To: XXX@XXX.Navy.MIL
Subject: Re: Network Intrusion Attempts.
From: joe@ash.or.jp
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-2022-JP
Content-Transfer-Encoding: 7bit
Date: Wed, 25 Mar 1998 04:39:58 +0900

Dear Xxxx Xxxxxx.

I can speak English a little.

I'm surprised and worried.
I reviewed the log file and results of netstat command.
The hacker from ISRAEL is access to hosts on your network.
I think Hacker's IP-address is 192.114.85.56.

Please read the Japanese document.

##### Japanese Document #####

　はじめまして。
　升村＠ａｓｈと申します。

　さて、今回の貴サイトへの不正アクセスですが、当方でも驚いています。
　実際に、どう対応してよいものかも、よくわかっていません。
　とりあえず、米国大使館、イスラエル大使館、警察へは、連絡致しました。
　なお、当方のメールの設定に誤りがあり、レスが遅れたことをお詫び致し
ます。

　３月２２日、うちのネットワークのレスポンスが急激に低下したため、
netstat コマンドを実行したところ、以下の結果が返ってきました。これは、
あきらかに、不法侵入と思われます。

srv01> netstat
tcp 0   2 srv01.ash.or.jp:1432   cb02.arl.mil:telnet    SYN_SENT root
tcp 0   2 srv01.ash.or.jp:1429   cauchy.arl.mil:telnet  SYN_SENT root
tcp 0   2 srv01.ash.or.jp:1427   cauchy.arl.mil:telnet  SYN_SENT root
tcp 0   2 srv01.ash.or.jp:1425   140.47.242.36:telnet   SYN_SENT root
tcp 0   2 srv01.ash.or.jp:1423   cassy.arl.mil:telnet   SYN_SENT root
tcp 0   2 srv01.ash.or.jp:1417   casper.arl.mil:telnet  SYN_SENT root
tcp 0   2 srv01.ash.or.jp:1415   casper.arl.mil:telnet  SYN_SENT root
tcp 0   2 srv01.ash.or.jp:1413   casino9.arl.mil:telnet SYN_SENT root
tcp 1   0 srv01.ash.or.jp:auth   bubba.arl.mil:1336     TIME_WAIT root
tcp 1   0 srv01.ash.or.jp:auth   cbu418.navy.mil:1898   TIME_WAIT root
tcp 0   7 srv01.ash.or.jp:pop3   d195.pop135-2.isr:1523 FIN_WAIT1 root
tcp 2   0 srv01.ash.or.jp:1378   casino16.arl.mi:telnet TIME_WAIT root
tcp 2   0 srv01.ash.or.jp:1370   casino.arl.mil:telnet  TIME_WAIT root
tcp 2   0 srv01.ash.or.jp:1330   casino.arl.mil:telnet  TIME_WAIT root
tcp 1   0 srv01.ash.or.jp:1310   cardassian.arl.:telnet TIME_WAIT root
tcp 1   0 srv01.ash.or.jp:1308   cardassian.arl.:telnet TIME_WAIT root
tcp 0   0 srv01.ash.or.jp:telnet 192.114.85.56:2349     ESTABLISHED root
tcp 0 119 srv01.ash.or.jp:telnet pc27.ash.or.jp:2024    ESTABLISHED root

　当方でnetstat コマンドの解析結果です。

　pc27.ash.or.jp と 192.114.85.56 が ESTABLISHED となっているため、この
２つがセッションが確立されています。pc27.ash.or.jp は自分自身ですが、
192.114.85.56 は、侵入者です。つまり、この時点で、侵入されてしまっています。
　192.114.85 は、ＩＰアドレスの割り当てから行くと、イスラエルです。
　つまり、イスラエルから侵入した、ハッカーは、米国の軍事関係のサイトに侵入
しようと、次から次へと、telnet を試していたようです。状態が、SYN_SENTである
ことからしても、アクセスしようとしている状態です。

　なお、syslog の解析は終わっていませんが、ハッカーに痕跡を消されている
可能性があります。

　今後、当方としては、どのように対処すればよろしいでしょうか？
　よろしく、ご指導のほどをお願いします。

=========================================================
      升村　丞  (Joe Masumura)
  ADDR: 金沢市菊川１丁目９−６  TEL(FAX): 076-261-4921
  E-mail: joe@ash.or.jp (OCN)
  NIFTY:  KHE02465    PC-VAN: UZC36809
  URL:    http://ash.or.jp/joe
=========================================================