なんどリカバリしても攻撃されます

初めての投稿になります
困っていますのでなにかいい方法ありましたら
ご指導いただけますか

まず状況として
リカバリ後、ウイルスソフトの設定（インターネットセキュリティー）を入れて、
(1)ファイアウォールの設定(2)SPYBOT、adawareなどのスパイウエア対策(3)ルータをつかっているので192.168.247.250とかわかりずらいのに固定をして
(4)ワークグループ名も適当につけて
(5)共有、リモートアクセスなどは無効にして
(6)firefox、サンダーバードなどいれて

３日ほどたつとユーザーが６個になっていたり
ファイルがけされたり、あなたのiPは192.168....って
画面にでたり
いろいろされます

以前、掲示板にカキコミをしたときにIPをとられたのだと
思うのですが

固定のIPをつかっているとずっと攻撃されるのでしょうか

なにか対策でできることは他になにかありますか

ちなみにリカバリの際はフォーマットしてからリカバリしてます

No.8 回答者： hoihence 回答日時： 2005/03/13 12:43

まあ、MACアドレスがわかっちゃってるということは、ルーターの乗っ取りが可能になっちゃってるんだろうね。

ルーターに対してTELNETログインが可能になっちゃってるとか(通常、ありえない)、SNMPに脆弱性があるとか。とりあえず、ルーターのログやPFWのログを見て、不正アクセスもとのIPが特定できたら、そのIPからの接続を拒否するように設定することだろうね。あと、PFWのログから不審な通信がPCから発せられてないかどうかを見てみるとかね。なんとなくだけど、同じプロバイダー利用者からの不正アクセスなんじゃないかなァ。

http://www.mse.co.jp/ip_domain/

この回答への補足

お返事遅くなりましてすいません

MACアドレスがばれてしまったので
それに対してはSMACというソフトをいれてMACアドレスを変換してみました

TELNETログインは私の知人もまずありえないといっていたのでないと思いますが、、

とりあえずログをとってプロバイダにでも確認を取ってみます

ありがとうございます

補足日時：2005/03/16 10:10

No.7 回答者： campanella_77 回答日時： 2005/03/13 01:46

こんにちは。

非常に興味深かったので書き込みさせて頂きます。
まず、おっしゃられていることが正確で、皆さんのアドバイスを実行されても、同じような状態になるという事と、御質問者さんの環境をふまえるとIPを知られてしまったら、私もここの皆さんも同じことされるでしょう。

このような状況になってからルータを購入されたとありますので、ルータのセキュリティホールや設定が悪いという可能性は低いでしょう。

1つ気になるのはCATVという点です。
詳しくは知りませんが、CATV会社によっては加入者のネットワーク=同じLAN内というとこもあるというのを聞いたことがあります。
つまり、Windowsで言うならマイネットワークに同じCATV会社に加入しているユーザのマシンが表示されてしまう。といったかんじです。

どちらにしろ、まずは以下の点を実行してみてください。

・ルータのログをすべて保存・記録・分析する。

・CATV会社に詳しい状況を相談してみてください。おそらく御質問者さんのマシンに誰かしらアクセスしたのなら、その記録が残っているはずです。

・クラックされてたと感じる状況を事細かくメモに残しておく。（○○という名前のユーザが作成されている。とか、××というファイルが消去された等）


・Windowsアップデートはインストール直後すぐ行う。（内容からしてWindowsですよね？）

「以前、管理画面でHDDの中をみたらC　D　以外に
何個かパーティションが組まれていたことがありました　」と、ありますが、これもそのクラックの1つでしょうか。どんだけ腕利きのクラッカーでも、知らない間にパーティションを作り、なおかつWindowsをインストールさせることは不可能だと思いますが・・・。

とりあえず、気づいた点等ありましたら書き込んでみてくださいね。

この回答への補足

お返事遅くなりましてすいません
やはりCATVが怪しいですよねぇ　。。。

またリカバリをしまして初めから今までの手順をしたほかに
(1)blackiceという検知するようなソフトをいれました
(2)MACアドレスを変更（SMACというソフトをいれました）

