• 締切済み

キーマンズネットからポートスキャン攻撃?

実名を出すことをお許しください。 SE御用達のキーマンズネット、私も登録して活用しています。 しかし、ここにログインするとルーターにTCP port scanのログが必ずでるんです。 攻撃元アドレスは133.194.234.20 これはnslookup検索すると、www.keymans.or.jpなのでキーマンズネットであることは間違いなさそうです。 ルーターはYAMAHAのRTX1000です。 これって、なぜなのでしょう?まさか本当にポートスキャンをかけられているのでしょうか?信頼できるサイトと思っているので攻撃しているとは思いたくないのですが。

みんなの回答

  • fukurou56
  • ベストアンサー率45% (59/131)
回答No.2

確かにリクルートが押さえているアドレスですが、 今、dig コマンドで確認したら、ヒットしませんでした。 未熟な管理者がサーバの設定をミスったか、クラックされた辺りでは 無いでしょうか?

  • a-saitoh
  • ベストアンサー率30% (524/1722)
回答No.1

ルータのポートスキャン検索ルールの設定の問題での誤検出の可能性もありますし. 具体的には,何番ポート(と,何番ポート・・・)にアクセスされているのでしょうか?

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • 攻撃者はなぜポートスキャンを行う?

    素人考えなのですが是非ご教授ください。 攻撃を仕掛ける前にポートスキャンを行い、攻撃しやすいポートから侵入を試みる。 しかし、素人考えから疑問が浮かびます。 なぜ開放されているPort80やPort21など、分かりやすいポートから侵入しようとしないのか? 解説されているサイトなどあるようでしたら、そちらも教えていただけると助かります。

  • ポートスキャンしているソフトを特定したい。ヤマハ製

    ■環境説明■ ルーター:192.168.1.1/24 (ヤマハFWX120) クライアント:192.168.1.2 (Win7pro_x64) 概要説明: ヤマハルーター(FWX120)のログを確認したところ、LAN内のクライアントPCからルーターのポート80番へポートスキャンが行われている事がわかりました。 ルーターのログは下記の通りです。 2015/01/28 21:57:28: Passed at Policy Filter(1124): TCP 192.168.1.2:49650 > 192.168.1.1:80 2015/01/28 21:57:28: Passed at Policy Filter(1124): TCP 192.168.1.2:49651 > 192.168.1.1:80 2015/01/28 21:57:28: Passed at Policy Filter(1124): TCP 192.168.1.2:49652 > 192.168.1.1:80 2015/01/28 21:57:28: Passed at Policy Filter(1124): TCP 192.168.1.2:49653 > 192.168.1.1:80 2015/01/28 21:57:28: Passed at Policy Filter(1124): TCP 192.168.1.2:49654 > 192.168.1.1:80 2015/01/28 21:57:28: Passed at Policy Filter(1124): TCP 192.168.1.2:49655 > 192.168.1.1:80 クライアントPCのどのソフト(プロセス)がスキャンを行っているのか特定したいのですが、特定方法が分かりません。そのような手段や手法は有りますでしょうか?宜しくお願い致します。 ルーターとクライアント1台だけを接続してWireSharkで調べた結果、パケットはクライアントPCのIPより発信されている事を確認しました。

