昨日、kernelログにARPを頻繁に奪い取るような下記のログが、発生していた。

Jan 17 15:06:31 yubin /kernel: arp: 130.158.92.105 moved from 00:14:51:66:d0:c1

to 00:80:f0:58:dc:a6 on fxp0

Jan 17 15:12:24 hoge /kernel: arp: 130.158.92.105 moved from 00:14:51:66:d0:c1

to 00:80:f0:58:dc:a6 on fxp0

Jan 17 15:14:08 hoge /kernel: arp: 130.158.92.62 moved from 00:03:93:ac:93:38 t

o 00:80:f0:58:dc:a6 on fxp0

Jan 17 15:14:37 hoge /kernel: arp: 130.158.92.147 moved from 00:11:24:33:6e:ba

to 00:80:f0:58:dc:a6 on fxp0

.

.

延々と、お互いに奪い合いをしているし、犯人が、00:80:f0:58:dc:a6である事はわかってました。

16時頃になって、周りが騒ぎたてているのは、薄々感じていたが、特に問い合わせや要望もないので、高見の見物してました。.._φ(゜∀゜\ )

この間に、メールサーバやウェブサーバも乗っ取られました。

17時頃になって、問題のPCを特定して、解決したようで、お疲れさまでした。ヾ(〃^∇^)ノ

で、犯人は、00:80:f0:58:dc:a6のPCがウィルス(ポイゾニング)にかかっていたのかと思いきや、意外で、単なるルータの設定ミス!

そのルータは、Panasonicのネットワークカメラユニット「BB-HGW502」の設定で、LAN型のStatic接続にグローバルIPを与えた設定が原因だったのです。WAN側がグローバルIPになっていたと言うこと。

解決は、その設定を空白にし、端末側のStatic接続を選んで、グローバルIPを設定する事で、問題はなくなりました。

てっきり、ウィルス(W32.Snow.A)によるARPポイゾニング攻撃だと思っていたんですがね…