ルータのログを見て発見しました。
ZooneAlermを入れれば、ルータへは届かなくなりましたが、
ZooneAlermのログには「外部へ向かう不正パケット」がブロックされた旨、出ています。
ウイルス対策は、AVG、AD-Aware でしていますが、何も出ません。
これで、3台目です。
2台目の時は、販売店に頼んでディスクの物理フォーマットをしてみましたが、
状況は、変わりませんでした。
で、知りたいのは、1台目はまぁいいとして、2台目から3台目に移った経路です。
2台目と3台目をLANで繋いだことはありません(そもそも常に1台の構成)
ネットに繋ぐ前には、ちゃんとAVG、AD-Awareを入れてからにしています。
共通なのは、ルータと、AVG等がいったフラッシュメモリデスクやCDです。
侵入者によって、BIOSが書きかえられるというのは聞いたことがあります。
で、ルータやメモリデスクのファームウエアが書き換えられる可能性は、
あるのでしょうか?
わざわざマカフィーを購入して、サポートに聞いてみましたが、
「最新のマカフィーで検出されないのだからウイルスではない=サポート対象外」と言われました。
No.7ベストアンサー
- 回答日時:
>> コレガに10.0.0.Xのパケットが見える筈がないからです。
> 逆に、PCからコレガも見えないと思いますが
いいえ。
コレガの設定をNo.5のようにすると、コレガの配下のネットワークアドレスは192.168.1.0となるので、NetGearのWAN側には192.168.1.Xのアドレスが与えられます。
(DHCPで取得する場合、Xは11から60までのどれか。)
(NetGearのWAN側に手動で設定する場合は、Xは2から254までのどれかでないと通信できない。)
NetGearのNATが正しく機能しているなら、PCから送出されるパケットの送信元IPアドレスは192.168.1.Xに変換されるので、コレガにはPCの10.0.0.Yのアドレスは見えません。
(つまりコレガには、NetGearが送信しているようにしか見えない。)
このときルータ(今の場合、NetGear)は、送信元ポート番号(つまり返信先ポート番号)もIPアドレスとセットで変換して記憶しているので、インターネットからの応答パケットは、返信先ポート番号から元のIPアドレス(10.0.0.Y)に変換して、PCに届きます。
従って、PCからインターネット(今の場合、コレガ)を見ることができます。
逆に、インターネット側から192.168.1.Xや10.0.0.Y宛のパケットが届いても、対応するポート番号がないので、PCには届きません。
これが、ルータが簡易ファイアウォールとして機能する所以です。
また、コレガには届く筈のない10.0.0.Yからのパケットが届いているので、コレガはIP Spoofing(IP偽装)と判断しています。
> さきほど、PCとNetGearを192.168.5.XXXに変えましたが
21時36分51秒のICMPと、20時42分の3発のバケットかな?
いきなり10.0.0.21がいなくなったので、NetGearも戸惑っているようですね。
> 「イントラネットをインタネットに見せかける設定」
意味が分かりません。
ルータの基本的な働きは上に説明した通りで、ルータにとってはWAN側に接続されたネットワークは全てインターネットです。
ところで、どうしてもPCにBackDoorが仕込まれたと思いたいようですが、どうしてそう思いますか?
これまで示されたログを見る限り、BackDoorの兆候はありません。
もしもあなたが、リンクをクリックした時間以外や接続したい以外のサイトのIPアドレスが記録されているなら話は別ですが。
気になるならIPアドレスの管理者をこちらから検索してください。
http://whois.ansi.co.jp/
また最近の市販ウィルス対策ソフトはマルウェア検索機能も備えているので、AVGを一旦アンインストールしてこれら試供版をインストールして検索してみるといいでしょう。
更に、AD-Awareは検索削除機能しかありませんが、AD-Awareと並んで定評のあるSpybotは防御機能もあるので、両方インストールしておくといいでしょう。
http://enchanting.cside.com/security/spybot1.html
この回答への補足
>逆に、インターネット側から192.168.1.Xや10.0.0.Y宛のパケットが届いても、対応するポート番号がないので、PCには届きません。
IPマスカレードですね。
「イントラネットをインタネットに見たてる設定を知りたい」
というのは、
Netgearが壊れてないとして、
LAN内なのにWANとみなして、LAN内のパケットをコレガ側に中継するような設定があって、そう設定されているのでは?
