(*) 多くのホストのネットワークサービスポートに順次アクセスして、各ポー トに対応するサービスに存在するセキュリティ上の弱点を探し出す攻撃
詳細(JPCERT/CC) http://www.jpcert.or.jp/info/98-0004/index.html
メーリングリスト等の情報と総合すると
Jun 26 13:43:03 hostA telnetd[3949]: ttloop: peer died: Success Jun 26 13:43:17 hostA syslog: error: cannot execute /usr/sbin/ipop3d: No such file or directory
Jun 26 13:43:03 hostA in.telnetd[3949]: connect from 142.165.117.30 Jun 26 13:43:17 hostA ipop3d[3950]: connect from 142.165.117.30 Jun 26 13:43:19 hostA in.telnetd[3951]: connect from 142.165.117.30
Jun 26 13:43:08 hostB telnetd[2056]: ttloop: peer died: Success Jun 26 13:44:14 hostB telnetd[2058]: ttloop: read: Connection reset by peer
Jun 26 13:43:08 hostB in.telnetd[2056]: connect from 142.165.117.30 Jun 26 13:43:27 hostB in.telnetd[2058]: connect from 142.165.117.30
Jun 26 13:42:30 hostC popper[22344]: (v2.1.4-R3) Servicing request from "ts00ac30.sk.sympatico.ca" at 142.165.117.30 Jun 26 13:42:31 hostC popper[22344]: -ERR POP timeout Jun 26 13:42:31 hostC popper[22344]: (v2.1.4-R3) Ending request from "" at (ts00ac30.sk.sympatico.ca) 142.165.117.30
我々の研究室も攻撃を受けたことが分かった。上記のホストはいずれも tcp_wrapper が導入されていたためにログに形跡が残っていた。これらのホス トに限って言えば、侵入には失敗したようだ。だが他のホストは分からない。
Jun 20 23:33:46 hostD sendmail[27305]: XAA27305:以下同様のログ多数... Relay operation rejected Jun 20 23:33:46 hostD sendmail[27305]: XAA27305: ... Relay operation rejected Jun 20 23:33:46 hostD sendmail[27305]: XAA27305: ruleset=check_rcpt, arg1= , relay=[166.55.80.144], reject=571 ... Relay operation rejected Jun 20 23:33:46 hostD sendmail[27305]: XAA27305: ruleset=check_rcpt, arg1= , relay=[166.55.80.144], reject=571 ... Relay operation rejected