不正アクセスログとセキュリティスキャンの結果

初めまして。
２つ質問がありまして、そのうち１つでもお答え頂けると幸いです。
長文になりますがお許し下さい。

今日、CTU（プロバイダがNTT西日本の光プレミアムです）の設定で
何となく不正アクセスログを見たところ、大量のログがありました。
一分間に何度も不正アクセス？されているようです。
例えば…

送信方向 WAN→LAN
送信元アドレス　△.○.×.*
送信元ポート　色々
送信先アドレス　△.○.?.!
送信先ポート　135や445が圧倒的に多いです
プロトコル　TCPかUDP
ログ理由　NATによる破棄
TCPフラグ　SYNかESTABLISHED

こんな感じです。
送信元アドレスと送信先アドレスの最初の２つの数字は同じである場合が多く、またこれは私のIPアドレスにとても近いです。
これはやはり頻繁に不正アクセスを受けている、もしくはBlasterやボットなどというものに感染している恐れがあるということでしょうか。
またその場合、どのように対策すればいいのかご教授下さい。
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
また、Symantecのセキュリティチェックを行ったところ
ICMPping　OPEN
ポート80　CLOSE
ポート113　CLOSE
との結果が出ました。
全てステルス状態が望ましい、とあったのでとても心配です。
ICMPpingのOPEN状態については
http://oshiete1.goo.ne.jp/kotaeru.php3?q=1287594にならって
ノートン2007で同じように設定しましたが、ステルス状態にはなりませんでした。どうすればステルスにできますか？
またポート80、113も同様にステルス状態にしたいので設定方法がありましたら教えて頂けると助かります。

以上、関連があるかもしれないと思い、２つの事柄について質問してしまいました。問題があるようなら仕切りなおして１つずつ質問するつもりですので、よろしくお願いいたします。

No.5 回答者： FMVNB50GJ 回答日時： 2007/03/22 07:10

また、Symantecのセキュリティチェックを行ったところ

ICMPping　OPEN
ポート80　CLOSE
ポート113　CLOSE
との結果
------------------------------------
CTUのファイアーウォール機能←これ知りません
↑ファイアーウォールの重複は不具合の元だけど。

Windowsのファイアーウォールも無効だったのを有効に
↑ノートンのファイアーウォールに統一

「侵入者　72.14.*.*(http)80」
↑そこに、そのサイトにアクセスしたということなら、「警告」になるのがおかしい。ノートンの設定は、推奨とか標準ですよね。

ノートン2005の経験では、ノートンの設定を厳しくすると変な警告が多くなった。

念のため、パソコンをネットから物理的に切断。
まず、windowsファイアーウォールを起動して、例外タブのところにプログラムがあるので、すべてのチェックをはずす。詳細設定タブのICMPを開いて、すべてのチェックをはずす。
それから、
コントロールパネル
クラシック表示
管理ツール
サービス
Windows Firewall/Internet Connection Sharing (ICS)をダブルクリック
停止して無効に。
それでどうなるかだね。

ノートン使っているときにはほかのファイアーウォールは必要ない。

当方ノートン2006まで使ったことがあります。2007の実態は知りませんが。

ICMPに反応することは、誰でもあなたにpingをやればあなたのパソコンは、「はいはい」とこたえるということです。ほかのポートのやつも同様です。それだと、おそらく、メッセンジャースパムといわれているものにも、反応しているはずです。つまり、「あなたのパケットは届いていませんよ」という返事をしていると思います。それはUDPに反応することですが。

P2Pソフト使っているなら、ダウンロードしたものを含めて削除。

No.4 回答者： FMVNB50GJ 回答日時： 2007/03/21 23:45

ノートン2007でステルスにならない？

ルーター使っているように思えますが。

TCP113にclose反応するものがあるはずです。

ICMPこれはどうかな。windowsファイアーウォールと併用しているわけではないなら、ルーターの設定または、使っているプログラムだと思います。
windowsファイアーウォールでicmpに反応しましたから。

