初めまして。
2つ質問がありまして、そのうち1つでもお答え頂けると幸いです。
長文になりますがお許し下さい。
今日、CTU(プロバイダがNTT西日本の光プレミアムです)の設定で
何となく不正アクセスログを見たところ、大量のログがありました。
一分間に何度も不正アクセス?されているようです。
例えば…
送信方向 WAN→LAN
送信元アドレス △.○.×.*
送信元ポート 色々
送信先アドレス △.○.?.!
送信先ポート 135や445が圧倒的に多いです
プロトコル TCPかUDP
ログ理由 NATによる破棄
TCPフラグ SYNかESTABLISHED
こんな感じです。
送信元アドレスと送信先アドレスの最初の2つの数字は同じである場合が多く、またこれは私のIPアドレスにとても近いです。
これはやはり頻繁に不正アクセスを受けている、もしくはBlasterやボットなどというものに感染している恐れがあるということでしょうか。
またその場合、どのように対策すればいいのかご教授下さい。
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
また、Symantecのセキュリティチェックを行ったところ
ICMPping OPEN
ポート80 CLOSE
ポート113 CLOSE
との結果が出ました。
全てステルス状態が望ましい、とあったのでとても心配です。
ICMPpingのOPEN状態については
http://oshiete1.goo.ne.jp/kotaeru.php3?q=1287594にならって
ノートン2007で同じように設定しましたが、ステルス状態にはなりませんでした。どうすればステルスにできますか?
またポート80、113も同様にステルス状態にしたいので設定方法がありましたら教えて頂けると助かります。
以上、関連があるかもしれないと思い、2つの事柄について質問してしまいました。問題があるようなら仕切りなおして1つずつ質問するつもりですので、よろしくお願いいたします。
A 回答 (5件)
- 最新から表示
- 回答順に表示
No.5
- 回答日時:
また、Symantecのセキュリティチェックを行ったところ
ICMPping OPEN
ポート80 CLOSE
ポート113 CLOSE
との結果
------------------------------------
CTUのファイアーウォール機能←これ知りません
↑ファイアーウォールの重複は不具合の元だけど。
Windowsのファイアーウォールも無効だったのを有効に
↑ノートンのファイアーウォールに統一
「侵入者 72.14.*.*(http)80」
↑そこに、そのサイトにアクセスしたということなら、「警告」になるのがおかしい。ノートンの設定は、推奨とか標準ですよね。
ノートン2005の経験では、ノートンの設定を厳しくすると変な警告が多くなった。
念のため、パソコンをネットから物理的に切断。
まず、windowsファイアーウォールを起動して、例外タブのところにプログラムがあるので、すべてのチェックをはずす。詳細設定タブのICMPを開いて、すべてのチェックをはずす。
それから、
コントロールパネル
クラシック表示
管理ツール
サービス
Windows Firewall/Internet Connection Sharing (ICS)をダブルクリック
停止して無効に。
それでどうなるかだね。
ノートン使っているときにはほかのファイアーウォールは必要ない。
当方ノートン2006まで使ったことがあります。2007の実態は知りませんが。
ICMPに反応することは、誰でもあなたにpingをやればあなたのパソコンは、「はいはい」とこたえるということです。ほかのポートのやつも同様です。それだと、おそらく、メッセンジャースパムといわれているものにも、反応しているはずです。つまり、「あなたのパケットは届いていませんよ」という返事をしていると思います。それはUDPに反応することですが。
P2Pソフト使っているなら、ダウンロードしたものを含めて削除。
No.4
- 回答日時:
ノートン2007でステルスにならない?
ルーター使っているように思えますが。
TCP113にclose反応するものがあるはずです。
ICMPこれはどうかな。windowsファイアーウォールと併用しているわけではないなら、ルーターの設定または、使っているプログラムだと思います。
windowsファイアーウォールでicmpに反応しましたから。
ポート80 CLOSE
これが普通じゃないというか、何でそのポートがcloseなの、と聞きたくなります。
windows XP SP2?
---------------------------------------
135とか445が圧倒的に多いのはこちらでも同じです。
その手のパケットのおおよそ80パーセント以上はそれらです。
ボット君たちが活動していることです。
ルーター使っていれば、パソコンまで到達しないはずです。
不正プログラムの中には、ステルスのものがあります。当然スキャンしても見つからないでしょう。おまけに、自動更新機能まであるやつがあります。
ルートキットスキャン
http://www.f-secure.com/blacklight/
ありがとうございます。
当方windows XP SP2です。
>ノートン2007でステルスにならない?
