netstatコマンドのForeign Addressについて

netstatコマンドを実行すると
Local Address：自分のPCの名前
Foreign　Address：local　host　○○○
　　　　　　　　　　　　　・　　
　　　　　　　　　　　　　・
と表示されます。
このForeign　Addressの下のほうにhttp:のアドレスがあったのですがあまり見覚えのないアドレスだったので実際にそのアドレスに行ってみると首都圏のとある企業のホームページになっていました。しかし、自分はその企業のＨＰを一度も見に行ったことはありません。
自分が接続要求をだしていないＨＰのアドレスがForeign　Addressに表示されることがあるのはどんな場合でしょうか？ちなみにその企業の業種はホスティング、ソフトウェア開発、セキュリティ対策、ドメインコンサルティング・・・となっていました。この時、自分は普通にいつも見るサイトを見ていただけです。チャットはしていませんし、音楽の出るようなサイトへも行っていません。

No.5 ベストアンサー 回答者： Lean 回答日時： 2005/05/15 07:04

私はそのnetstatの表示結果をそのまま見たわけではありませんし、その情報から調べたわけでもないので、No.4で『どちらから接続しているのかわかりませんが』と断りをいれて書いているように、もしかしたら貴殿のPCが何かしらのウィルスに感染していて他のコンピュータに接続しに行っている可能性も考えられます。

ですので、そういう事がない事を確認(証明？)するためにも

-------8<-------8<-------8<-------
可能であるなら一度、ウィルスやトロイの木馬等に感染しいないかシステム全体をチェックなされた方がいと思いますよ。
-------8<-------8<-------8<-------

と書いたのですが、行ってみたでしょうか？
　
アンチウィルスソフトがインストールされていてリアルタイムにウィルス検索され、ウィルスに感染するような事はないというなら上記に書いた事は忘れてください。
　

この回答へのお礼

ありがとうございます。セキュリティソフトは入れていますしウィルスチェックも頻繁に行いました。リアルタイム検索も実行しています。シマンテックのサイトにも行ってみましたが、特に以上はありませんでした（一部行く事の出来なかったサイトがありましたが・・・）
少しづつですが、調べて原因を突き止めたいと思います。本当にどうもありがとうございました。

お礼日時：2005/05/15 19:58

No.4 回答者： Lean 回答日時： 2005/05/13 23:51

＞Foreign　Addressのところに自分と同じプロバイダーの（自分が利用しているアクセスポイント以外の）ホスト名がEstablishedになっているのはどういう状態なのか

どちらから接続しに行っているのか分かりませんが、Establishedと言う事は接続が確立していて何らかの通信が行われている可能性が高いですね。

ESTABLISHED等のスタータスの意味は、TCPの状態遷移について書いてあるページですが参考URLを参照してみてください。

可能であるなら一度、ウィルスやトロイの木馬等に感染しいないかシステム全体をチェックなされた方がいと思いますよ。

参考URL：http://www.atmarkit.co.jp/fwin2k/network/baswinl …

この回答への補足

ありがとうございます。いろいろ教えて頂きまして。やはり普通ではない接続ですよね。連休中に自分と同じプロバイダーのユーザーからネットワークウィルスの集中砲火を浴びたり（←もちろん、プロバイダーへ調べてもらいました）、Foreign　Addressに全く知らない企業のHPのアドレスが表示されたり、見覚えのあるレンタルサーバー会社のサイトのアドレスが表示されたり、おかしいことだらけだったんですよ。他人のPCに違法に侵入を試みる（あるいはもう侵入されている可能性もありますね）事は良識ある社会人は行わないですよね・・・。
私が覚せい剤の売買をメールでしているとかいうのでしたら警察に届け出て、警察が捜索令状でも持ってきたら私は見られてまずいことは何もしていないのでPCの中を隅から隅まで見せますけど、警察でもない人に勝手に内部に侵入され見られなければならない覚えはないですからね。Leanさんにはずいぶんお世話になりました。本当にありがとうございます。Leanさんのような善意の第三者のお力を借りながら証拠を押さえられるように一層勉強しようと思います。本当にありがとうございました。

補足日時：2005/05/14 11:00

No.3 回答者： Lean 回答日時： 2005/05/12 23:00

＞Local Addressのところに自分のPCの名前：ポート番号

＞が表示され、この下の方に
＞自分のPCの名前：ingreslock
＞と表示されていました。これはどういう状態を意味するのでしょうか？

ingreslockはservicesで見ると、

# grep ingreslock /etc/services
ingreslock 1524/tcp #ingres
ingreslock 1524/udp #ingres

1524番ポートのようですね。
この1524番ポートは、Ingresというデータベースで使用されるようです。

○Ingres
http://www3.ca.com/Solutions/Product.asp?ID=1013

ただ、このポートをトロイの木馬プログラムが使用している事もあるようですね。
なので、Ingresデータベースを使用していないのでしたら、どのプロセスがアクセスに行っているかの確認として、もしトロイの木馬プログラムがいるのであれば対処された方がいいですよ。
　