  • 不正アクセス検知の情報

    現在職場でヤマハ(RTX1100)のルータを使用しております。 IE等のブラウザで 『現在のルーターの情報』の『不正アクセス検知の情報』 を見ると、 私が使用しているPC(WindowsXP SP2)の、ローカルIPアドレスが、 攻撃元アドレス、攻撃先アドレスになったと思われるログ がいくつも表示されています。 攻撃元アドレスになった場合の攻撃の名称は、 『TCP port scan』 攻撃先アドレスになった場合の攻撃の名称は、 『TCP SYN flooding』 とログには記載されています。 以下の様なログが表示されています。 ※私が使用しているPCのローカルIPアドレスは192.168.10.99です。 ------------------------------------------------------------ ・不正アクセス検知の情報 日時 攻撃の名称 攻撃元アドレス 攻撃先アドレス 2007/09/03 07:11:17 TCP port scan 202.xxx.xxx.xxx 192.168.10.99 2007/09/03 07:12:22 TCP port scan 211.xxx.xxx.xxx 192.168.10.99 2007/09/03 07:13:41 TCP port scan 203.xxx.xxx.xxx 192.168.10.99 2007/09/03 07:20:25 TCP port scan 203.xxx.xxx.xxx 192.168.10.99 2007/09/03 07:11:17 TCP SYN flooding 192.168.10.99 211.xxx.xxx.xxx 2007/09/03 07:13:41 TCP SYN flooding 192.168.10.99 203.xxx.xxx.xxx 2007/09/03 07:14:14 TCP SYN flooding 192.168.10.99 124.xxx.xxx.xxx 2007/09/03 07:18:46 TCP SYN flooding 192.168.10.99 124.xxx.xxx.xxx 2007/09/03 08:03:33 TCP SYN flooding 192.168.10.99 211.xxx.xxx.xxx ------------------------------------------------------------ 職場には、PCが約20台ありますが、 他のIPアドレスのログは全く出力されていません。 念のために、 シマンテックとトレンドマイクロのオンラインウィルスチェックを 実施してみましたが、 ウィルス等は検出されませんでした。 ここで質問です。 1.どのような場合に、このようなログが出力されるのでしょうか? 2.私のPCが何か悪さをしているのでしょうか? 3.このようなログが出力されないようにするには、どうすれば良いのでしょうか? 以上、宜しくお願いします。

  • Blast.exeの攻撃ポートについて

     Coregaのルーターのアクセス制限、CATVからのDHCPによるIP取得とWAN側から見えないLAN側IP、MSのパッチでBlast.exeをブロックしているのですが、MSサイトで説明されているTCP135、TCP137、TCP4444、UDP69、TCP443~445以外に、昨日からTCP17300、TCP33093、TCP593ポート攻撃に遭っているようです(ログに記載されます)。  今回のワームは、このようなポートも攻撃対象としているのでしょうか?  Blast(オリジナル)以外に、BlastB、BlastCという亜種も発見されているようですが。

  • YAMAHA RTX1000 ルータ 感染?

    YAMAHA RTX1000 ルータですが暫く放置していたら、内部のサーバが外部サイトをアタックをしていたので該当する内部サーバを停止し、ルータのコンフィグも再設定したのですが、常用するノートPCにYAMAHA RTX1000から、下記のアタックらしい情報が記録されます。 ノートPCは、YAMAHA RTX1000のDHCPからアドレスを取得していたのでが、手動で「192.168.1.254 192.168.1.88」、「192.168.1.254 192.168.1.8」&「192.168.1.254 192.168.1.178」と変更しても実質5分もしないうちに「 UDP port scan」が来ます ^ ^; これはYAMAHA RTX1000のファームが更新されて、ウィルスなどがROMに常駐している状態なのでしょうか? また、解決策はクリーンなファームを上書きすることでしょうか? それとも内部サーバに未発見のウィルスが隠れてYAMAHA RTX1000の再起動時に速やかに常駐しノートPCをアタックしているのでしょうか? トップページ「不正アクセス検知の情報 」 日時 攻撃の名称 攻撃元アドレス 攻撃先アドレス 2011/03/19 11:09:09 UDP port scan 192.168.1.254 192.168.1.88 2011/03/19 11:35:50 UDP port scan 192.168.1.254 192.168.1.8 2011/03/19 11:52:42 UDP port scan 192.168.1.254 192.168.1.178 2011/03/22 22:29:55 UDP port scan 192.168.1.254 192.168.1.178

  • ポートスキャン攻撃の原因として考えられませんか?

    ルーターの警告としてポートスキャン攻撃について教えてください ネットワーク管理者なのですがルーターの警告ログをチェックすると 以前は存在しないプライベートアドレスに対してだったり 攻撃元も不定で1ヶ月に1度程度の頻度であったため気にしなかったのですが 最近になって攻撃元、攻撃先が固定され、1日に数回警告が表示されます。 その中でも気になるのは ・警告がでるのは出勤日のみでさらに休憩時間に多く発生する。 ・攻撃先のPCは自宅から持ってきていたり、管理者としてあまり管理されて  いないパソコンでファイル交換ソフトなどが入っている可能性がある。  (本当は繋ぎたくないのですが、そこまで権限力なくて・・・) なところです そこで質問なのですが アプリケーション、特にファイル交換ソフトを使うことによりルーターに 攻撃として警告がでるようなことはあり得るのでしょうか? またスパイウエアや何らかのウイルスが入っているパソコンでもそういう 警告が出るような現象は考えられるのでしょうか? その辺と結びつけることが出来ればそのパソコンを使っている人に対して 警告を出すように改善できるのですが知識が不足しています。

