2005-03-01から1ヶ月間の記事一覧
隠された通信を検知するのに、argus の ragraph 使えないかなぁと思い、サンプルデータの収集用に1台設定。とりあえず Bot/Botnet *1が使うらしいので IRC チャネルに入る。HTTP 経由の何かをグラフから見つけられるか見たいので openmya ML を受信している…
勉強会の最中にもちょっと話したのですが、MRTG のグラフが急上昇したりすると「何事?」とか思うのですが、argus だとその時間のセッションやら利用ポートをすぐに確認できる点が嬉しいんですよね。*1 というのを、id:xcorp:20050305 さんのところを読んで…
そういえば、昨日の小ネタ用に作って忘れていたorz argus の ragraph コマンドを使ってこんな感じにグラフで通信を見ることができますね〜というだけのPPT。 http://www.port139.co.jp/others/ragraph050304.ppt 突出しない(隠された)トラフィックをあぶり…
参加された皆様おつかれさまでした。 いやぁ今日も濃かったですね(笑) まだ argus をインストールしていない人はぜひインストールして動かしてみてください。5月のテーマとも絡む部分がありますから、データを溜めておくと題材としていいかもしれません。
セキュリティアカデミー勉強会 日時 2005 年 03 月 05 日 (土曜日) 会場 大田区産業プラザ 3F 特別会議室(http://www.pio.or.jp/) 参加費 3,000円(飲み物含む、ケーキはありません) http://www.cakeoff.net/announce/050305.txt 参加申し込みメールを送っ…
私信で教えていただく(ありがとうございます)。 タスクスケジューラに登録してやるタイプみたいですね。 DomainView http://www.wackyfactory.net/domvw/ で、ここ数日この日記ではタスクスケジューラ経由でのリモート実行について触れてますが、不正アク…
3/5 のネタといえばネタだったんですが、ちょうど grin さんのところで書かれていたので書いちゃおう。 chkrootkitメモ http://grin.flagbind.jp/archives/2005/03/chkrootkit.html chkrootkit の使い方は簡単ですので、すぐに使うことができると思いますが…
そういえば製品があったなぁと思い出したのですが、2005年3月31日で販売終了になるそうです。 RemoteExec http://www.agtech.co.jp/products/isdecisions/remoteexec/ FAQ とか読む感じ、これも DCOM 経由で実行させるタイプのツールなんですかね?
ということで?argus の ra でセッションを確認してみる。139/tcp と 445/tcp を使うみたいですね。恐らくどちらかのポートが空いていればオケーということだと思いますが。 05/03/02 08:56:08 udp 172.17.0.20.137 <-> 172.17.0.58.137 CON 05/03/02 08:56:…
プログラムのリモート実行なら「Schtasks」もあるでよ〜と私信で教えていただく(ありがとうございます)。 Schtasks http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/schtasks.asp 引用ここから〜 Schtasks は…
これもなかなかよさげなツールですね。SMB経由でリモートでプロセスを実行。 BeyondExec - Spawn Processes and/or Shutdown Remote Windows NT/2000/XP WorkStations. http://www.beyondlogic.org/consulting/remoteprocess/BeyondExec.htm
コマンドラインで使えるツール、とりあえずメモ。*1 Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP http://www.beyondlogic.org/solutions/processutil/processutil.htm pulist.exe 以外で、プロセスの実行権限を表示してくれるやつ…
DCOM 経由で実行するなら Remoxec を使わせていただくほうが簡単そうですかね。 Q 10. WMI でリモート コンピュータを管理するにはどうすればよいですか。 http://www.microsoft.com/japan/technet/scriptcenter/resources/wmifaq.mspx#EEAA Connecting to W…
昨日、id:hasegawayosuke さんに教えていただいた(ありがとうございます)、WSH のサンプルスクリプト*1の動きを argus から確認してみる。 05/03/01 09:45:13 udp 172.17.0.20.137 <-> 172.17.0.58.137 CON 05/03/01 09:45:17 tcp 172.17.0.20.3824 -> 172.1…
お大事になさってくださいませm(_ _)m>虎の穴*1のかた *1:http://winsec.toranoana.ne.jp/
connect24h に投げたのですが、PCMCIA の NIC としてはこれ↓を用意してます。 NETGEAR FA511 http://www.netgearinc.co.jp/product/products/fa511.html EnCase Network Boot Disk*1 というのがあるんですが、これの対応している推奨 NIC を新品で購入しよう…