これからログをとってみます

ファイルが消されたというのは
結構大胆に消されてたのですぐわかりました

TVを録画していたものが消されたり
デスクトップのものが消されたりと

明らかでしたし

ちなみ補足として私以外パスワードを知らないので
パソコンを使えないようにしてあります
ゲストでも入れないようにしています

とりあえずログをとってからドメインですとか
いろいろ調べてみます

ありがとうございます

補足日時：2005/03/16 09:53

No.6 回答者： shironekoxxx 回答日時： 2005/03/12 21:13

繰り返しになりますが、ルータのパスワードは「推測されにくいもの」に変更していますか？以前使用した物はもちろん、他人や知人から臆測されそうな内容では危険です。

ＯＳのパスワードも然りです。

最初に書きました「ＯＳインストール後、ウィルスソフト等をインストールし最新状態に更新するまでの間はネットには繋がない」は実行してもらいましたか？

また、ＭＡＣアドレスが分かったとはどういう事が起こったことを差しているのでしょうか？

この回答への補足

ルーターのパスは推測されないもの
適当に作っているのでまちがいないです

ウイルスのソフトなのですが
ネットにつなぐまえに最新にできるのでしょうか？

お返事遅くなってすいません　

MACアドレスをデスクトップ画面上に表示させられたので
書き込みにもあるようにMACがばれるとのっとられてしまうのではないでしょうか

補足日時：2005/03/15 13:42

No.5 回答者： YAMAMAYA#2 回答日時： 2005/03/12 10:46

No.2です。

マスカレード等やポートフォワーディングの設定をせず、工場出荷時設定のルーターで１台だけ接続している場合、（すなわち、外部に対しては一切、サーバーとして動作していない場合）
たとえ固定ＩＰアドレスで、ＩＰアドレスがわかっていたとしても、今知られている範囲では、システムに侵入するような攻撃は不可能です。もし可能なら、ルーターにセキュリティーホールがあるのかも知れません。（ルーターを動作不能に陥れるような攻撃は、おそらく可能ですが、システムの改ざんにはなりませんね）

もしかして、他の人がＰＣを使っているということはありませんか？こういうことって、案外多いようですが。。

ＶＰＮで外部に接続しているような場合、これが大きな落とし穴になります。ルーターのファイアーウォールで守られているつもりでも、ＶＰＮ接続は筒抜けです。

いずれにしても、情報が少ないです。
どんな使い方をしているのか、ＯＳのバージョン、どんな状況で、どんなソフトを入れているのか、等、情報がなければ、これ以上はなんともいえません。

この回答への補足

お返事遅くなりましてすいません

パソコンは一台で作動させています

共有の設定もできないようにしています
・LMHHOSTの参照を有効にする　のチェックをはずし
・netbios　over　tcpip　を無効にしています

パソコンはHITACHIのデスクXP
リカバリDVDはｃドライブのみしかリカバリできないタイプですがｃ以外はフォーマットしてからリカバリかけてます。

ソフトは標準のもの意外にはノートンインターネットセキュリティー　あとはスパイウエア対策くらいです

補足日時：2005/03/15 13:34

No.4 回答者： shironekoxxx 回答日時： 2005/03/12 08:01

＞HDDリカバリでなくリカバリDVDなのですがDVDが感染することはないですよね？

えと、そのＤＶＤはＰＣ購入時に付属していたものでしょうか？

仮にそうであっても（そうでない時はもちろん）疑ってみましょう。安全である事が分かっている端末にてウィルスチェックしてみることをお薦めします。

ウィルス感染したＰＣで作成した場合は、危険です。知り合いのプログラマは客が作ったＣＤ－Ｒから感染しそうになった経験があると聞いています。

この回答への補足

おはようございます
リカバリDVDは購入時に付属していたものです

念のため、ウイルススキャンをかけてみます


話を戻しますとパソコンから
いろいろな症状が出るときに
ウイルススキャンをしても（ノートンインターネットセキュリティ、ウイルスバスター）
＊同時にはインストールはしていません
実はウイルス事態は発見されなかったんですよね

私が考えた方法として
IPをプロバイダに変えてもらう
IPのポートをスキャンしてみる（この辺は勉強中）

あとは先ほどのリカバリDVDを調べてみる

このくらいしか私には出来ることがありません
なにか情報ありましたら　またよろしくお願いします

補足日時：2005/03/12 09:50

No.3 回答者： shironekoxxx 回答日時： 2005/03/12 01:00

環境がだいたい分かりました。

が、ルーター以下ＰＣ一台だけ、ですと攻撃される可能性はかなり低いように思います。
当方ＣＡＴＶの経験がないため、これ以上はアドバイスできる事があまりないのですが・・・。

