- 締切済み
FWが色々検出してからの疑問数点
私の環境が OS:Xp-Home、98se ウイルス対策ソフトはXPのみ 98は滅多に使わない上、ネットに繋げることとも稀 ですのでこちらには入れていません。 その代わり、ウイルスバスターで週に1回~全ファイル検索とSPYBotとad-awareで検索をしてますし。 この前ルーター(コレガのBAR Pro2)を購入し PC-FW(ウイルスバスター)-ルーター-ネット といった形で接続。 IEで感染しないように、普段クッキーとActivX、javaの類は切れるタブブラウザを使って自衛しています。 ルーター購入前はよくウイルスバスターの不正アクセスのベルが出ていたのが購入後格段に減ったため安心していました。 そして、久しぶりにログを観るとここ1ヶ月に何種類かのトロイの木馬のFWログが残っていました (クローキングなどはしょっちゅう) 不安になり最新定義で検索しても検出出来ませんでしたし ここの過去の質問を見ても、「ソフトが大げさに検出してるだけ」とのお答えも見受けられましたので それほど気にしなくていいのかと思いました。 又、ログには送信元IPアドレスは様々ですが 送信先IPアドレスが常に一定だったのでパニックになりましたが、落ち着いて考えれば観たことあるIPで 調べるとこの送信先IPはPCからルーターを呼び出す時のアドレスでした この場合、ルーターがあるから安心していいのでしょうか? (まぁFWで検出してるから、そこで止めてるから大丈夫という事は無視して、FWが無かったらと言う場合でです) 言い直すと @FWにトロイの警告が出ている、検索したが出てこない。セキュリティは割りとしっかり管理しているつもり 大丈夫? @送信先IPがルーターになっているというのは、例えアクセスを受けて送信してしまってもルーター止まりになって安心?出来るのか ルータって内→外のセキュリティは? ちなみに幾つかのポートはnetゲーム用に空けています
- twelve
- お礼率51% (180/349)
- ウィルス・マルウェア
- 回答数1
- ありがとう数3
- みんなの回答 (1)
- 専門家の回答
みんなの回答
こんにちは。 ログの警告とは、内から外、外から内の通信どちらのことでしょうか? >>調べるとこの送信先IPはPCからルーターを呼び出す時のアドレスでした この場合、ルーターがあるから安心していいのでしょうか? ↓ ルーターを呼び出すときのIPとは、ルーター(ゲートウェイ)のプライベートIPのことですか?(通信の方向(LAN←→WAN)とIPアドレス、プロトコル、ポート(サービス)などがイマイチピンと来ません。) トロイ感染(被害・実害)の有無は、パーソナル・ファイアーウォールが検出したトロイの詳細情報(検出された名前のトロイがバックドアとして使用するポートやサービス、通信の特徴など)を見て判断してください。(もちろんウィルススキャンも行うべきです。) 説明されているような通信(内から外への)が検出されなければOKということになります。(外からの「不正侵入の試行の検出」に関しては、パケットの内容をチェックしてみないと、そのまま100%信用できません。) >>@FWにトロイの警告が出ている、検索したが出てこない。セキュリティは割りとしっかり管理しているつもり 大丈夫? ↓ もちろん、神経質になりすぎる必要はありませんが、「~すれば大丈夫。」ということはありえません。(セキュリティーに100%はないということです。) 今後も定期的なログ・チェックを欠かさないほうが良いでしょう。 >>@送信先IPがルーターになっているというのは、例えアクセスを受けて送信してしまってもルーター止まりになって安心?出来るのか ルータって内→外のセキュリティは? ↓ 内から外のセキュリティーに関しては、パケットフィルタリングなどの明示的な制限をしない限り基本的には何も制限されません。(自分のPCから障害なくインターネット接続できるということは、そういうことです。) 詳しくはルーターの説明書やネット上の情報で勉強してみてください。(参考URLからも情報にアクセスできます。) 基本的にルーター設置の目的はWANとLANのセグメントを分けるためであり、ルーター自体にセキュリティー効果を期待するということではありません。(特徴を活かし、効果的な設定を行えば、結果としてセキュリティー対策になるということです。) しつこいようですが、「~の仕組みを入れれば対策終了。」ということはありえません。(もちろんリスクは激減しますが、普段の監視も大切です。) >>ちなみに幾つかのポートはnetゲーム用に空けています。 ↓ 常時開けっ放しという意味ですか? Yesであれば、そのままセキュリティー・リスクとなります。(このポートからはLAN内にパケットが送り込めるということです。) リスクを無くしたいなら使用しないときはポートを閉じるしかないでしょう。 開放したままにしたい場合は、パーソナル・ファイアーウォールなどで当該ポートに異常な通信が発生していないかチェックするようにしたほうが良いでしょう。 >>98は滅多に使わない上、ネットに繋げることとも稀 ですのでこちらには入れていません。 ↓ セキュリティーの強度は、そのネットワークでもっとも弱い部分の強度であるといっても過言ではありません。 めったにネットに繋がないとしても、接続自体が可能な限り、リスクが少なくなるということはありません。 特にネットゲーム用のポートが常時開いているなら、使わないときは電源を切っておくといった基本はもちろん、パーソナル・ファイアーウォールなどで異常な通信が起きていないか監視するほうが良いでしょう。(Zone Alarmなど、フリーのものでもかまわないでしょう。) 総じてtwelveさんのセキュリティー意識は高いほうだと思いますが、「システム任せで安心しない。」といった基本的な心構えも大切です。 安心感を高めたいのであれば、個々の対策法を追いかけるのではなく、「どこから・どこへ・どういった方法で攻撃が行われる可能性があるのか。」という具体的な知識を勉強されることをおすすめします。(ネットワーク通信と仕組みの基礎知識を知るということですね。) 以上、参考になれば幸いです。 それでは。
