ファイアウォールのログについて
- ファイアウォールのログに不審な情報が残っている
- 送信元IPと送信元ポートが1秒ごとに変わり、送信先ポート135と445にエンドレスなログが残っている
- ファイアウォールやルーターで防げなかったログについての疑問
- ベストアンサー
ファイアウォールのログについて
いつも自分のパソコンと思われるログしか無いのに ある日、ウィルスバスターのファイアウォールログにこんなものが残っていました。 プロトコル TCP 送信元IP 60.34.104.30 220.109.73.19 など 送信元ポート 4650 3405 2633 など 送信先IP 60.34.98.10 送信先ポート 135 445 15118 送信元IPと送信元ポートは1秒ごとに変わっていて、 送信先ポート135と445(135が8割)にPCの電源を切るまでの一時間、えんえんとログがありました。 *135ってまずくないですか? *ログの説明には「ブロック」となっていますが、もしも ブロックできなかった場合、どのようなログが残るのでしょうか? *[PC]ー[FW]ー[ルータ]ーインターネット としているのですが、ルータでは防げなかった、という事なのでしょうか・・・? よろしくお願いいたします。
- その他(インターネット接続・通信)
- 回答数3
- ありがとう数5
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
ワークグループ名の変更は、OSにより違いますが、 ・2K/XPならマイコンピュータを右クリックでプロパティを選択、ネットワークIDタブから変更 ・98ならネットワークコンピュータ(Meならマイネットワーク)を右クリック、プロパティを開くとどれかのタブにあったと思います。手元に2Kしかないのでうろ覚えです。 デフォルトがworkgroupであったり、MS-HOMEであったりよく知られているものだと外部からアクセスしやすいので、変更すれば状況が変わることがあります。 あとは使用環境によって違いますので説明しづらいですね。もう少し状況が明確になったら、再度質問してみてはどうでしょう。
その他の回答 (2)
- A-Kawa
- ベストアンサー率32% (69/215)
ルータの設定「高」の内容も気になりますが、それよりパスワードを破られることの方が心配ですね。 どこのメーカは分かりませんが、ファームウェアをアップデートして、パスワードを付け直すくらいしかないでしょうか。 私もVBとルータは使っていますのでログを見てみましたが、135-139,445などの危険といわれるものは残ってませんでした。WindowsUpdate以外でIEを使っていない影響もあるのかもしれません。 VB2005でセキュリティ診断、スパイウェア検索をかけた結果はどうですか。 あと、グループ名(ワークグループ名)をかえるだけでアクセスがなくなった経験はあります。MS-HOMEなんかだと変更する方がいいですね。
補足
お返事ありがとうございます。 本当にありがたいです・・・ VBのセキュリティ診断、スパイウェアは問題ないです。 windows updateも行っていますし、 一応 ad-awareなどのソフトも入れてあります。 ポート137~139対策として、VBのファイアウォールで NETBIOSのチェックをはずしていたんですが、 意味はなかったのですね(T_T) >グループ名(ワークグループ名)をかえるだけで~ ワークグループ名というのはどうやって変えるのでしょうか? 時間があったらで構いませんので、どうか参考にさせて下さい。 ログに135や445が、ずらーっと並ぶのは以前にも何回か あったのです。 だからルータを購入したんですが・・・ 意味はなかったのですね(T_T) おっしゃる通り、ルータも見直したいと思います。 たびたび答えて下さって、ありがとうございます。 今回の答えも本当に勉強になりました。 助かりました。 こんな状況なので、度々質問をしてしまってごめんなさい。
- A-Kawa
- ベストアンサー率32% (69/215)
*ブロックできなかった場合ログは残らないそうです。それはそうですよね、スルーしちゃったかどうかなんて分からないわけですから。 *ルータにはどのような設定をしているのですか。 135がもれてるなんて何か設定を無効にしているとしか思えないのですが。最近のルータなら一般的な設定でカバーできるはずです。
補足
