2016/09/10

スプリックス謝罪文画像に隠蔽されたコード類の有無調査後に。。。

今朝のOpensimサーバーを稼働させているbxbt2807機からのlogwatchレポートで、またFirewall破り未遂検出が記載されていました。
From 192.168.11.5 - 4 packets to udp(3702)
(この発信元は、Lan内のWindowso10機です)

ufw.logを調べると、『DST=239.255.255.250』になってます。


google先生に質問したところ、以下の回答です。
WS-Discovery プロトコルを実装するクラス ライブラリで、デバイスがネットワークに参加するときとネットワークから離脱するときにデバイス上の Web サービスから送信される、Hello メッセージと Bye メッセージの受信をサポートします。

これがbxbt-2807機で検出されたのは、初めてですね。
(気づかなかっただけかな?)

あっ、昨日のこの時間帯は、Windows10機でスプリックスに接続して謝罪文のjpg画像をダウンロードし、ファイルに何か隠されていないかどうかを調べていました。


これは、「画像に隠蔽する手段」を紹介する以下の記事を参照しながらです。

画像ファイルにPHPコードを埋め込む攻撃は既知の問題
http://blog.ohgaki.net/c_ra_a_a_ia_ca_la_lphpa_sa_fa_a_a_a_effa

画像ファイルにJavaScriptを隠す
http://blog.ohgaki.net/hide-javascript-in-images

JPGファイルを隠ぺいに利用するWebサーバ専用バックドア「BKDR_ZZPEG」の被害を日本で確認
http://blog.trendmicro.co.jp/archives/7760


私の乏しい知識では、隠蔽コードは発見されませんでしたが、危ないのでダウンロードした画像はすぐに廃棄しておきました。


この時の作業が、「WS-Discovery」を動作させる引き金になったのかな?
まあ、bxbt-2807機のサーバー側でブロックしているから、大丈夫かな?

あまり深入りしないほうが良いかな?

しばらくは要注意ですね。。。。。。。

0 件のコメント:

コメントを投稿