関連するQ&A
- トロイの木馬?
こんばんは。mitoizumiです。 知り合から、会社のPCが「トロイの木馬」に感染しているかも・・・と相談を受けました。 環境は、 ルータ→HUB→Win98×6台,Win2000pro×2台 ↓ HUB→Win98×3台,Win2000pro1台 全てに『ウィルスバスター2002』インストール です。 VBのファイヤーウォールログを見ると、Win2000の3台だけ『トロイの木馬』に感染したような形跡があるそうです。 ログは 送信先プロトコル:TCP 送信元IPアドレス:問題のPCのローカルIPアドレス 送信元ポート:139 送信先IPアドレス:LAN内の別のPCのIPアドレス 送信先ポート:1120もしくは1243 説明:1120=NetBus 1243=SubSeven です。現象は2000に限ったもので、Win98のログには何も記されていません。 3台の2000のうち1台はメーラーを使用していませんが、3ヶ月前に導入した直後から、ほかの2台は昨年の7月(!)からログがあります。 ウィルス検索ではなにも引っかからず、途方にくれている模様です。 VBは、トロイが使用するポートをほかのプログラムが使った場合もトロイとして検出するそうですが、その場合は一体どのようなプログラムが使用しているのでしょうか・・・。 2000のみというのも気になります。 回答や調査方法、アドバイスをよろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- ウィルスバスター2004のファイヤーウォールログについて
ウィルスバスター2004を使っておりPCからハブを介し、 光ファイバーで常時ネットに繋いでおりました。 昨日BUFFALO(旧メルコ製)のBBR-4HGというルータを購入したので ハブからそのルーターに付け替えました。 それからなのですが、ウィルスバスター2004のパーソナル ファイヤーウォールのログに"種類:ファイアウォール"、 "受信/送信:受信"、"プロトコル:IGMP"、 "送信元IPアドレス:(これは伏せておきます)"、 "送信元ポート:N/A"、"送信先IPアドレス:224.0.0.1"、 "送信先ポート:N/A"、"説明":セキュリティレベル設定に よるブロック"というログが数秒おきに記録されるようになりました。 このログはルーターの設置によるものだと言うことまで何となくわかってきました。 安全なものとは思うのですが、ウィルスバスターのログに沢山残るのがうっとうしいので ログに残らないようにしたいのです。 回避の方法を識者の皆様どうかご教示くださいませ。
- ベストアンサー
- ネットワーク
- ファイアウォールのログについて
いつも自分のパソコンと思われるログしか無いのに ある日、ウィルスバスターのファイアウォールログにこんなものが残っていました。 プロトコル TCP 送信元IP 60.34.104.30 220.109.73.19 など 送信元ポート 4650 3405 2633 など 送信先IP 60.34.98.10 送信先ポート 135 445 15118 送信元IPと送信元ポートは1秒ごとに変わっていて、 送信先ポート135と445(135が8割)にPCの電源を切るまでの一時間、えんえんとログがありました。 *135ってまずくないですか? *ログの説明には「ブロック」となっていますが、もしも ブロックできなかった場合、どのようなログが残るのでしょうか? *[PC]ー[FW]ー[ルータ]ーインターネット としているのですが、ルータでは防げなかった、という事なのでしょうか・・・? よろしくお願いいたします。
- ベストアンサー
- その他(インターネット接続・通信)
- FWログに変なアクセスが・・
普段ネットをしていて急に許可していいですか? という画面が出てきたので拒否しました それのせいだと思うんですが FWログに変なものが残ります ネットにつないだ直後に残るらしい? プロコトル:TCP 送信元:じぶんのPCネーム?のようなもの 送信元ポート:1044~1079まで連続で続いています 送信先IP:IPサーチで調べましたが存在しませんでした 送信先ポート:ほとんど80番。送信元ポートが1076~1078、が443番に1079番が80番に送信してるみたいです アプリケーションパス:C:\WINDOWS\System32\svchost.exe アプリケーション名:Generic Host Process for Win32 Service 使ってるソフトはウイルスバスターです このアクセスは何なんでしょうか? 今までネットしててもこんな症状なかったので 気になってます どなたか詳しい方いましたら教えてください<(_ _)> お願いします
- ベストアンサー
- ネットワーク
- トロイの木馬が検出されました。が誤検出?
