社内のとあるPCには、symantec社のセキュリティソフトがインストールされています。
そのソフトより次のようなメッセージが頻繁に表示されるようになりました。
警告の概略:
高レベル、999.99.99.99(伏字にしてあります)による侵入の試みを遮断しました。
詳細:
リスク名:MSRPC SrvSvc NetApi Buffer Overflow(2)
危険度:高
デフォルト処理:遮断する
適用した処理:遮断する
攻撃側コンピュータ:999.99.99.99(既出のIPと同じです), 2935
送信先アドレス:(省略してよろしいですか?)
トラフィックの説明:TCP, 2935
この度、伏字にしたIPアドレスはソフト上では表示されているのですが、この度お伺いさせていただくにあたり、現状では伏字とさせていただきました。
この(伏字とさせていただいた)IPアドレスに対して、どのような対応がとれるでしょうか?
IPアドレスが日本国内のものであれば、http://whois.jp/で
IPアドレスの検索します。
検索がヒットすれば、技術担当者連絡先がでてくるので、
その技術担当者連絡先に対して以下のようなメールを送付します
-------------------------------------------------
ご担当者、
貴社管理と思われるIPアドレスから攻撃を受けております。
調査、対処お願いします
発信元IP:XXX.XXX.XXX.XXX
発信先IP:XXX.XXX.XXX.XXX
発生時間:YYYY/MM/DD hh:mm:ss
----------------------------------------------------
技術担当連絡者はそのIPが何に使われているかを調査し、
該当するIPの利用元に調査依頼を投げると思われます。
海外の場合は、whois.jpでヒットしないので
なところでwhois元を検索して、
http://www.apnic.net/apnic-bin/whois.pl
で連絡先を検索すれば出てくると思うのですが、
上記のような問い合わせをして通じるかは不明です。
IPアドレスが日本国内のものであれば、http://whois.jp/で
IPアドレスの検索します。
検索がヒットすれば、技術担当者連絡先がでてくるので、
その技術担当者連絡先に対して以下のようなメールを送付します
-------------------------------------------------
ご担当者、
貴社管理と思われるIPアドレスから攻撃を受けております。
調査、対処お願いします
発信元IP:XXX.XXX.XXX.XXX
発信先IP:XXX.XXX.XXX.XXX
発生時間:YYYY/MM/DD hh:mm:ss
----------------------------------------------------
技術担当連絡者はそのIPが何に使われているかを調査し、
該当するIPの利用元に調査依頼を投げると思われます。
海外の場合は、whois.jpでヒットしないので
なところでwhois元を検索して、
http://www.apnic.net/apnic-bin/whois.pl
で連絡先を検索すれば出てくると思うのですが、
上記のような問い合わせをして通じるかは不明です。
takki7様、ありがとうございます。
whois.jp/を試したところ、日本国内のようでしたので、早速メールを送りました。
(余談)
3人の連絡先があり、肩書き(役職)のない方へ電話連絡を試みたところ、不在でした。
代理の方の対応が『けんもほろろ』。
担当部長へのメールでの連絡とさせていただきました。
ああ、ノートン君だとでるんですよね。
MSRPC SrvSvc NetApi Buffer Overflowそのものは、今の所
大した事じゃないので(使われ方によっては危険なだけなので
ノートン君が先手をうって、警告を出すようにしたみたいです)
↓
http://www.symantec.com/region/jp/avcenter/security/content/2006...
で、ここに書かれているように、最新の Security Update をダウンロードしてみてください
多分これで止まるのでは?
↓
それでも駄目なら、警告メッセージそのものを切りましょう
報告いらないし
http://service1.symantec.com/SUPPORT/INTER/nisjapanesekb.nsf/jp_...
もっとも企業であれば、ルーターの設定で、そのIPからのアクセス遮断でよいと思います
ちなみに攻撃元をしりたーいというのであれば、これを使って IPの所在地を割り出しましょう
なかなか便利です
tamtam3様、ありがとうございます。
PCのユーザーに、LiveUpdateしているかどうかを確認いたします。
(性格上、しているとは思うのですが・・)
攻撃側コンピュータが外部のIPアドレスであれば、そのIP元に連絡しても、ボットである可能性が高いのでほとんど対応は望めないでしょう。
TCP 2935 ポートをルータで遮断してしまえばいいと思います。
もし、そのIP元がLAN内のPCのものであれば、そのPCがウイルス等に感染してボット化されている可能性がありますので、ネットワークから切り離し適切な処置をする必要があります。
ootatmt様、ありがとうございます。
> ボットである可能性が高いのでほとんど対応を望めないでしょう。
対応しきれていないほど、蔓延しているのでしょうか?残念な世の中です。
もしよろしければ、甘えさせていただきたいことがございます。
> TCP 2935ポートをルータで遮断・・・
どのようにすればよろしいのでしょうか?
買ってきた各種機器をつないでいるだけで、設定等は不勉強なままです。
takki7様、ありがとうございます。
whois.jp/を試したところ、日本国内のようでしたので、早速メールを送りました。
(余談)
3人の連絡先があり、肩書き(役職)のない方へ電話連絡を試みたところ、不在でした。
代理の方の対応が『けんもほろろ』。
担当部長へのメールでの連絡とさせていただきました。