社内でサーバーを管理しているのですが、
困っていることがあります。
最近Firewallのログを見ると、httpに不正アクセスしているクライアントが目立ちます。
毎日アクセスログがありますが、決まった時間では
ないため、パケットのモニタリングが困難です。
どのプログラムがhttpへアクセスしているのでしょうか?
どのような方法で調査したら良いでしょうか?
(特定のPC、アドレスではありません)
クライアントは、httpの設定は行っておらず
インターネット接続不可の環境です。
以下、クライアント詳細情報です。
OS:WindowsXP_SP1 and SP2 (複数台)
ドメイン:参加PC and workgroup (どちらも)
他に何か必要な情報がありましたら、ご連絡下さい。
よろしくお願いいたします。
No.1ベストアンサー
- 回答日時:
Windowsの自動更新プログラムなどもHTTPを使っていたと記憶してますので、社内ルール的にはともかく、技術的にはHTTPのアクセスが即問題であるとは言えないですね。
まずはFirewallのログから、どのPCからどのサーバに対してHTTPアクセスがあるか、整理してみたらいかがでしょう?
その情報を元に、どのPCにどのようなプログラムが動作しているかを推測して、それぞれ各PCを調査することになると思います。
あと、インターネット(WEB)接続が禁止であるなら、Firewallでアクセス禁止の設定をするのが徹底するための一番の早道だと思いますが。
早速の、回答ありがとうございます。
おっしゃる通り、Windowsの自動更新プログラムも、HTTPを使用しているようです。
このプログラムがアクセスしている、IPアドレスは確認できているのですが、
同じPCから、これ以外のアドレスにもアクセスしているようです。(多いPCで20種類位のIPアドレス)
PCでどのようなプログラムが動作しているのか、どのような方法で推測できるのでしょうか?
PCはユーザーが常時使用しているため、1日中アクセスログ確認は難しいです。
(接続時間もランダムなので)
No.4
- 回答日時:
> 「QND」を使用しています。
QND Plusですが。あらま。なんたる偶然。サンプルとして例示しただけだったんですけどね(^^;
> 何のインベントリを見れば良いのでしょうか?
実はQND自体は使ったことがありません(^^;;。
類似のソフトの利用経験はあるんですけどね。
QNDのサイトを見ると、QND Plusのインベントリ機能として、以下の情報の取得が可能とあります。
* ハードウェア情報の収集
* ソフトウェア情報の収集(アプリケーションの追加と削除情報の収集)
* 任意設定情報の収集
* プラグイン(外部プログラム)による特定情報の収集
* OS・IE・IIS情報の収集
* レジストリ/INIファイル情報の収集
* SNMPによる情報の収集
* Linux/UNIX/Macintosh情報の収集
このうち、「ソフトウェア情報の収集(アプリケーションの追加と削除情報の収集)」を見ることで、全てではないにしろ、情報を集めることが出来ると思います。
あとは「レジストリ/INIファイル情報の収集」かな?
具体的な方法は私も知りませんので、QND Plusのマニュアルを参照してください。m(__)m
> Windows Updateのページだけ直接アクセスという設定はあるのでしょうか?
通常はないと思います。
IEのプロキシ設定内で、Proxyを使用せずに直接アクセスするサイトとして"windowsupdate.microsoft.com" "*.windowsupdate.com" などと設定されていればあり得ますが、まず一般的ではないでしょう。
QNDで、「OS・IE・IIS情報の収集」が出来ますので、Proxy設定情報も見られると思います。そちらでProxy設定を確認してください。
参考URL:http://www.quality.co.jp/products/QND/QND_kinou. …
No.3
- 回答日時:
補足頂いたIPアドレスを、別の方法 (*) で調べてみたところ、どうもマイクロソフトの持っているIPアドレスのようですね。
(*) nslookupによるPTRレコードの検索と、whoisデータベースの検索。今日は説明し切れませんので、詳しい使い方はネットで検索してくださいm(__)m
サーバ名までは検索できなかったのですが、自動更新などのツールか、さもなくばhotmailなどへのアクセスである可能性が考えられます。
……試しにアクセスしてみたら、Windows Updateのサーバでした。
> ユーザーのPC内部を調査というのは、どのような方法で調査したら良いのでしょうか?
これは力仕事になります。
PCの内部に存在する各種実行ファイルや、登録されているサービスを調べて、怪しいものを見つけ出す形になります。
やり方としては、自分の目で見る方法、インベントリ検索ツール(QNDなど、商用ですが多数販売されてます)を使う方法が考えられます。
> 勝手にアクセスしたWebのログ&その際のプロセスを追跡することは可能でしょうか?
クライアント・プログラムがログを残している可能性は低いですし、プロセスを追いかけるのも実際にリアルタイムで見てないと厳しい(たぶん、リアルタイムで見ていても難しい)と思います。
Firewallのログなどを見ながら、怪しいプログラムを実行したり止めたりしながらどのプログラムがどこにアクセスしているかを突き止めていきます。
最初に「アクセス先のアドレスを整理しろ」と書いたのは、最後の作業が大変だからなんです。最初にある程度アタリをつけておかないと、ただでさえ大変な作業がよけいに大変になりますので。
がんばってください。
この回答への補足
Toshi0230さん、早速のご返答ありがとうございます。
実は、偶然にもToshi0230さんが言う「QND」を使用しています。QND Plusですが。
これで何のインベントリを見れば良いのでしょうか?