トロイの木馬が検出されました。が誤検出? ウィルスバスター2010とAD-AwareであるZIPファイルをスキャンすると、トロイの木馬が検出され危険度がかなり高いようでファイルごと削除されます。(ZIPファイルを解凍されたものは何も検出されません。) ウィルスバスターでの脅威名は「BKDR_MSIL.AK」で検索しても、ヒットしません。 しかしそのファイルは今も、ネット上からダウンロードできますし、作者様もツイッターを更新されるなど活発に活動されています。 わたし自身もそのファイルを使用したいのですが、2つのセキュリティソフトから削除されるような脅威となると、かなり不安です。 この場合、どうすればいいでしょうか?
- ベストアンサー
- スパイウェア
- ファイアーウォールログについて。
こんばんは、お世話になります。 ウィルスバスター2006を使用しているのですが、ファイアーウォールログの見方がわからず質問させて頂きます。 プロトコル ICMP 送信元IP 000.000.01 N/A 送信先IP 000.000.02 N/A アプリケーションパス 無表記 説明 DestinatinUnr... (↑IP000は送信元、送信先ともに同じ数字です) というログがだいたい10分間隔で記録されています。これは一体なんなのでしょうか。 つい昨日、セキュリティ強化のためにルーターを購入し導入後にこのような状態となりました。これはパソコンとルーターの通信記録のようなものなのでしょうか・・?それともウィルスやスパイウェアが私のパソコンからどこかに出て行こうとしてルーターに弾かれているということなのでしょうか・・不安です。 ウィルスバスターでの検索、spybot、ノートンのオンラインスキャンでもなにも検出されませんでした。 ルーターの設定がうまく行っていないのでしょうか・・? またファイアーウォールログの内容などについて書かれているサイトはないでしょうか。 申し訳ありませんが、ご存知の方がおられればご指導頂けますでしょうか。
- ベストアンサー
- ウィルス・マルウェア
- ファイアウォールログについて
東芝のWindowsXPノートを使用しています。 ネット回線はCATV、バッファローのルータ、ウイルスバスター2006を使用しています。Windowsファイアウォールは無効にしています。 ウイルスバスターのファイアウォールログを見ると、パソコンを起動してから2分間に17~25個ぐらい必ずログが書き込まれています。 プロトコル: PTC 送信元IPアドレス: ルータのIPアドレス 送信元ポート: バラバラ 送信先IPアドレス: パソコンのIPアドレス 送信先ポート: 2種類 アプリケーションパス: C:\WINDOWS\SYSTEM32\SVCHOST.EXE アプリケーション名: Generic Host Process for Win32 Services 説明: セキュリティレベル設定によるブロック また、今まではパソコン起動のたびに上のログが書き込まれ、それ以外のログは書き込まれなかったのですが、今日はじめて上以外のログが書き込まれました。しかも同じログが朝・夕の2回です。 プロトコル: ICMP 送信元IPアドレス: 210.224.***.** 送信元ポート: N/A 送信先IPアドレス: パソコンのIPアドレス 送信先ポート: N/A アプリケーションパス: --- アプリケーション名: --- 説明: Destination Unreachable それぞれ、何なのでしょうか?