ありがとうございます。 ルータは高の設定で特別なことはしてません。 気になったのはですね、ルータにログイン出来なかったんです。 パスワードが違っていて・・・ ルータを破られたんでしょうかね (;_;) ルータのメーカー、機種を話したとたん今回のようなありさまでした。 ルータって破れるものなんでしょうか。 狙われたポートは他に137、139なども、です(TT) ルータは初期化しましたけれども、 IEもインストールしなおした方がいいのでしょうか? もう、セキュリティをかけても、かけても・・・ ハエのようにしつこいです。 私の知識なんて一般レベルだから、こうなったら その道のプロ位、勉強しようかなぁ、と思うこの頃です。 愚痴を言ってすみません、回答、本当に参考になりました。 もし時間がありましたら、ルータ・IEについて教えて頂ければと思います。 どうぞよろしくお願いいたします。
関連するQ&A
- ファイアウォールについて
ウィルスバスター2006を使っています。 ファイアウォールログに変なIPが残っています。 この、IPで頻繁にきます。 一時的に、ネットにつながりにくくなります・・・。 プロトコル、TCP 送信元IP、自分 送信先IP,210.165.9.64 送信先ポート、80 説明、Syn flood アプリケーションパス、名は不明です。 Syn floodっていうのが気がかりで心配です。 何か悪いものなんでしょうか?お願いします。
- 締切済み
- ウィルス・マルウェア
- 規則性があるファイアーウォールのログについて(長文です。すいません…)
こんにちは。「ウィルスバスター2001」を導入して2週間程ですが、侵入活動ログに規則性を発見して、それが何を意味するのか、早急に対処すべき危険なことなのか分からず悩んでいます。 環境は、マンション全戸に引かれている専用線接続、固定IPアドレス、Win98、IE6、OE6。使用状況は常時ONに近い状態です。 ログですが、 (1)日時/ランダム。 (2)侵入活動/全て「入力」。 (3)プロトコル/ほとんどTCP、1日に何回かICMP。 (4)送信元IP/(3)がTCPの場合はランダム。ICMPの場合は全て同じ。 (5)送信先IP/全て、ICMPの場合の(4)のIP元と、同じ会社のIP。IPサーチで、海外の企業と判明。 (6)送信元ポート/初日のみ120有り。あとは全て80。(但し、(3)がICMPの場合は「なし」) (7)送信先ポート/1120、または1243。(但し、(3)がICMPの場合は「なし」) (8)TCPコントロールビット/0×10、0×12、0×14のいずれか。 ICMPの場合の送信元IPと、全ての送信先IPが、海外のある会社のものであるという規則性が気になっています。毎日数10回~100回以上のアタックがあるということは、ファイアーウォールを入れる以前もそうだったのでしょう。 今は、念のため別のプロバイダでダイヤルアップ接続している状態で、とても不便な思いをしています。 この場合もアタックはされますが規則性はなく、送信先IPは自分の接続IPになっています(送信元/送信先ポートについては専用線へのアタックと同じ状況)。 過去ログやyahooのサーチで色々調べてみましたが、どうしても分かりませんでした。 どなたか、お分かりになる方に、このログの意味、危険性、なすべき処置を教えて頂けたら、とても助かります。 長文になってしまい申し訳ありません。最後まで読んで下さってありがとうございました。
- 締切済み
- ネットワーク
- ウィルスバスター2008のファイヤーウォールのログについて
ウィルスバスター2008を使用しています。 先日ファイヤーウォールのログを見てみたら、大量のログが残っていました。そのほとんどが プロトコル:ICMPv6 送信元IP:fe80::~と続くIP 送信元ポート:N/A 送信先IP:ff02::~と続くIP 送信先ポート:N/A 説明:Version 2 Multicast Listener Report と記録されており、それがPCを立ち上げたときから2~3秒くらいの間隔で記録され続けています。 他にもこれは数分おきに プロトコル:ICMPv6 送信元IP:fe80::~と続くが、上のものとは違うIP 送信元ポート:N/A 送信先IP:ff02::~と続くが、上のものとは違うIP 送信先ポート:N/A 説明:Router Advertisement というように記録続けています。 また、外部からの攻撃かどうかはわからないのですが、 プロトコル:ICMP 送信元IP:XXX.~ XXXのところは同じで、以下の数値は同じや異なっている 送信元ポート:N/A 送信先IP:自分のPCのローカルIP 送信先ポート:N/A 説明:Redirect このようなログが1秒置き、または1秒間に30個くらい記録されてました。