と思ったからです。
>これまで示されたログを見る限り、BackDoorの兆候はありません。
ありがとうございます。
「BackDoorが仕込まれているとか、ボットネットに組み込まれているのでは」と思う理由は、
1.Officeとか入れてないのに、中国語・台湾語・韓国語用のIMEが
インストールされている(何種類も)
2.AD-AwareのEXEに、Manifestファイルがあったことがある
3.レジストリのESENT配下のExploreやSetup,WinLogOn等に、
デバッグエントリが、時々、できたり消えたりする
4.「データ実行防止」を「以下のプログラムを除く」に設定して、空にしていますが、
XXXX.tmp というのが、あったことがある。
5.サービスにMacineDebugManegerが入っている
(このパーティションには、BisualStadioは入れていません)
7.ZoneAlermのログに、このPCから相手ポートをスキャンしているように
見えるログが記録されたことがある
6.何年か前、Hサイトのアンダグラウンドの画像を採ろうとして、
Dos攻撃を受けた(もうあきたので、今はしていません)
No.6
- 回答日時:
気を悪くさせたようでごめんなさいね。
私にはコレガのログがどうしても信じられなかったので。
ネットワークの接続や設定が正しいとすると、NetGearのNAT機能がおかしいとしか思えません。
なぜなら、コレガに10.0.0.Xのパケットが見える筈がないからです。
だからコレガもIP Spoofingと判定しています。
WGR614CはVPNパススルー機能を持っているので、無線LANパケットをVPNと誤判定しているのかもしれません。
まさかPCのネットワーク接続を「仮想プライベートネットワーク」なんかにしてませんよね?
http://www.aterm.jp/function/guide7/list-data/co …
(一番下の図)
それとも、(これで誤判定が出るかどうか知りませんが)PCにPPPoE接続ソフト(フレッツ接続ツールなど)とかソフトイーサとか入れてませんよね?
もし可能なら、コレガとNetGearと入れ替えて見ると面白いかもしれません。
NATが壊れているなら、今度はモデムがコレガから攻撃されているように見えることでしょう。
NetGearを外して、コレガにPCを接続して異常がなければ、NetGearの異常で決まり!
念のため、NetGearを初期状態にリセットするか、可能ならファームウェアを上書きしてみてください。
それでもだめなら、NetGearを捨てるか、気にせず使い続けるかですね。
こちらこそ、誤解を与えるような書き方をしてしまいました。
すみません。
で、
>コレガに10.0.0.Xのパケットが見える筈がないからです。
逆に、PCからコレガも見えないと思いますが、
192.168.1.1をIEに入れると、管理画面がでます。
(接続は、再度、確認しました)
>「仮想プライベートネットワーク」なんかにしてませんよね?
してません(VPNの意味はわかります)
>PPPoE接続ソフトとかソフトイーサとか入れてませんよね?
入っているとしたらクラッカのBackDoorではないでしょうか?
なんらかの方法でLAN(イントラネット)を、NetGearに(インタネット)と
思わせているような気がします。
さきほど、PCとNetGearを192.168.5.XXXに変えましたが
http://www.geocities.jp/rhcpf907/yokino/Dos20081 …
のような状況です。
お手数ですが、もし「イントラネットをインタネットに見せかける設定」をご存知なら、お教えください。
No.5
- 回答日時:
悪いけどあなたの書き込みが信じられません。
No.3ではPCのアドレスは192.168.103.XXXと書いていて、No.4では10.0.0.XXですか。
(1.0.0.XXはありえない。先頭は10の間違いでしょ。)
それはいいとしても、No.2のログで別セグメントのブロードキャストパケットが漏れているのも変だと思ったけど、今度はこんなに漏れている???
それがことごとくブロックされたら通信できんでしょう!?
一体どんなつなぎ方をしているのですか?
もしかして無線ルータのNAT機能が壊れてませんか?
(無線をブリッジとして使っているなら、通信できない筈!)
或いは、どこかのIPアドレスがNo.4に書いたものと違います。
コレガのルータも、どうもLAN同士をつないでいるような気がしてなりません。
それを無視すれば、このログ自体も不審な点はありません。
ポート80はHTTPです。
いくつかのグーグルを除けば全てYahoo関係で、http://に続けてIPアドレスを入力すれば分かりますが、フレームや(宣伝の?)画像を要求するものです。
(オプションの指定がないので意味のある内容は出ませんが。)
サブネットマスクも、もしかしてモデムとコレガは255.255.0.0じゃないですか?
