ま夜中にたログを眺めていると、電源が入ったままのPCが何やら頻繁に通信しています。
192.168.1.xxx TCP_MEM_HIT/200 580 HEAD http://www.dell.com/ - NONE/- text/html
今回計測してみると約1分に一回の割合でアクセスしているようです。URLからも分かる通りDELL社のPCが発信元です。
前回使用したTCPViewを使ってみましたが、やはりプログラムの特定は出来ませんでした。
何か良いものは無いかと検索していると以下のプログラムにたどり着きました。
パケット警察 for Windows
そうです。あの有名なソフトイーサの会社の製品です。しかもフリーソフト。
早速試してみます。
おや、ダウンロードしたのにファイルが無い。一体どこへ・・・
と思っていたら何やら表示されています。
どうも社内で標準的に導入しているSymantecEndPointSecurityが反応しているようです。
”信頼に値しない証拠”って。そっちのソフトも妙なアクセスあるのに(これはブログに書いていませんが)
後日自宅のPCでダウンロードし、スキャンしてみます。某通信会社の光回線の契約で1本使えるセキュリティソフトでチェックしても問題はありません。ファイルを添付して会社のメールアドレスへ転送します。
次の日。会社に届いたファイルを確認します。そもそもウィルスが入っていると添付ファイルは届きませんが、無事届いています。念のためPCにダウンロードしスキャンしてみましたが問題ありません。
最近社内のPCから結構な確率でウィルスが検出されていますが、一体何を止めてくれているのでしょうか。不思議です。
軽く動かしてみましたが、動作設定時にはパスワードをかけてユーザーが勝手に削除できないように設定することが出来るようです。ということは、こっそり相手のPCにインストールしていろんなパケットを捕まえて・・。Symantecが反応する理由はここかも知れません。
私のPCはDELLのPCではありませんので、次回試してみます。
2015年7月25日土曜日
2015年7月23日木曜日
Squidへの妙なアクセス(TCP_DENIED/403 3391 CONNECT)
夜間にSqiudのログを眺めていると下記のようなログが数秒に一度書かれていました。
192.168.3.xxx TCP_DENIED/403 3391 CONNECT PCXXXXX:16993 - NONE/- text/html
これは問題だと思い、PCを調べてみましたがはっきりしません。
まずTCPView v3.05というソフトを導入して調べてみました。
ProxyServerにアクセスしているプロセスを捕まえればすぐにわかると思っていましたが、結局わかりませんでした。
使用しているPCはLenovo社の5485A9Jという型式のPCで同様のパケットが同じPCで出ていることがわかりました。ということはプリインストールされているプログラムの可能性が高くなってきました。
一方、”Thinkcentre port 16993”というキーワードで検索したところ、下記の興味深いドキュメントが出てきました。
AMT_Implementation_and_Reference_Guide
これはきっとIntel関係らしいということまではわかったので、サービスを停止してみます。
やっぱこれでした。元々は遅延起動になっていましたが、停止に変更して完了です。
192.168.3.xxx TCP_DENIED/403 3391 CONNECT PCXXXXX:16993 - NONE/- text/html
これは問題だと思い、PCを調べてみましたがはっきりしません。
まずTCPView v3.05というソフトを導入して調べてみました。
ProxyServerにアクセスしているプロセスを捕まえればすぐにわかると思っていましたが、結局わかりませんでした。
使用しているPCはLenovo社の5485A9Jという型式のPCで同様のパケットが同じPCで出ていることがわかりました。ということはプリインストールされているプログラムの可能性が高くなってきました。
一方、”Thinkcentre port 16993”というキーワードで検索したところ、下記の興味深いドキュメントが出てきました。
AMT_Implementation_and_Reference_Guide
これはきっとIntel関係らしいということまではわかったので、サービスを停止してみます。
やっぱこれでした。元々は遅延起動になっていましたが、停止に変更して完了です。
Win2003R2 to Hyper-V(Windows2003ServerをHyper-Vへ)
社内に設置してあるWin2003Serverですが、今年は移行しないことになってしまいました。しかしリース契約も完了してしまうということで、Hyper-Vへのコンバートを行うことに。
まずは、既に導入済みのMicroSoftVirtualMachineConverterを使用してみます。
なんということでしょうか。Windows2003R2はNGのようです。しかも最後にこのメッセージを表示するのはどうなんでしょうか?
他の方法を探します。
こちらにいろいろ書いてあります。
http://knowledge.sakura.ad.jp/tech/3129/
次はXenConvertを使ってみます。良くわからずにこれをHyper-VServerに導入しましたが、こちらはコンバート対象のマシンに導入するようです。
しかし今回の対象のWin2003Serverはほぼ導入時のまま。IEも6の状態で上記のコンバートもダウンロード出来ない状態です。
別のPCでChromeSetup.exeをダウンロードして、2003Serverで実行しChromeをセットアップします。でXenConverter2.5を試してみます。
まずは、既に導入済みのMicroSoftVirtualMachineConverterを使用してみます。
なんということでしょうか。Windows2003R2はNGのようです。しかも最後にこのメッセージを表示するのはどうなんでしょうか?
他の方法を探します。
こちらにいろいろ書いてあります。
http://knowledge.sakura.ad.jp/tech/3129/
次はXenConvertを使ってみます。良くわからずにこれをHyper-VServerに導入しましたが、こちらはコンバート対象のマシンに導入するようです。
しかし今回の対象のWin2003Serverはほぼ導入時のまま。IEも6の状態で上記のコンバートもダウンロード出来ない状態です。
別のPCでChromeSetup.exeをダウンロードして、2003Serverで実行しChromeをセットアップします。でXenConverter2.5を試してみます。
.NETFrameWorkが必要だと表示されました。このServerにはHDDの空きがないのでNGです。これも諦めます。
最後はDisk2vhdです。
開始するととんでもない時間が表示されます。が実際は近くに設置されているHyper-Vの共有ディスクをZ:ドライブに割り当てることで60GBで30分程度で完了しました。
あとはHyper-V側で読み込ませれば完成です。物理PC固有のサービスを削除して完了です。
2015年7月4日土曜日
今更SSL3.0で接続する場合
社内に設置してある、とあるメーカーの機器にアクセスするといつの間にかログイン出来なくなっていました。いろいろ試してみると、どうやらSSL3.0を有効にするとNGらしい。
メーカーに確認するとFWのアップデートが必要とのこと。早速指定されたFWをダウンロードし、IE11の設定を変更し試してみると、何故かIEでFWを指定しようとするとIEがフリーズ。
IEをリセットしてもいまいちなので、別のブラウザで試してみることに。
Chrome
そのような設定はもう無いようです。わかりませんでした。
FireFox
こちらのページを参考に実行したところ上手くFWを更新することが出来ました。
IE11の調子が悪い方は是非お試し下さい。
メーカーに確認するとFWのアップデートが必要とのこと。早速指定されたFWをダウンロードし、IE11の設定を変更し試してみると、何故かIEでFWを指定しようとするとIEがフリーズ。
IEをリセットしてもいまいちなので、別のブラウザで試してみることに。
Chrome
そのような設定はもう無いようです。わかりませんでした。
FireFox
こちらのページを参考に実行したところ上手くFWを更新することが出来ました。
IE11の調子が悪い方は是非お試し下さい。
登録:
投稿 (Atom)