それもIPが若干違うけど、最初のXXXのところの数字はほぼ似ていて、毎日きます。 モデムはNTTのPR200NEを使用していて、無線LANのアクセスポイントにバッファローのルータ:WHR-G54Sを使用していて、ルーターをブリッジモードにして使用しています。 シマンティックのセキュリティチェックでも、ほぼステルスで大丈夫でした。 そして質問なのですが、 1)それぞれのログの説明の意味を教えてください 2)上に記入した2つのログは何故記録されているのでしょうか(毎日すごい量なので、そして今まで気付いていなかったので不気味です 3)上に記入した3つ目のログは攻撃と考えてよいのでしょうか?(送信先が自分のローカルIPだったのですごく不安です 4)これらのログをなるべく記録させないようにすることはできるのでしょうか? 長々と記入してしまってすみませんでした。ご回答よろしくお願いします。
- 締切済み
- ウィルス・マルウェア
- ファイアウォールログについて
東芝のWindowsXPノートを使用しています。 ネット回線はCATV、バッファローのルータ、ウイルスバスター2006を使用しています。Windowsファイアウォールは無効にしています。 ウイルスバスターのファイアウォールログを見ると、パソコンを起動してから2分間に17~25個ぐらい必ずログが書き込まれています。 プロトコル: PTC 送信元IPアドレス: ルータのIPアドレス 送信元ポート: バラバラ 送信先IPアドレス: パソコンのIPアドレス 送信先ポート: 2種類 アプリケーションパス: C:\WINDOWS\SYSTEM32\SVCHOST.EXE アプリケーション名: Generic Host Process for Win32 Services 説明: セキュリティレベル設定によるブロック また、今まではパソコン起動のたびに上のログが書き込まれ、それ以外のログは書き込まれなかったのですが、今日はじめて上以外のログが書き込まれました。しかも同じログが朝・夕の2回です。 プロトコル: ICMP 送信元IPアドレス: 210.224.***.** 送信元ポート: N/A 送信先IPアドレス: パソコンのIPアドレス 送信先ポート: N/A アプリケーションパス: --- アプリケーション名: --- 説明: Destination Unreachable それぞれ、何なのでしょうか?
- ベストアンサー
- ウィルス・マルウェア
- ファイアーウォールのログについて
こんにちは、お世話になっています。 プロトコルの方向: 送信 プロトコル: TCP ステータス: ブロック リモートアドレス: 192.168.1.1 リモートポート: 53 ローカルアドレス: 192.168.1.2 ローカルポート: 50859 ゾーン: すべてのネットワーク ユーザー種別: 未定義 ルール: domain このログの結果で例として質問したいのですが、 これは外側の通信なのでしょうか?それとも内側なんでしょうか? 前から解らなかったのですが、外向き内向きの概念が解りません。 ご教示宜しくお願いします。
- ベストアンサー
- ネットワーク
- ウィルスバスター2004のファイヤーウォールログについて
ウィルスバスター2004を使っておりPCからハブを介し、 光ファイバーで常時ネットに繋いでおりました。 昨日BUFFALO(旧メルコ製)のBBR-4HGというルータを購入したので ハブからそのルーターに付け替えました。 それからなのですが、ウィルスバスター2004のパーソナル ファイヤーウォールのログに"種類:ファイアウォール"、 "受信/送信:受信"、"プロトコル:IGMP"、 "送信元IPアドレス:(これは伏せておきます)"、 "送信元ポート:N/A"、"送信先IPアドレス:224.0.0.1"、 "送信先ポート:N/A"、"説明":セキュリティレベル設定に よるブロック"というログが数秒おきに記録されるようになりました。 このログはルーターの設置によるものだと言うことまで何となくわかってきました。 安全なものとは思うのですが、ウィルスバスターのログに沢山残るのがうっとうしいので ログに残らないようにしたいのです。 回避の方法を識者の皆様どうかご教示くださいませ。
- ベストアンサー
- ネットワーク
- FWログに変なアクセスが・・