自分なりに試したのですが、結果は変わりませんでした。
具体的な設定方法があるならご教授していただけると幸いです。
ルーターは、ルーターというよりCTUのファイアーウォール機能を使っています。先ほど確認したらなんセキュリティレベルが「低」だったので「中」に上げ、ついでにWindowsのファイアーウォールも無効だったのを有効にしてみました。(でも重複してたらいけませんよね。Windowsのほうを無効にしたほうがいいでしょうか?)
暫くして不正アクセスログをチェックすると、送信先ポートの結果の445は激減したのですが、今度はよりどりみどりのお祭り状態になっております。TCPフラグの結果に「INVALID」?と現れるようになったり、
英数字混合の長い「送信先、送信元アドレス」ログが出てくるようになったりと、ますます不安です。
また、ノートンでインターネットセキュリティ→統計→最近の侵入の数が15となって驚きました。今日の夕方まででは0だったのですが。
教えて頂いたルートキットスキャンを試したところ、一応変なものは検出されませんでした。
が、この大量の変な不正アクセスログを見ているととても安心できません。
ポート80がCLOSE状態なのが変、との事でそっちも不安です。
ノートンの「統計」→「ログ表示」→「接続」を見てみると
「ローカルIPアドレスの欄」が「local」になっておらず、
IP Address/Netmaskで表示されている自分のIPが表示されている事が多々あり、しかもこのときの「リモートサービスポート」の欄が「(http)80」となっていました。これは危険な状態なのでしょうか?
また、あるサイトにアクセスしたときに検出された警告のログを「侵入防止」の欄でみると「侵入者 72.14.*.*(http)80」となっていたりもします。
ポート80恐怖症になりそうです。
何かアドバイスがありましたらよろしくお願いいたします。
No.2
- 回答日時:
セキュリティ対策ソフトをお使いですよね。
ご存知だとは思いますが、これはOEM版ウイルスバスターです。
で、バスターには悪癖があって135とか445などを開けてしまう悪さをします。
参考例
http://192.168.1.100/abc/cbbs/cbbs.cgi?mode=all& …
まぁ許可したプログラムの動作の性みたいですので実質的には問題ない様です。
当方、ノートンですがやっぱり135や445が大量にログにありました。
問題なければ安心できるのですが、不正アクセスログで大量に検出されるものの中で、どれが危なくてどれが安全か見分けがつかないので、すべて危険に見えてしまいます。
ご回答ありがとうございました。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
- ・ゆるやかでぃべーと タイムマシンを破壊すべきか。
- ・歩いた自慢大会
- ・許せない心理テスト
- ・字面がカッコいい英単語
- ・これ何て呼びますか Part2
- ・人生で一番思い出に残ってる靴
- ・ゆるやかでぃべーと すべての高校生はアルバイトをするべきだ。
- ・初めて自分の家と他人の家が違う、と意識した時
- ・単二電池
- ・チョコミントアイス
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
Windows11に変えてからWifiが時...
-
ノートンを使っているのですが...
-
ノートンインターネットセキュ...
-
子供とプロバイダーの共有はで...
-
ノートンインターネットセキュ...
-
ネットにつなげなくなりました。
-
インターネット接続できない。...
-
ノートンは機種変更したら新し...
-
ウイルスバスターは必要か
-
symantecのセキュリティ警告が...
-
WinZip Driver Updater て何で...
-
落ち着きのないノートンのアイコン
-
ノートン360は古い機種のノート...
-
アダルト動画とか観てる人って...
-
no-sandboxについて
-
ヤフオクで不法ソフトを売って...
-
ウイルスソフト入れ替え時の空...
-
ウイルスセキュリティについて
-
McafeeとNortonを混在すると、...
-
ノートンは信用できるものなの...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
Windows11に変えてからWifiが時...
-
新しいネットワークを検出しま...
-
ノートンを更新したらメールを...
-
(ノートン)Trojan horseについて
-
ノートンの警告
-
毎回出てくるのですが、この選...
-
ノートンインターネットセキュ...
-
FFFTP 接続
-
アクセス制限解除について
-
インターネット接続できない。...
-
PC買い替えでウイルスソフト入...
-
パソコン購入後、インターネッ...
-
メールが受信できない
-
グーグルアースのアカウント認証
-
ホームページが閲覧できません
-
自分のブログなのに 403F...
-
「サーバーが見つからないか、D...
-
ノートン360のエラーメッセージ
-
急に今まで見れたサイトが見れ...
-
ノートンの一時的解除はできま...
おすすめ情報