ルーターのIPアドレス制限のログの診断をしてください。

お世話になります。
質問したのですが、ログをアップローダーにのせてここにそのURLを書くと違反になるみたいでログのURLを消されてしまいました。ログがちょっと異常かなと自分で思ったので詳しい方のご意見がききたいので教えていただきたいのですが、約２時間３０分で１００件のログがとれたんですけど、なんなんですかね・・・。侵入を試みてる人達がこんなにいるということなんでしょうか？

[2006-08-10 09:02:45] | [60.56.***.***] | [135]
[2006-08-10 09:03:01] | [60.56.**.***] | [135]
[2006-08-10 09:06:45] | [124.25.***.***] | [80]
[2006-08-10 09:07:40] | [60.56.**.**] | [135]
[2006-08-10 09:07:53] | [60.56.**.***] | [139]
[2006-08-10 09:12:52] | [60.56.**.***] | [135]
[2006-08-10 09:13:26] | [60.56.**.***] | [445]
[2006-08-10 09:13:41] | [60.56.**.***] | [135]
[2006-08-10 09:15:52] | [60.56.**.***] | [445]
[2006-08-10 09:16:40] | [60.56.**.***] | [445]
[2006-08-10 09:18:45] | [16.69.**.***] | [1026]
[2006-08-10 09:19:07] | [211.78.***.***] | [135]
[2006-08-10 09:19:10] | [60.238.***.**] | [135]
[2006-08-10 09:20:02] | [60.56.**.***] | [135]
[2006-08-10 09:20:27] | [60.56.**.***] | [135]
[2006-08-10 09:23:11] | [60.11.***.**] | [1027]
[2006-08-10 09:23:48] | [60.56.**.*] | [135]
[2006-08-10 09:24:22] | [60.56.***.***] | [135]
[2006-08-10 09:26:52] | [60.56.**.***] | [445]
[2006-08-10 09:29:51] | [60.56.**.***] | [135]
[2006-08-10 09:30:03] | [60.56.**.***] | [445]
[2006-08-10 09:30:59] | [60.56.***.***] | [445]

No.1 ベストアンサー 回答者： pipipi523 回答日時： 2006/08/10 21:49

ポートスキャンではないでしょうか

>約２時間３０分で１００件
ウイルスに感染したＰＣが自動で行っているのかも知れません

この回答へのお礼

お返事ありがとうございます。
うちのルーターはこれなんですけど↓http://www.corega.co.jp/product/list/router/barf …

nmap等のポートスキャンには反応しないんですよね。
で、ログは字数制限によって30分間しかかけなかったのですが　8割方ポート135と445への接続要求なんですよね。かつ同じeoのプロバイダーで60.56.***.***からのアクセスでウィルスだとすると何故eoに偏ってるんだろうという疑問がわきます。

さらに悪いことに
『135はRPC（Remote Procedure Call）、445はSMB Direct Hosting で使用されるポートです。
　どちらもパーソナルファイアーウォールやルーター、ファイアーウォールでWAN側からLAN内部への予期せぬトラフィックはブロックしてください。
』

どうも侵入を試みられてるようで気持ち悪いんですよね・・・。

お礼日時：2006/08/10 22:28

No.3 回答者： FMVNB50GJ 回答日時： 2006/08/11 00:06

大体こちらの平均より少し多いくらいですね。

たまにスキャンをかけてくるやつもいますが、7割は感染パソコンからのものです。
つまり、135や445や1025などがあいていて、windowsの重要な更新をやっていないやつです。

感染パソコンがいっせいにリカバリしたらBOTネットも大打撃を受けるのになぁ。

この回答へのお礼

ありがとうございます。
安心できました。

現実的には無理ですけど本当一斉にリカバリしてほしいですね・・。

お礼日時：2006/08/11 23:48

No.2 回答者： prum 回答日時： 2006/08/10 22:26

通常の接続状態だと思います。

↓の解説を参照して下さい。

TCP 135番ポートへのアクセスが増加傾向～警察庁のネット治安情勢レポート
http://internet.watch.impress.co.jp/cda/news/200 …

TCP 445番ポートへのアクセスが急増～警視庁ネット治安調査
http://internet.watch.impress.co.jp/cda/news/200 …


インターネット定点観測
http://www.cyberpolice.go.jp/detect/observation. …

この回答へのお礼

ありがとうございます。

ウィルスですか・・・。
これで少し安心できました。
こんなに不正アクセスをしようとしてる人達がネットには横行してるのか！？と思っていたのですが、ただの杞憂でした。でもウィルスの被害って本当にひどいもんなんですね。Blasterは名前だけ聞いたことがあったのですが、ポート135にアクセスしてアクセスが通ればそのコンピューターに侵入してウィルスに感染させ、今度はそのコンピューターが別のコンピューターのポート135にアクセスしてウィルスをどんどんばらまいていく。こういう仕組みなんでしょうね。

ただ60.56.***.***からのアクセスに偏っているのがきになりますね。恐らくウィルスのプログラムでIPの下２桁だけ変えてアクセスするように組まれているのでしょうね。

全て推測ですけど、教えて頂いたレポート参考になりました。ありがとうございました。

お礼日時：2006/08/10 22:40