普段ネットをしていて急に許可していいですか? という画面が出てきたので拒否しました それのせいだと思うんですが FWログに変なものが残ります ネットにつないだ直後に残るらしい? プロコトル:TCP 送信元:じぶんのPCネーム?のようなもの 送信元ポート:1044~1079まで連続で続いています 送信先IP:IPサーチで調べましたが存在しませんでした 送信先ポート:ほとんど80番。送信元ポートが1076~1078、が443番に1079番が80番に送信してるみたいです アプリケーションパス:C:\WINDOWS\System32\svchost.exe アプリケーション名:Generic Host Process for Win32 Service 使ってるソフトはウイルスバスターです このアクセスは何なんでしょうか? 今までネットしててもこんな症状なかったので 気になってます どなたか詳しい方いましたら教えてください<(_ _)> お願いします
- ベストアンサー
- ネットワーク
- ウイルスバスターのログについて
こんにちは。早速ですがウイルスバスター2001をMeで利用してます。パーソナルファイアーウォールのログを見ていたら、侵入で「入力」が沢山表示されていました。プロトコル「TCP」 送信元・送信先IPアドレスなども記載されています。このIPも固定でなく数字が異なっています。ウイルスバスターのHPでは侵入が出力なら安全であると記載されています。私のPCは不正アクセスを受けているということなのでしょうか?とても不安です。ご助言お待ちしています。
- ベストアンサー
- ネットワーク
- トロイの木馬ブロック・送信? ウイルスバスター2003です。
今、ウイルスバスター2003のファイヤーウォールの履歴を見ると 以下のような記述がありました。 トロイの木馬ブロック 9:30:34 受信/送信・・・・・・・送信 プロトコル・・・・・TCP 送信元IPアドレス・・・自分PC 送信元ポート・・・・2781と2746 送信先ポート・・・・7777 などなど・・・。 これはどういった意味なのでしょうか? 私のPCから誰かにウイルスを送信しようとしていたのですか? だったら、このPCがウイルスに感染?? すみませんが、教えてください。
- ベストアンサー
- ウィルス・マルウェア
- ウイルスバスター2007:ファイアウォールログの「例外設定」とは
WindowsXPホームエディション、ウィルスバスター2007を使用しています。回線はADSL、ルータは使用していません。 先日VB2007のファイアウォール(家庭内ネットワーク1)のセキュリティレベルを中から「高」にして、ファイアウォールログを見てみたところ、このようなログが大量に増えていました。 種類:例外設定 プロトコル:TCP 送信元IP:自分のコンピュータ名 送信元ポート:1027~1117 送信先IP:61.208.××.××(都道府県なし、ネットワーク名AKAMAI)や 207.46.××.××(国名はアメリカ、ホスト名dia.static.qwest.net) ※どのIPも心当たりはありません 送信先ポート:全て80 アプリケーションパス:C:\WINDOWS\SYSTEM32\SVCHOST.EXE アプリケーション名・説明:Generic Host Process for Win32 Services このログは一体何なのでしょうか…?(自分のパソコンが他のパソコンにアクセスしている???)同時刻に何十個もあったのでびっくりしました。 もう一つあるのですが、同じく種類は「例外設定」で プロトコル:UDP 送信元IP:192.168.1.2 送信先IP:192.168.1.255 送信元、送信先ポート:どちらも137 アプリケーションパス:SYSTEM 説明:システムプログラム というものも見つけたのですが、これはポート137が攻撃を受けたということでしょうか…?一応シマンテック等でポートの開閉を調べましたが、全てCLOSEDかステルスでした。ウィルス・スパイウェアもありません。 種類が「ファイアウォール」となっていればブロックされているのはわかるのですが、どれも「例外設定」になっていたのでブロックされていないのでは?と心配です。安全なものならよいのですが…。 このようなことには素人で戸惑っています;;よろしくお願いいたします。
- ベストアンサー
- ウィルス・マルウェア
お礼
本当にありがとうございました。 ワ-クグループ名をさっそく見てみます。 度々、申し訳ありませんでした。 こんな状況で、しかも説明が悪く申し訳ありません。 本当にありがとうございます。 頭が悪くて、どうお礼をいうべきか・・・ ありがとうございます! ネットで悪戯をする人もいれば、okwebでA-Kawaさんの ような方もいるんですよね。 私は後者になりたいです。(プロレベルは別として・・・です) A-Kawaさんのおかげで気持ちも落ち着きました。 そして何度もすみませんでした。 ありがとうございました!!