ルーターの管理者パスワードは、特定されにくいものに変更していますか？

ひょっとして無線ＬＡＮ使用なんて事はありませんよね？

あと、心配される事としては「リカバリに使用したファイルがすでに感染している可能性」はありませんか？

この回答への補足

早い回答ありがとうございます

CATVではCATV同士でよく感染するとはよく耳にしますが。。。

ルーターは無線ですが無線機能はOFFにしています
念のため、接続制限、＋MACアドレスを登録した無線カードのみにしています　WEPは5文字ですがかけています　

もちろんルーター管理パスワードもかけています

HDDリカバリでなくリカバリDVDなのですがDVDが感染することはないですよね？


以前、管理画面でHDDの中をみたらC　D　以外に
何個かパーティションが組まれていたことがありました　ボリュームラベルはついていませんでしたが
なので　それからはフォーマットしてから
リカバリディスクをしようしています

補足日時：2005/03/12 01:32

No.2 回答者： YAMAMAYA#2 回答日時： 2005/03/12 00:05

ルーターの内側にあるＰＣは一台でしょうか？もしほかにもあるのなら、ほかから侵入されてるのかも知れませんね。

ルーターを利用して接続していて、マスカレードなどの設定もしていないのなら、外部から直接攻撃を受ける、ということは、まずあり得ません。
可能性は、悪意のあるソフトウェアか、メール経由のワームでしょう。
スパイウェア対策ソフトも、ウィルス対策ソフトも、完璧じゃありません。実際、どのソフトでも発見も駆除もできないウィルスというのを、見たことがあります。また、最近インストールしたソフト、最近ウェブ上でインストールしたActiveX等も、疑うべきです。これらが、本来の機能以外に悪意のある機能を持っている、ということは、よくあります。

どの対策ソフトでも問題を発見できないようなら、自力で調査するしかないのですが・・
手始めに、 netstat -ao で、怪しいポートをあけているプロセスを突き止めて・・
でも、あっさり、フォーマットして再インストールの方が早い、かもしれません。

この回答への補足

回答ありがとうございます

ルーターを使用し、パソコンは一台です
静的マスカレード？はしていません

リカバリをしてLANケーブルをさして
特にHPなどはみていません　（なのでアクティブXではないかなぁと）

それで３日くらいたつと
ユーザーが増えていたりファイルが増えていたり
消されたり　見られたり　画面にいきなりあなたのIPは。。。みたいにでたりするんです

フォーマットしてからリカバリ・再インストールは１週間に一回しています

たぶん攻撃している人は同じ人だと思います
毎回してくることが一緒なので、、、

メールは設定していないのでワームもないと思います

ネットで調べたのですが　ipがわかるとIPアタック？というのができるらしいのですが　なんかトロイを送りつけるとか　それができるなら納得なのですが
詳しい方でも今の状況で私のパソコンに入り込むのは
簡単にできるものなのでしょうか

毎回ワークグループ名　ローカルIP　などは変えているんですけど　ちなみに相手？誰だかわからないですけど　パソコンのMACアドレスもわかっていました

補足日時：2005/03/12 00:22

No.1 回答者： shironekoxxx 回答日時： 2005/03/11 23:41

質問の文面だけだと、お使いのＰＣ（サーバ？）がどういう用途で、どういう環境にセットアップされているのかが分からないのですが・・・。

まず、不明なのは外部に対してどういう公開のしかたをされているのでしょうか？また、内部ネットワークには他にどんなＰＣがあるのでしょうか（そのＰＣからの攻撃されている可能性はありませんか）？

ＩＰ固定／否にかかわらず、外部に対して開放しているポートがあれば、当然攻撃されやすくなります。

当方の経験から言うと、「ＯＳインストール後、ウィルスソフト等をインストールし最新状態に更新するまでの間」はネットには繋がない事、です。安全と確信できる端末以外は、内部（ＬＡＮ）のＰＣも分離しましょう。

この回答への補足

回答ありがとうございます

環境は　ケーブルTV→ルーター→パソコン一台
です

ルーターのポートは開放していないです

攻撃されるごとにルーターと　パソコンを初期化
しています

毎回ローカルIP、ワークグループなどは変えています

私もどうやって攻撃されているのかわからず
相手には固定のIPがばれているのでIPアタック？
をされてるのではないかと思ってルーターなど
いれたのですが対処できずといったところです

補足日時：2005/03/12 00:17