ポート80　CLOSE
これが普通じゃないというか、何でそのポートがcloseなの、と聞きたくなります。
windows XP SP2？
---------------------------------------
135とか445が圧倒的に多いのはこちらでも同じです。
その手のパケットのおおよそ80パーセント以上はそれらです。
ボット君たちが活動していることです。

ルーター使っていれば、パソコンまで到達しないはずです。

不正プログラムの中には、ステルスのものがあります。当然スキャンしても見つからないでしょう。おまけに、自動更新機能まであるやつがあります。
ルートキットスキャン
http://www.f-secure.com/blacklight/

この回答へのお礼

ありがとうございます。
当方windows XP SP2です。

>ノートン2007でステルスにならない？
自分なりに試したのですが、結果は変わりませんでした。
具体的な設定方法があるならご教授していただけると幸いです。

ルーターは、ルーターというよりCTUのファイアーウォール機能を使っています。先ほど確認したらなんセキュリティレベルが「低」だったので「中」に上げ、ついでにWindowsのファイアーウォールも無効だったのを有効にしてみました。（でも重複してたらいけませんよね。Windowsのほうを無効にしたほうがいいでしょうか？）

暫くして不正アクセスログをチェックすると、送信先ポートの結果の445は激減したのですが、今度はよりどりみどりのお祭り状態になっております。TCPフラグの結果に「INVALID」？と現れるようになったり、
英数字混合の長い「送信先、送信元アドレス」ログが出てくるようになったりと、ますます不安です。
また、ノートンでインターネットセキュリティ→統計→最近の侵入の数が１５となって驚きました。今日の夕方まででは０だったのですが。

教えて頂いたルートキットスキャンを試したところ、一応変なものは検出されませんでした。
が、この大量の変な不正アクセスログを見ているととても安心できません。


ポート80がCLOSE状態なのが変、との事でそっちも不安です。
ノートンの「統計」→「ログ表示」→「接続」を見てみると
「ローカルIPアドレスの欄」が「local」になっておらず、
IP Address/Netmaskで表示されている自分のIPが表示されている事が多々あり、しかもこのときの「リモートサービスポート」の欄が「(http)80」となっていました。これは危険な状態なのでしょうか？
また、あるサイトにアクセスしたときに検出された警告のログを「侵入防止」の欄でみると「侵入者　72.14.*.*(http)80」となっていたりもします。
ポート80恐怖症になりそうです。

何かアドバイスがありましたらよろしくお願いいたします。

お礼日時：2007/03/22 01:36

No.3 回答者： 123admin 回答日時： 2007/03/21 23:10

URLを間違えました。

正規
http://antivirus.ddo.jp/abc/cbbs/cbbs.cgi?mode=a …

＃凡ミスもいいところだ。

No.2 回答者： 123admin 回答日時： 2007/03/21 22:55

セキュリティ対策ソフトをお使いですよね。

ご存知だとは思いますが、これはOEM版ウイルスバスターです。

で、バスターには悪癖があって135とか445などを開けてしまう悪さをします。

参考例
http://192.168.1.100/abc/cbbs/cbbs.cgi?mode=all& …

まぁ許可したプログラムの動作の性みたいですので実質的には問題ない様です。

この回答へのお礼

当方、ノートンですがやっぱり135や445が大量にログにありました。
問題なければ安心できるのですが、不正アクセスログで大量に検出されるものの中で、どれが危なくてどれが安全か見分けがつかないので、すべて危険に見えてしまいます。
ご回答ありがとうございました。

お礼日時：2007/03/22 01:46

No.1 回答者： haifa7741 回答日時： 2007/03/21 21:16

アクセスログに多くの履歴が残ることはよくあることです

自分も前多く残っていました
アンチスパイ、アンチウイルスでスキャンをかけてみて
何も引っかからなかったら問題ない　というか他に方法はありませんよね

この回答へのお礼

一応アンチスパイ、アンチウィルスでは何もでませんでした。
ご回答ありがとうございました。

お礼日時：2007/03/22 01:39