  • ポートスキャンが行われた・・・・

    どうも。 質問内容はポートスキャンされたことについてなんですが・・・。 この間、海外のリモートホストから突然ポートスキャンを受けました。 その国は中国とポーランドでした。 スキャンされたポートは3128, 8080, 8888, と8000です。プロトコルはTCPです。 ちなみに中国からのホストは61.138.129.39で、ポルトガルのほうが78.88.139.70でした。 一応セキュリティソフトには アンチウイルスが、Avira AntiVir Personal Edition Classic ファイアウォールにSygate Personal Firewallを使用しています。 ルータのほうは導入しておりません。 これは海外からの攻撃・・・・というか自分のパソコンは危険だと捕らえてよいのでしょうか。 Sygateのセキュリティログには深刻度はマイナーで、発生回数も1回といことなのですが・・・。 詳しい情報、お願いします。そして何か対策などがありましたら、そちらのほうも教えていただきたいです。 よろしくお願いします。

  • 攻撃を受けているのでしょうか?教えて!!

    私は、coregaの無線ブロードバンドルーターを 使っているのですが、7月28日から下記のlogが ブロードバンドルーターから頻繁に送られてくる ようになりました。1度はsecurity alertが送られて きました。内容は以下の通りです。 security alert [3c:85:c6] 2005-07-28 23:17:18 - TCP Flood - Source:206.204.51.133,11543,WAN - Destination:***.***.**.**,1284,LAN さまざまなsource address から1分間に 3回程度、私のIP addressの1284番port に対してSYN アタックをしてきている のではと思っているのですが違いますでしょうか。 ブロードバンドルーターから送られてくる メッセージは、ブロードバンドルーターの 1080番portでblockedしましたよ。 ということだと思っているのですが。 ルーターでブロックされているのでPCまでは 来ていないので大きな影響は無いと判断しております。 しかし、急にアタックが始まった理由、このような 場合にはどうしたらいいのか。放っておいても問題は 無いのかなど、対処策、アドバイスをいただければ と思い質問いたしました。 私は心配しており、防ぐ方法があれば防ぎたいと 考えているのですが、どうしていいのかわかりません でした。 以上です。 よろしくお願いいたします。 ------送られてくるlog一部抜粋-------------- [2005-07-30 17:41:13] | From:[58.0.236.146] | Port:[1080] | [Blocked] [2005-07-30 17:41:17] | From:[218.226.93.235] | Port:[1080] | [Blocked] [2005-07-30 17:42:13] | From:[218.182.240.254] | Port:[1080] | [Blocked] [2005-07-30 17:42:22] | From:[218.187.101.83] | Port:[1080] | [Blocked]

  • サイバー攻撃されているかどうか調べる方法

    YAMAHAのRTX1200のルータを利用してフレッツ光でインターネットを利用しています。 固定IPアドレスです。 最近ニュースなどで企業への攻撃などがあるなど報道されていますが、 サイバー攻撃されているかどうか調べる方法はどのようにすればいいのでしょうか? 今所有している機器で調べるできますか? よろしくお願いします

  • port scanが多いです。

    どういうわけかここのとこ20分弱の間隔でカナダ(IP調べました。)からの不正アクセスが多いです。 今まではあってもたま~に程度でした。(しかも国は違います。) これって明らかに手動ではなく自動で(機械か何かで)アクセスしてるように思えます。 ルーターを通してますけどルーターが壊れたりしないか心配です。 ルーターはNTTのGatelockを使用してますし一応セーフティーに入ってます。 今日だけではなく27日の夜くらいから本日まで夜中も含めログを見るとすごいんです。 全部port scanですが、ログのページもぎっしりで埋め尽くされてます。 このまま放置しておいて大丈夫でしょうか? 一応ノートンのインターネットセキュリティーを入れてますが。 こんなにアクセスされたのは今まで無かったので驚いてます。 ルーターも含め、たいしたことなければ良いですがなにしろ初めてのパターンなのでどなたか知ってる方とか同じように受けてるとか経験のある方教えて下さい。 何か対策が他に必要でしょうか?併せて教えて下さい。 こうしてる間もハッカーランプが赤になり続けてます。(T_T)

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する