12万作品が月額500円(税別)で見放題なのはdTVだけ!! >>dTV(外部リンク)

はじめまして。皆様のお力を拝借したく、
よろしくお願い申し上げます。

環境は以下のとおりです。
OS : Windows XP SP2
ウィルス対策ソフト : ウィルスバスター2006
ルータ : メルコ AirStation WHR-G54

今日、ウィルスバスターのアップデートを下ついでに
久々にファイアウォールのログを見たところ、
ありえないようなポート番号が山ほどありました。
(TCP 送信元 1203 C:\WINDOWS\SYSTEM32\SVCHOST.EXE 送信先 2869・・・等)

ウィルスでも感染したのかと思い、ウィルスチェックをしても感染は認められません。
(ローカルでチェックした後、オンラインスキャンでもチェック、ウィルス感染はなし)
スパイボットでも問題はありませんでした。
とは言え、気づかぬうちに不正侵入などされているのかと思い
オンラインでシマンテックのセキュリティスキャンを行った所、
「対ハッカー露出度チェック」の詳細な分析表示の「結果」で
「ICMP Ping」の状態が、「OPEN」という結果となっていました。
それ以外はステルスです。(113はClosedでした)

これは閉じた方がいいと思い、こちらでも検索させて頂き
方法を探したのですが、ルータにも設定する箇所がなく
ウィルスバスターのパーソナルファイアウォールでも
設定が見当たりません。
例外設定で「ICMPの送信は全て拒否」という設定を追加してみては?
という方法をどちらかで拝見してやってみたのですが
これだけで安心できるものなのでしょうか?
他に、何かICMPをステルスにする方法等はあるのでしょうか?
全く検討も付かず何時間か困り果てております。
何卒ご指導願いますよう、よろしくお願い申し上げます。

このQ&Aに関連する最新のQ&A

A 回答 (4件)

起動時のIPアドレスが正確ではないですね。



パソコン起動時に、220・・・に接続しているそうですが、UDPだと、たぶんプロバイダーではないですか。TCPだと、相手のどのポート番号でしょうね。135とか139ですかね。

IP検索ですが、
http://www.apnic.net/apnic-bin/whois.pl
で調べても出ないということですか。

プロバイダーのDNSではないですか。
ネットに接続後、何かのプログラムがどこかに接続するときに、必ずそこに問い合わせしますから。

それとも、いきなり、そのIPアドレスに接続しようとしているのでしょうか。

どっちにしても、openというのは、存在を相手に知らせることができるということです。逆にいえば、相手は、あなたの存在を確認可能だということです。

セキュリティの基本は、マイクロソフトアップデートです。手動で確認しましょう。
最近の不正プログラムは、巧妙らしいですよ。
    • good
    • 0
この回答へのお礼

ありがとうございます。

> 起動時のIPアドレスが正確ではないですね。

申し訳ございません。すべてここに書いてもいいものかどうか?
躊躇ってしまった為、最初の番号だけになってしまいました。
なる程・・・プロバイダのDNSの可能性もあるのですね。
ログを見るとアクセスしているアプリケーション名が
Generic Host Process for Win32 Servicesになっています。

> セキュリティの基本は、マイクロソフトアップデートです。
> 手動で確認しましょう。
はい・・・仰るとおりですね。私もPCを触る仕事を
少々している為、セキュリティには気をつけていたのですが・・・
MSアップデートは必ず、出た日にカスタムでしており、
ウィルスバスターも毎日アップデートしていたのですが・・・。

ICMPのみOpenになっていてもセキュリティソフトと
MSアップデートでしっかりしていれば
神経質になる事はない、と言う書き込みも何件か拝見しているのですが、
実際の所はどうなんでしょうね・・・?
ネットワークやルータの設定、ポート関連などは本当に
ど素人な者であたふたし、昨日から参っておりました。
本当に色々お教え頂きありがとうございました。

お礼日時:2006/07/02 00:32

ポートがすべてステルスというのは、スキャンをかけられた時、相手からpingをかけられた時、なにも反応しないことだと思います。



113というポート番号は、よく空けている?開けせれている人がいるようです。135とか、139とかにアクセスしようとしているパソコンがそういうポートを空けていました。

あなたもうすうす気づいていると思いますが、pingは普通ステルスのはずです。なのにopen。

インストールしてあるソフトも何らかの関係があるようにも思えます。
とはいえ、どうやって閉じるかには、ちょっとわかりません。
トレンドマイクロのサポートページを見たら設定できるようですし、それでもあいているのは何かわかりません。

http://www.f-secure.com/blacklight/
試してみてどうか。

パソコン数台でホームネットワークを組んでいるとか、あとは、ルーターだけど。
pingに応答するだけなら、自分自身を隠せないことであって、他は閉じている、ステルスということで、もし、リカバリして、すべてステルスになるということは、原因があるということですよね。

侵入されたら、数分で複数のバックドアをしかけられ、侵入の痕跡を消去し、物色され、不正プログラムをステルスにされてしまえば、スキャンをかけても見つからないと思いますし、これ以上はわかりません。
    • good
    • 0
この回答へのお礼