主に、クライアントのリモートアクセス用に使用しているだけで、QNDの機能をほとんど活用できていません。
Toshi0230さんの返答を読んで、QNDの機能について少し調べてみたら、色々な機能があることを知りまました。全て使いこなすのは大変ですが、今までは宝の持ち腐れだったので、これを気に少しづつ勉強しようと思います。
ちなみに、207.46.18.94が、WindowsUpdateサイトとのことでしたが、通常Proxy経由なので、今回Firewallでブロックされているのは、直接クライアントからアクセスされてしまって、ブロックされています。Windows Updateのページだけ直接アクセスという設定はあるのでしょうか?
No.2
- 回答日時:
アクセスしている先のIPアドレスが判っているわけですから、まずはそのIPアドレスのDNS名を検索してみましょう。
Windows 2000/XP の「コマンドプロンプト」で、
> nslookup <IP Address>
と打ってみてください。
以下のような応答が返ってくる場合があります。
-----------------------------------
C:\> nslookup XX.XXX.XXX.X
Server: mydns.server.example.ne.jp
Address: 192.168.0.1
Name: server.at.somewhere.example.com
Address: XX.XXX.XXX.X
-----------------------------------
この時表示される"Name"に表示される名前が、IPアドレスに対応するホスト名になります。これを元に1つ1つ調べていくことになるでしょう。
(実際にIPアドレス先にアクセスすることは、PCセキュリティ的に危険を伴う(ウィルスや自分のPCへの攻撃など)場合がありますので十分に御注意下さい)
後は、定期的にFirewallのログをとり、アクセスの傾向を掴むのも良いでしょう。(決まったアドレスを巡回しているのか、全くランダムにあちらこちらにアクセスしているのか)
ただ、最終的にはユーザのPC内部を調査しないと、ハッキリしたことは言えないと思います。
この回答への補足
Toshi0230さん、返答ありがとうございます。
実は、nslookupで確認してみたのですが、
下記の状態でした。。。
C:\>nslookup 207.46.18.94
Server: ***************
Address:***.***.***.***
*** **.**.****.** can't find 207.46.18.94: Non-existent domain
ユーザーのPC内部を調査というのは、どのような方法で調査したら良いのでしょうか?
勝手にアクセスしたWebのログ&その際のプロセスを追跡することは可能でしょうか?
何度も申し訳ございませんが、アドバイスがあれば
よろしくお願いいたします。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- ネットワーク 社内ネットワークの1台だけ接続できないときがある 4 2023/01/25 11:58
- ネットワーク 自分のPC(ローカル環境)から,Webページにアクセスする過程についての質問です。 1 2023/03/19 23:00
- Wi-Fi・無線LAN PCWi-Fiの設定方法がわからなくて困っています。 4 2022/12/28 18:30
- ドメイン・サーバー・クラウドサービス FileZillaを使用してwpXサーバーに接続できない 2 2022/03/29 21:02
- サーバー Windows2019CALとRDS CALについて 1 2022/06/19 13:48
- その他(ソフトウェア) PC上のOutlookでIMAPアクセス時の送信が出来ない。Android上では問題なし。 2 2022/09/28 11:22
- サーバー Webサイト構築フリーランスの案件受注について 1 2022/03/27 18:16
- その他(ブラウザ) このページは動作していません HTTP ERROR 401 2 2022/11/28 12:11
- サーバー ネットワークの構成に困っています 3 2023/07/05 11:55
- フリーソフト 色々な形式の個人情報を後で参照しやすいようWindow10で管理したいのですが、どんな方法があるの? 1 2023/04/29 16:46
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
フォルダ、ファイルのアクセス...
-
FTPサーバについて詳しい方(ア...
-
グループポリシーのスクリプト...
-
勝手にWebアクセスしてしまいま...
-
PROPFIND 405 Method Not Allow...
-
ローカルネットのアクセス制限...
-
ドメインとワークグループ
-
アクセス権の無いフォルダ表示...
-
二つのPCでサンダーバードを使...
-
ActiveDirectoryのドメインにク...
-
特定ドメインだけ名前解決でき...
-
メール受信新しいものを上に表示
-
停止中のメールサーバへメール...
-
DHCPの適切なリース期間を教え...
-
nslookupでIPが見つからない
-
DNS SOAレコードのserial値につ...
-
webサーバーのhttp://hoge/foo/...
-
アクセスの勉強用に利用してい...
-
IPアドレスが一杯になった
-
ocnメール着信音
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
やってはいけないアクセス制限
-
ActiveDirectoryポリシーの設定が
-
フォルダ、ファイルのアクセス...
-
グループポリシーのスクリプト...
-
FTPサーバについて詳しい方(ア...
-
グループポリシー(壁紙の設定)...
-
TortoiseSVN でユーザー設定
-
DELL PowerEdge 1600SCのRAID解除
-
FTPアカウント ユーザーパスワ...
-
ローカルネットのアクセス制限...
-
共有フォルダへ特定のユーザの...
-
SIDの取得について
-
PROPFIND 405 Method Not Allow...
-
ファイルサーバ
-
Domain参加しているPCでどんな...
-
特定ユーザーにのみSendmail等...
-
vbsなどを利用して、Administra...
-
ボリュームに対するEveryoneの...
-
macOSX10.5でUSBメモリの使用を...
-
アクセス権設定に不自然なもの...
おすすめ情報