高レベル、999.99.99.99(伏字にしてあります)による侵入の試みを遮断しました。
詳細:
リスク名:MSRPC SrvSvc NetApi Buffer Overflow(2)
危険度:高
デフォルト処理:遮断する
適用した処理:遮断する
攻撃側コンピュータ:999.99.99.99(既出のIPと同じです), 2935
送信先アドレス:(省略してよろしいですか?)
トラフィックの説明:TCP, 2935


この度、伏字にしたIPアドレスはソフト上では表示されているのですが、この度お伺いさせていただくにあたり、現状では伏字とさせていただきました。

この(伏字とさせていただいた)IPアドレスに対して、どのような対応がとれるでしょうか?

●質問者: タイシン@我孫子
●カテゴリ:コンピュータ インターネット
✍キーワード:999.9 IP IPアドレス Overflow pc
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● takki7
●50ポイント ベストアンサー

IPアドレスが日本国内のものであれば、http://whois.jp/

IPアドレスの検索します。

検索がヒットすれば、技術担当者連絡先がでてくるので、

その技術担当者連絡先に対して以下のようなメールを送付します

-------------------------------------------------

ご担当者、

貴社管理と思われるIPアドレスから攻撃を受けております。

調査、対処お願いします

発信元IP:XXX.XXX.XXX.XXX

発信先IP:XXX.XXX.XXX.XXX

発生時間:YYYY/MM/DD hh:mm:ss

----------------------------------------------------

技術担当連絡者はそのIPが何に使われているかを調査し、

該当するIPの利用元に調査依頼を投げると思われます。

海外の場合は、whois.jpでヒットしないので

http://www.arin.net/whois/

なところでwhois元を検索して、

http://www.apnic.net/apnic-bin/whois.pl

で連絡先を検索すれば出てくると思うのですが、

上記のような問い合わせをして通じるかは不明です。

◎質問者からの返答

takki7様、ありがとうございます。

whois.jp/を試したところ、日本国内のようでしたので、早速メールを送りました。

(余談)

3人の連絡先があり、肩書き(役職)のない方へ電話連絡を試みたところ、不在でした。

代理の方の対応が『けんもほろろ』。

担当部長へのメールでの連絡とさせていただきました。


2 ● tamtam3
●50ポイント

ああ、ノートン君だとでるんですよね。

MSRPC SrvSvc NetApi Buffer Overflowそのものは、今の所

大した事じゃないので(使われ方によっては危険なだけなので

ノートン君が先手をうって、警告を出すようにしたみたいです)

http://www.symantec.com/region/jp/avcenter/security/content/2006...

で、ここに書かれているように、最新の Security Update をダウンロードしてみてください

多分これで止まるのでは?

それでも駄目なら、警告メッセージそのものを切りましょう

報告いらないし

http://service1.symantec.com/SUPPORT/INTER/nisjapanesekb.nsf/jp_...



もっとも企業であれば、ルーターの設定で、そのIPからのアクセス遮断でよいと思います



ちなみに攻撃元をしりたーいというのであれば、これを使って IPの所在地を割り出しましょう

http://www.ip-adress.com/

なかなか便利です

◎質問者からの返答

tamtam3様、ありがとうございます。

PCのユーザーに、LiveUpdateしているかどうかを確認いたします。

(性格上、しているとは思うのですが・・)


3 ● ootatmt
●50ポイント

攻撃側コンピュータが外部のIPアドレスであれば、そのIP元に連絡しても、ボットである可能性が高いのでほとんど対応は望めないでしょう。

TCP 2935 ポートをルータで遮断してしまえばいいと思います。


もし、そのIP元がLAN内のPCのものであれば、そのPCがウイルス等に感染してボット化されている可能性がありますので、ネットワークから切り離し適切な処置をする必要があります。

◎質問者からの返答

ootatmt様、ありがとうございます。

> ボットである可能性が高いのでほとんど対応を望めないでしょう。

対応しきれていないほど、蔓延しているのでしょうか?残念な世の中です。

もしよろしければ、甘えさせていただきたいことがございます。

> TCP 2935ポートをルータで遮断・・・

どのようにすればよろしいのでしょうか?

買ってきた各種機器をつないでいるだけで、設定等は不勉強なままです。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