FMVNB50GJ様

ご解答下さり本当にありがとうございます。

> トレンドマイクロのサポートページを見たら設定できるようですし、
> それでもあいているのは何かわかりません。

やはりあの方法で本来なら閉じるはず、ですよね。
スッキリさせるには一度、クリーンインストールするのが
最善の方法なのかもしれないですね。

お教え頂きました「blacklight」のベータ版も
ダウンロードし、試してみました。ありがとうございました。
結果はNo Hidden items Foundでした。

> パソコン数台でホームネットワークを組んでいるとか、あとは、ルーターだけど。

パソコンは同じルータに2台つないでいます。
どちらのパソコンも教えて頂いたBlackLightを
試しましたが同じ結果でした。
不正侵入でもされていると怖いですよね・・・
本当はルータの初期設定からもやり直した方がいいのかもしれないですよね。
頑張ってチョット試してみます。
本当にありがとうございました!!

お礼日時:2006/07/02 00:19

回答ではありませんが、113がcloseだということは、たとえば私がスキャナーを使ってスキャンをかけると、RST/SYNパケットが返ってきて、存在を確認できます。



XP SP2のファイアーウォールを無効にしていると思います。
「例外設定で「ICMPの送信は全て拒否」という設定を追加してみては?」というのは、ルーターのようですが、windowsファイアーウォールにもそういう設定があったと思います。

windowsファイアーウォール、詳細設定、ICMPの「設定」

バスター君は使ったことがないので全然わかりませんが、ノートンでは標準でICMPの遮断があります。

ルーターを使っていないのでわかりませんが、ポート番号はどこのIPアドレスなのでしょう。
スキャンをかけられれば、いろいろなポート番号に記録されるはずです。

この回答への補足

申し訳ありません。IPについてもう1度確認しましたら
昨日、ルータやPFWの設定を変えるまでは間違いなく
送信先もプライベートIPだったのですが、
先ほど、今日のログを確認すると、起動時と思われる
時間に220・・・から始まるIPに接続しています。
IP検索で調べてもヒットしません。
外部に何か起動時に接続している・・・と言う事でしょうか?
申し訳ありません。よろしくお願いいたします。

補足日時:2006/07/01 22:52
    • good
    • 0
この回答へのお礼

FMVNB50GJ様
ご解答頂きありがとうございます。

例外設定で「ICMPの送信は全て拒否」という設定を追加してみては?」というのは
トレンドマイクロのサポートページにありました。
ウイルスバスターのファイアウォールの設定になります。
http://esupport.trendmicro.co.jp/supportjp/viewx …
この方法で、送受信ともに「拒否」設定を追加しました。
後、hamahamachan様に教えて頂きました
ルータのパケットフィルタ設定も見つける事ができ、
WAN側、TCP・UDPともに拒否設定を致しました。
それでもまだ、Openです・・・(涙。

> XP SP2のファイアーウォールを無効にしていると思います。

はい。ご指摘の通り、Winのファイアウォールは無効にしております。
と言うのは、ウィルスバスターにファイアウォール機能があるので
そちらを有効にし、Windowsのファイアウォールを利用しておりません。
Windowsのファイアウォールを利用した方がよいのでしょうか?

> ルーターを使っていないのでわかりませんが、ポート番号はどこのIPアドレスなのでしょう。

それが・・・ポート番号逆引きなどで調べても全く見当たらない番号で、
IPはプライベートなので自マシンと、ルータのIPにあたると思います。

> 113がcloseだということは、たとえば私がスキャナーを使って
> スキャンをかけると、RST/SYNパケットが返ってきて、存在を確認できます。

と言う事は・・・全くの素人で申し訳ありません。
Closeの方が自マシンがネットワーク上に存在が見えて
返って危険と言う事なのでしょうか?
113のCloseと、ICMPのOpen以外は全てステルスで
シマンテック・オンラインセキュリティチェックで
詳細設定にまで潜らない、最初のチェック終了後の情報では
全て3項目とも「安全」と言う表示にはなっているのですが
やはりこのまま使い続けるのは不正侵入等に対して
危険を伴うのでしょうか?
お教え頂けますでしょうか?よろしくお願いいたします。

お礼日時:2006/07/01 21:34

私もエアステーションを使っています。


機種は違いますが、エアステーション付属のクライアントマネージャから設定画面を出して、詳細設定、パケットフィルタ画面を出し、WAN側からのパケットを拒否にして、あて先と送信先のIPアドレスを空欄にして、プロトコルをICMPにしてルールを追加しておくことができるのですが、お使いの機種にはその機能はないのでしょうか。

(自分のエアステーションで確認しましたが、特にそういうルールを作ってはいないのですがセキュリティチェックでは全部ステルスでした。)
    • good
    • 0
この回答へのお礼

hamahamachan様

ご解答いただきましてありがとうございます。
早速、お教えいただきました方法を試みました。
詳細設定→WAN設定まではあり、WAN設定で
WANポート、PPPoEの2つの項目がありました。
ですが、どちらの画面にも「パケットフィルタ画面」がありません。
これは、私が見つけられてないだけなのでしょうか?
どこかまた他に探すべき所があるのでしょうか?

全くの素人質問、大変申し訳ありません。
お教えいただけますでしょうか?よろしくお願いいたします。

お礼日時:2006/07/01 15:48

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!


人気Q&Aランキング