192.168.X.XのクラスCのプライベートアドレスは少なくとも左2オクテッドはマスクする必要がありますが、右は255.252まで許されます。
同様にクラスAの10.X.X.Xは(使っている例は初めて見ましたが)、255.0.0.0から255.255.255.252までです。
この回答への補足
混乱を招いたことをお詫びします。
No3のログは、日付を見ればわかるように5月頃のものです。
この頃は、まだ無線ルータ(Netgear)は使っていませんでした。
また、PCではDHCPは使っていません(ルータのDHCPサーバ機能は生かしていますが)
で、ほぼ毎日、自アドレスを変えています。
今は、
http://www.geocities.jp/rhcpf907/yokino/PCaddr.GIF
http://www.geocities.jp/rhcpf907/yokino/netgearG …
http://www.geocities.jp/rhcpf907/yokino/corega.GIF
です。(この状態でGooに繋いでいます。嘘ではありません)
接続ですが、
ADSLモデムの口は、1つしかないです。
それをコレガのWANの口へ、コレガのLANの口の1つから、
無線ルータのWANの口へ
です。(今、確かめてきました)
>無線ルータのNAT機能が壊れてませんか?
可能性はあります。コレガの方も。
お手数をおかけして申し訳ありません。
No3のログというのは、No2の間違いです。
>コレガの代表的なログ
http://www.geocities.jp/rhcpf907/yokino/DOS.bmp
を採ったのが、5月です。
No.4
- 回答日時:
なんだか妙なことになってきましたね。
ZoneAlarmログのポート番号自体は全然怪しくありません。
すべて宛先ポート53ですから、DNSを要求しているだけです。
複数のDNSを同時に要求しているので、発信元、つまり返信先ポートは現在使われていないポートを指定しています。
http://www.atmarkit.co.jp/fwin2k/network/baswinl …
但し、IPアドレスが、発信元10.0.0.13、送信先10.0.0.1となっているのが私にはよく分かりません。
proxyソフトかVPNでも使っているのですか?
尚、svchostは昔から訳分からんプロセスとして有名ですが、
http://www.atmarkit.co.jp/fwin2k/win2ktips/236po …
同時に3,4個ずつ起動して全てDNSを要求しているので、何かの自動更新ではないでしょうか?
例えばMS updateとか、インターネット時刻とか、AVGやJAVA、acrobatその他のソフトの自動アップデートなど。
或いは単にDHCPサーバやデフォルトゲートウェイを探しているのかもしれません。
このDNS要求を遮断すると、ルータの遮断ログもなくなるのなら、ルータへのアタックに見えたのはDNSの応答か、或いはモデムからDNS要求元が見えなくなったことによるARP探索ではないですかね。
LANからWANへ向かっているように見えるのが依然奇妙ですが、ここは各端末(ルータを含む)の接続とネットワークアドレス(サブネットマスクを含む)がはっきりしないと何ともいえません。
この回答への補足
お手数かけてすみません。
今日の コレガルータのログです。
http://www.geocities.jp/rhcpf907/yokino/Dos20081 …
1.0.0.3 は嫁さんのPCです(僕のは 1.0.0.21)
接続相手は、Yahooのブログとかです(なんで80にこんなの送るの?)
構成を書きます。
ADSLモデム(192.168.3.1) - コレガルータ(192.168.1.1) - 無線ルータ(10.0.0.1)
--- 僕(1.0.0.13)ー 共にNETBTは切っています
--- 嫁(1.0.0.3)
で、サブネットマスクは、全て255.255.255.0 です
(10.0.0.XXの方もです- 変ですが説明書の通りの設定です)
当然ながらproxyソフトやVPNは使っていません。
入っているとしたら「侵入者が仕込んだバックドア」と思います。
No.3
- 回答日時:
#2です。
その後どうなったでしょうか?しかし、(多分ADSLモデムにもルータ機能がついているだろうから)ルータ3段重ねにファイアウォールを(XPとZoneAlarmの)2段入れて、余計なサービスは全て切っている筈なのに、変なログを見つけてびっくり仰天なんて、まるで昔の私のようだ。(笑)
当然、無線LANは暗号化してMACアドレスフィルタも掛けているでしょうね?
ログの提示ありがとうございます。
しかしこれだけでは決定的なことは分かりませんね。
192.168.103.101がコレガで、192.168.3.34がPCのIPアドレスかな?
192.168.3.255はブロードキャストアドレスだから、ルータを攻撃しているとはいえませんね。
103のセグメントに3のセグメント宛のパケットが来たら、そりゃIP Spoofingと判定されるわ。
もしかしてNBT(NetBIOS over TCP/IP)も切ってないのではないですか?
もし切っているなら、今度はZoneAlarmのログを見せてください。
的確なご指摘、ありがとうございます。
>無線LANは暗号化して
してます。
>MACアドレスフィルタも掛けているでしょうね?
これはしてません。というか初めて知りました(MACアドレスは知ってますが)
>192.168.103.101がコレガで、192.168.3.34がPCのIPアドレスかな?
あっ、おかしい!! PCが、192.168.103.XXX で、
ADSLモデムが、192.168.3.34です。
すいません。接続を間違えてるようです(Lan→Wanは逆?)