この回答への補足

早速ありがとうございます。ingresのデータベースと聞いて「ああ、あのことか・・・」と思い当たる節は全くありません。PCの方が必要としていて使用する機能ならともかく。私はSEでもなくプログラミングの経験等皆無で、PCは自宅で全く私的にWord、Excel、インターネット接続、その他あらかじめPCに付属されているアプリケーションの一部を普通に使用しているのみです。
やっぱりトロイかもしれませんね。他にもいろいろ不審な点がありましたし。
昨日はnetstatコマンドのForeign　Addressのところにおや？と思うホスト名が表示されていて調べてみるとファイヤーウォールにブロックされているIPアドレスのアクセス者が利用したと思われるホスト名でした。しかもEstablishedになっていました。同じアクセスポイントを使用している人は大勢いるでしょうけれどこれはどういうことなんでしょう？
おかしい事といえば先日の連休中に「ネットワークウィルス」の警告アラートがすごい頻度で表示され、それが９９％、自分と同じプロバイダーからのものでした。あまりにすごい頻度なのでプロバイダーに調べてもらったら知らずにネットワークウィルスに感染している人がいて注意してくれたそうです。その後ピタリと止まりました。今でもたまにはありますが。これが原因かどうかわからないのですがファイヤーウォールがPCを立ち上げた時に読め込めなくなり、再インストールしたのですがこの時何か侵入したのかもしれませんね。何しろものすごい頻度でしたから。
長々書きましたけど、Foreign　Addressのところに自分と同じプロバイダーの（自分が利用しているアクセスポイント以外の）ホスト名がEstablishedになっているのはどういう状態なのかご存知でしたらぜひ、ぜひ教えて下さい。よろしくお願いします。
（ちなみにその表示された時の画面をキャプチャしています）

補足日時：2005/05/13 09:06

No.2 回答者： Lean 回答日時： 2005/05/11 02:17

netstatで表示されるという事は、少なくともそのForeign　Addressに表示されているアドレスの所と通信している何かしらのプロセス(プログラム)が存在しているという事です。

気になるようでしたら、下記のツールを使用するとどのプログラムがどのポートを使用しているか特定する事が出来ますので確認されてみたらいかがでしょうか？

Windows
○tcpvew
　http://www.sysinternals.com/ntw2k/source/tcpview …

UNIX系OS
○lsof
　ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof/

参考URL：http://www.sysinternals.com/ntw2k/source/tcpview … , ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof/

この回答への補足

いろいろな情報ありがとうございます。ファイヤーウォールを入れているから安心していたのですがsuzuiさんの補足欄にも書かせて頂きましたが他にも不審な点がありまして、、、。自分が不勉強なのもありますが。

補足日時：2005/05/12 09:13

No.1 回答者： suzui 回答日時： 2005/05/11 01:56

自分は接続要求を出していないつもりでも、実際には接続しているかもしれませんね。

Webサイトに仕込まれたアクセス解析や広告は、だいたい第3者のウェブサイトから画像をダウンロードしたり、クッキーのやり取りをしたりするのが普通です。
他にもフレームの中身が別のサイトだったりするのもざらにありますね。
他にも方法はあります。

接続したWebサイトのソースを見れば、きっとアクセスしていることがわかると思います。
JavaScriptなんかでごまかしてあるかもしれませんが。

それか、ためしにブラウザの設定を、画像や音楽、ビデオ、クッキー、ActiveX、Javaなどを全て禁止する設定にしてから、よく見るサイトに行ってみたらどうですか？

または、よく見るサイトに行く前と後でnetstatの結果を比較してみるとか。これが一番簡単でしょうか。

この回答への補足

ありがとうございます。そうするといつも自分が見ているサイトに表示されている画像と同じものが、自分が一度も見に行ったこともないサイトの目に見えるところにあるということでしょうか？
　
Webサイトのソースをみてどうなっていれば自分がアクセスしていたとわかるのでしょうか？

一昨日、netstatコマンドを実行すると
Local Addressのところに自分のPCの名前：ポート番号
が表示され、この下の方に
自分のPCの名前：ingreslock
と表示されていました。これはどういう状態を意味するのでしょうか？
検索してみましたが、バックドアに使用するポートのような記述がありましたがそうなのでしょうか？時間のある時また教えて下さい。

補足日時：2005/05/12 09:09