2009.10.12 月曜日
GIFファイルは復旧したようです・・・
コロンブス・デー
1492年10月12日に、サンタ・マリア号で航海していた
カランバスが新大陸アメリカに到達したことに由来。
また、スペインによる侵略と殺戮、略奪が始まった日として、ブラジルを除く南アメリカ諸国でも同様の祝日が制定されており、Día de la Raza(ディア・デ・ラ・ラザ 民族の日)という名称などで呼ばれている。
芭蕉忌
元禄7年10月12日(新暦1694年11月28日)に松尾芭蕉が亡くなったことに由来。
----------
Day-10 : Several Unpopularity Ports
昨日オヤスミしたのでちょっと飛んでしまいましたが・・マズは10日目
Cyber Security Awareness Month - Day 10 - The Questionsable Ports
10日目は、「質問の多いPort番号」だそうで
1214 - Limewire/
Kazaa :P2P共有ソフトのデフォルトポート = WinnyやShareと同列
2773 - SubSeven : リモート監視ツール・悪く言えばバックドア
5631 - pcAnywhere : Symantec謹製のリモートデスクトップツール
1863 - (主として)MSN-Messenger。他にもMicrosoftの様々なアプリケーションで使用
使っていないサービスからのポートリクエストをログで発見したら、まずは疑って掛かりましょう。
そういえば、誰かがこんなこと言ってたナ
性善説はインターネットには通用しない
----------
Day-11 : Port111 and.. by RPCBind(PortMapper)
Cyber Security Awareness Month - Day 11 - RPCBind aka Portmapper
For the die hard security professionals, this month is nothing more than a review of things you have learned over the past 10-20 years.
ダレのことだろう?
RPC(Remote Procedure Call)は、クライアント=サーバシステムのような分散システムにおいて、別のアドレスマップ上にあるリソースの使用手続きのようなものです(この辺を解説すると本が2-3冊必要らしいので割愛・笑)。
Port TCP/UDP 111 を使用する RPCBind(PortMapper)は 111へのリクエストを行い、32770ポートよりも大きな数のポート番号をリッスンポートに自動割り振りします。この際に、リモート接続を認証無しに行うことができ、しかもログに残らないケースがありますので注意が必要です。
システム管理者は自分のUnixサーバにおいて以下の点に留意を払ってください。
1: Port 111へのTCP/UDPアクセスがある場合、32770以上のポートが Listenセッションを張っていないか?
2: その場合、Authがきちんと行われているかどうか
3: セキュリティ・イベントのログ監視を行う
4: RPCコールを許可している場合、TCPラッパーのような機能で所定のイントラ(あるいは信頼できるグローバルIPレンジ)の制限を行っているか・・
(以下略)
ちょっと青くなった人、いませんよね?(苦笑)
----------
Day-12 : Port 161/162 SNMP
SNMP(Simple Network Management Protocol)
素で、仕様書に SMAP って書いたことのある人はいませんか?
IPネットワーク上の機器を監視するためのプロトコルです。自分はMIB(Management information base)の読み方が判らなくて、未だに使いこなせません(泣)
SNMPに関しては
監視を自動化するSNMP -- 2003.02
SNMPによるネットワークモニタリング」-- 2001.05
SNMPによる異常値検出テクニック-- 2007.05
あたりを参照してください。
しかし、長年にわたって稼動・蓄積しているSNMPのMIB情報が、もし・・・
There have been a few security advisories relating to SNMP over the years, it tends to be an internal issue. However if you accept SNMP queries from the internet you may be leaking more information than you thought.
考えたくない事態ですね。
----------
THE Heritage of Adobe
A weekend of Old News
2009.02
Adobe Acrobat Readerが「最初の」ゼロデイ攻撃に晒される
Hackers exploit unpatched Adobe Reader bug
2009.04
パッチが公開されたのもつかの間、新たなゼロデイ攻撃が発生、ユーザへのJavaScript-OFFが推奨される。
Adobe confirms PDF zero-day, urges users to kill JavaScript
2009.05
Flash Playerの脆弱性を突いた攻撃が確認される
Adobe flash player vuln
2009.06
Flash Playerの別の脆弱性攻撃が指摘される
YA0D (Yet Another 0-Day) in Adobe Flash player
そして・・
----------
あなたはボットネットに感染しています [Y]/n
US ISP provider Comcast warns customers of virus infections
米大手CATV/ISP事業者の Comcastが、自社の顧客に対して "Constant Guard" というサービスを始めると発表、ボットネット感染によりゾンビ化した顧客に対して、トリアージを発布する模様です。
Security Scene: Introducing Constant Guard
問題は、サポセン的にどんな対応をとればいいのか?という部分でしょうか?
「おたくのPCがボットネットに感染しています」
「そうですか、どこの病院に行ったらワクチンを処方してくれますか?」
「・・・・・」
実話なのでこのへんで・・
Botnet-hosting subscribers soon to get warnings from Comcast
----------
spam with Bredolab
DHLを騙るスパム
UPSを騙るスパム
Western Union を騙るスパム
まぁ、性懲りも無く・・・というところでしょうか(苦笑)
しかし、DHLなんかは使ったことがある人もいるでしょうから注意が必要です。
次は Fedex あたりかな・・?(笑)
----------
どなたか、いい移転先しりませんか?(笑)
Google Safe Browsing STATUS:
[goog-malware-hash 1.16379 update]
[goog-black-hash 1.41998 update]
Results: 326357 (-4668)
Logged Total: 761095 753586 (+7509)
EoF