ADSLモデムはルータ機能付ですが、特に何かのサービスを選択する機能はなく、
何故このポートNoのUDPを出すのかわかりません。
>NBTは、
切ってますし、ファイル共有サービスはインストールしていません。
本日のZoneAlermのログです。
ログにでているポートは、怪しいと思うのですが、、、
http://www.geocities.jp/rhcpf907/yokino/zooneale …
参考までに M$のポートの一覧です。
http://www.geocities.jp/rhcpf907/yokino/Port.txt
No.2
- 回答日時:
PCに、定期的に外部との接続を確認するソフトが入っているのでしょう。
例えばメッセンジャーとか、p2pとか、オンラインゲームとか。
ウイルスやスパイウエアなどがUSBメモリを通して感染した可能性はありますが、AVGやAD-Awareをきちんと動作させているなら可能性は低いですね。
意外と、UPnPとかMSMメッセンジャーとかリモートデスクトップとかではないですか?
これらを無効にしていますか?
ルータの型番と、ルータやZooneAlermの代表的なログを提示してもらえるとはっきりするでしょう。
この回答への補足
>定期的に外部との接続を確認するソフト
メッセンジャー、リモートデスクトップ 切っています。
p2pとか、オンラインゲーム していません。
UPnP 知りませんでした!!
切ってみます。
ルータは、コレガをADSLモデム側、それに無線ルータ(Netgear)を
繋いでいます。
>コレガの代表的なログ
http://www.geocities.jp/rhcpf907/yokino/DOS.bmp
No.1
- 回答日時:
自分の経験ですが、Buffalo製のルータを使っている際、
ルータ管理画面のアタックブロックのログを見ると、自分のPCが
「SYN FLOOD パケットが検出された」というように、何かの攻撃を
外部のサーバに対して行っているというログが残っていることがたまにあります。
その時の外部のサーバというのは、自分がよく見に行くだけの
普通のWEBサイトで、そのサイトを攻撃する目的のウィルスがつくられるほど有名なサイトでもないので、
たんにルータの誤検出だという風に考えて特になにもしていません。
自分の場合は投稿していただいているような詳細なウィルス検知は
行ってはいませんが、今でもウィルスに感染しているとは思っていません。
ひょっとしたら同じようにBuffaloのルータを使っている、とかではないでしょうか。
この回答への補足
>たんにルータの誤検出
ならいいのですが、自分のPCが、知らない間に「ボットネット」に組み込まれている
なんてことは、ないですか?
>自分がよく見に行くだけの普通のWEBサイト(有名なサイトでもない)
クラッカーは、Pingやポートスキャンを、ブロードキャスト(無差別な同報送信)して
侵入を試みますよ。
連中は、侵入できさえすれば、相手は何でもいいのです。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・人生のプチ美学を教えてください!!
- ・10秒目をつむったら…
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・【大喜利】【投稿~9/18】 おとぎ話『桃太郎』の知られざるエピソード
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
PINGが通るのにネットワー...
-
DHCPが二台ある場合の動作について
-
アプリケーションごとにゲート...
-
学校向けのLAN切り分け
-
ルーターのMACアドレスはある?...
-
よく、いつの間にかルータが落...
-
異なるネットワークの接続方法...
-
ルータについて 調べてみると、...
-
ISDNなどのWANでのフレームにつ...
-
8000番や8080番のポー...
-
パソコンの「ローカル」って、...
-
ftpサーバー 接続できない
-
Windows10でUDPのポート解放が...
-
EXCEL VBAで、PnPでCOMポート番...
-
Ciscoルータ(1712)のIPアドレ...
-
ポリシー等で特定のサイトだけ...
-
スイッチのポート番号について
-
PINGが飛ぶとか飛ばないとか
-
iptables dport、sportについて
-
ARP は L2 と L3 どちらのプロ...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
PINGが通るのにネットワー...
-
ルータについて 調べてみると、...
-
ルータにtelnetできません
-
ナンバード(接続)とは
-
古い周辺機器(ルータ)はどう...
-
他社のルータ同士でVPN
-
IPアドレスやデータ消去などに...
-
L3スイッチ同士の通信について
-
ルータを利用したネットワーク...
-
DHCPが二台ある場合の動作について
-
異なるネットワークの接続方法...
-
CISCOルータを介してYAHOOログ...
-
CISCOルータ⇔PCを接続するとき...
-
古いWindows 7 PCをNASにしても...
-
【WIFIルータ】802.11bで14チャ...
-
ルータのコンセントを抜く以外...
-
ルータはウイルスに掛かる?
-
業務用ルータとルータの違いを...
-
PC30台~50台のオフィス向けルータ
-
無線LANルータ内蔵パソコンのル...
おすすめ情報