[nsp-sec-jp] IMS Report: TCP/6101 (Veritas) Scanners

2005年 1月 14日 (金) 10:05:40 EST

NSP-SEC-JP各位、

IMSプロジェクトからのTCP/6101（注1:）に関するレポートです。
掲載するサイトは何らかのウィルスに感染している可能性があります。

-----
IMSプロジェクトは、最近のVeritasバックアップのexploitに関連する
TCP6101番ポートの解析を行っている。

レポートは以下にあります。

http://ims.eecs.umich.edu/reports/port6101/

また、レポートの図3でイラストした、TCP/6101のscanningが観測された
559個（日本に関係するのは４つ）のIPアドレスのリストを添付します。

以下抜き出し分：
2527    | 219.111.148.225  | JPNIC-ASBLOCK-AP JPNIC
7671    | 203.211.206.182  | MCNET NTT SmartConnect Corpora
9618    | 211.19.187.223   | JPNIC-NET-JP-AS-BLOCK Japan Ne
17506   | 219.120.143.220  | JPNIC-JP-ASN-BLOCK Japan Netwo

また、他のサイトで観測された6101scanningサイトの情報です。
17676   | 219.15.124.185   | 2005-01-12 13:56:04 | 2005-01-12 13:56:08 |  126 | 126 |  6048 | JPNIC-JP-ASN-BLOCK Japan Netwo
17676   | 221.36.90.41     | 2005-01-12 23:44:24 | 2005-01-12 23:44:33 |   34 |  48 |  2304 | JPNIC-JP-ASN-BLOCK Japan Netwo

注1:
TCP6101ポートは、ベリタスソフトウェア社のBackup Exec for Windows
NT v7.xのエージェントで利用されています。

http://www.veritas.com/Products/www?c=product&refId=57&ln=ja_JP
http://www.veritas.com/jp/support/shared/technotes/100456/

Forwarded by Taka Mizuguchi <taka ＠ ntt.net>
----------- nsp-security Confidential --------
Team,
The IMS project has released an analysis of the traffic on TCP port
6101 associated with recent Veritas Backup exploit activity.

The report is located here:

http://ims.eecs.umich.edu/reports/port6101/

Also, included below (and not in the report) is a list of
559 IPs we've observed scanning 6101/TCP, as illustrated
in Figure 3 in the report.

Feedback welcome!

-----
Taka Mizuguchi
taka ＠ ntt.net