Bot 　検出と対策

解決済

質問者：momochangeni
質問日時：2009/02/26 10:37
回答数：3件

社内の多くのＰＣが毎日ではないのですが、一定の時間になるとある一定のＩＰアドレスレンジをあて先にTCP http　の接続をしてこれがネットワークの渋滞の原因になっていることが分かりました。
全てのＰＣにはシマンテックのクライアントがインストールされていて、毎日アップデートとスキャンを自動で行なっておりますが、これまで一切ウイルスや怪しいものは検知されていません。
これらのＰＣが勝手にTCP http　接続している時にユーザーが通常の業務に使用しているものもあれば、誰も使用してなくて私がＲＤＰ接続してnetstat　コマンドで調べるという作業だけのものもあれば、人的に全く使用されていないものもありますが、TCP http　がバックグラウンドで行なわれてパケットがどんどんＬＡＮ内に流れ込んでいるという状態のようです。
ユーザーは自分のＰＣ上では特になにも異変は感じずに、ただ急激にインターネット接続が遅くなるというのがＬＡＮ全体における目に見える症状で、日によって起きなかったり、長くても２０－３０分で収まります。

Wireshark　をインストールしてこのあて先ＩＰのレンジのみに絞ってTCPパケットのキャプチャーをしてみたのですが、three way handshakes　とhttpのソースとデスティネーションポートが繰り返し示されるくらいで、特に何が原因なのかを特定することができませんでした。
また、スキャンも再度して見ましたがなにも検出されませんでした。

ちなみにあて先ＩＰアドレスはＤＮＳレコードなどを調べてもウエブサイトなどではなく、何のためのアクセスかはさっぱり分かりません。

最終的には、これらのシステムの再インストールをしなければならないとも考えていますが、その前にもう少しいったい何が起きているのか、今後の対策のためにも調べたいのですが何かアドバイスを頂ければと思い投稿しました。
宜しくお願いします。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (3件)

ベストアンサー優先
最新から表示
回答順に表示

No.2ベストアンサー

回答者： safle
回答日時：2009/02/26 17:29

セキュリティソフトひとつで全てを防ぐことはまず不可能なので

特にトロイの木馬とか
セカンドオピニオンは、必要だと思います。
↓非常駐タイプの対マルウェアソフト
http://www.emsisoft.jp/jp/software/free/
再インストール前にこちらを一度走らせてみてはどうでしょうか？

この回答への補足

そうですか。そもそも一つのセキュリティソフトだけで対応しようというのが甘い考えだったのですね。
セキュリティソフト一つで安心しきっていた私が未熟でした。
早速ご紹介頂いたこちらのソフトを実行してみます。

ちなみにＩＰＳのことも指摘するかたもいらっしゃるようですが、もしこちらでもお勧めなどありましたら教えていただけますでしょうか。

補足日時：2009/02/27 23:17

通報する

- 0
- 件

通報する

この回答へのお礼

safle様
残念ながらご紹介いただいたソフトでも怪しいものは検出されませんでした。
相変わらず複数のコンピュータからhttp接続をしようと動き出しますが、発見した全てのあて先をファイアウォールでシャットダウンしてありますので渋滞は発生しなくなりました。
再インストールを実行しようと思います。
いろいろとアドバイスありがとうございました。

通報する

お礼日時：2009/03/05 23:11

No.3