投稿日:2002年10月02日 作成鷹の巣

No.5561 最近ポート137へのアクセス増加してませんか?



最近ポート137へのアクセス増加してませんか?

No.5561 投稿時間:2002年10月02日(Wed) 01:15 投稿者名:Klaris URL:http://members.tripod.co.jp/Klaris/

こんばんわ。
表題のとおりなんですけど最近UDPポート137へのアクセスが非常に多くないですか?
ま、NetBIOSBrowsingでも同じログが残りますから、UDP137へのアクセス=不正アクセスだとは限りませんがそれにしても最近多すぎます。
FWのログに大量に吐かれています。
試しにバックトレースしてみるとアクセスもとはアメリカ、香港、ドイツ、オーストリア、デンマークなどなど多岐にわたります。
しかもISPを利用している一般ユーザらしきIPです。なにか大規模なワームの発生などの可能性もあります。
私も引き続き調査をしてみますが情報お持ちの方いらっしゃいましたら私にも教えてください。


W32.Bugbear@mmが原因みたいですね。

No.5562 投稿時間:2002年10月02日(Wed) 01:35 投稿者名:Klaris URL:http://members.tripod.co.jp/Klaris/

W32.Bugbear@mmが原因みたいですね。
今日、昼間にMcAfeeからレポートが送られてきてはいたんですけどしっかり読んでませんでした。
どうやらこいつはネットワーク共有を使っての繁殖活動を行うみたいなんで、それでUDP137へのアクセスが多いのかもしれません。


WORM_OPASOFT.Aの可能性もありました。

No.5563 投稿時間:2002年10月02日(Wed) 01:57 投稿者名:Klaris URL:http://members.tripod.co.jp/Klaris/

WORM_OPASOFT.Aの可能性もありました。
これはトロイの木馬型ワームだそうです。自身のコピーをネットワーク上の共有ドライブにコピーして頒布する活動を行うとのこと。また、侵入したネットワーク内のコンピュータ名とドメイン名をハッカーサイトに送信する機能ももっているらしいです。
UDP137への大量アクセスの原因は主にこの2つが原因ですかね。


137-139 455は遮断したほうが

No.5569 投稿時間:2002年10月02日(Wed) 11:26 投稿者名:yk URL:

> UDP137への大量アクセスの原因は主にこの2つが原因ですかね。

上記ポ-トは、遮断したほうがいいのではないですか。

理由は
http://www.watch.impress.co.jp/pc/docs/2002/1001/dgogo38.htm
の 一番下の方にちょっと出てますが。


当然閉じてます。

No.5572 投稿時間:2002年10月02日(Wed) 13:12 投稿者名:Klaris URL:

ありがとうございます。が、外側のNetBIOS関係は当然閉じてます。
ただ、FWのログに上記パケットをdiscardしているログが大量に残ってましたので「こりゃ何だ?」と少し調査したのです。
McAfeeおよびトレンドマイクロから警告がだされたのは昨日ですが、このアクセスが発生しだしたのはその以前からです。
知らないで感染している人(主に海外)が多いと思われます。
この2つのワームはメールも感染経路に持ってますので、メール経由で感染した場合やはりNetBIOS関連のアウトバウンドパケットが発生すると思われます。したがってNetBIOSおよびLANMANのアウトバウンドパケットもフィルタリングしたほうがいいかも知れません。
このような情報はこのBBSにはあまりふさわしくなかったでしょうか?
でしたら今後セキュリティ関係の投稿は控えますが・・・。


|目次|掲示板|過去ログ目次|▲頁先頭|