- ベストアンサー
- ウィルス・マルウェア
- BitDefenderからトロイの木馬が検出された
私はウイルス対策で常駐にウイルスバスター、スキャン用に日本語化したBitDefenderのFree版を使用しています。 本日パソコンを使用していると、いきなりウイルスバスターがトロイの木馬を検出しました。ただちに再起動するように言われ、再起動してみるとBitDefenderのアップデートが中止されたので不思議に思ってログを確認してみると、どうやらBitDefender Update Serviceからトロイの木馬が検出されたようなのです。その後手動でウイルス検索してみると、もうひとつ検出され、これもBitDefender関連のファイルから発見されたようです。下にウイルスバスターによるログを示します。 "ウイルスログ" "2008/09/25" "" "時刻" "検出" "種類" "ウイルス/脅威名" "ファイル名" "ウイルス検出時の処理" "駆除できない場合の処理" "18:25" "リアルタイム検索" "ファイル" "TROJ_PAKES.AUL" "C:\Program Files\Common Files\Softwin\BitDefender Update Service\zlib.dll" "隔離 成功" "" "20:17" "手動検索" "ファイル" "TROJ_PAKES.AUL" "C:\Program Files\Common Files\Softwin\Setup Information\{CEFC581D-BEAE-4F75-989E-BD931970D8AD}\bdfree.msi" "隔離 成功" "" これは誤検出なのでしょうか?それともウイルス対策のBitDefender自体がウイルスということなのでしょうか?BitDefenderをアンインストールすることを考えたほうがよろしいのでしょうか?詳しい人がいれば教えてください。よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- ルーターつけても不正アクセスのログあります
ルーターとウイルスバスターを併用しています。ルーターを使用すると、外部からはルーターより先のパソコンのIPアドレスが見えなくなると説明書に書いてあります。それでも、ウイルスバスターのファイアウォールのログにはプライベートアドレス宛のログが残ります。そもそも、ルーターをつけたらファイアウォールソフトの不正アクセスログは無くなるものではないのですか?ルーターとファイアウォールソフト一緒に使っている方がいれば教えて下さい。
- ベストアンサー
- ネットワーク
- ウイルスバスター2004ファイアウォールログについて
初心者の質問にどうかお答えください。 環境 OS:Win2000PRO 回線:フレッツADSL 以前、WORM_NACHI.BとWORM_AGOBOT.KJに感染した経緯があり対策ソフトを購入しました。現在はウイルス検索をしても何も検出されないので安心しているのですが、パーソナルファイアウォールのログみると、数秒間隔で送信元IPアドレスが自分になっているものが多数あります。ファイアウォールの設定はホームネットワーク1です。 種類:ネットワークウイルス 受信/送信:N/A プロトコル:TCP 送信元IPアドレス:自機アドレス 送信元ポート:1490などランダム(ほとんど違う) 送信先IPアドレス:ランダム 送信先ポート:135 説明:RPC_DCOM_BUFFER_OVERFROW (1)通常このようなログがあるものでしょうか? (2)ログに記録されるものはブロックされているものと認識していますが、自分が送信しているものをブロックしているのであれば、なにか潜んでいると疑うべきでしょうか? どうかご教授お願いいたします。
- 締切済み
- ウィルス・マルウェア
お礼
お答えありがとうございます。 今の知識で私の補足できる範囲ですが >>ルーターを呼び出すときのIPとは ですが、私のルーターの設定をするときはIE上でするんです そのときアドレスにそのIPを打つとルーターを呼び出せるので そういう表現をしてしまいました おそらく、ルーター(ゲートウェイ)のプライベートIP と言っていいのかな? つまり(私自身が誤解している可能性も高いですが) 送信元IP(外)からアクセスがあり、其の返事をPC(内)がルーターのIP?に返した そのログが残っていたというわけです。 >内から外のセキュリティー 次数制限に引っかかり省いたのですが 一応、ルーター側でもパケットフィルタリングとステートフルインスペクション という機能を有効にしています。 >パケットフィルタリングなどの明示的な制限 設定は・・・パケットフィルタリングが少し微妙ですが(汗 説明書の簡潔すぎる説明について初歩的な疑問が出てきましたが 今だす質問でもないので改めて尋ねようかと思います。 >常時開けっ放しという意味ですか? ですね.... ウイルスバスター2002を使っているのですが (2003をいれると相性かブルースクリーンのエラー) これだとFWの設定は中、高などのレベル選択でポートも 新たに設定できそうに無いです やはり、こまめに閉じるのが吉ですね、めんどくさがらずに >>Zone Alarm ですがウイルスバスターのものでは不味いのでしょうか? 細かな通信の監視が出来るからでしょうか? >>、「システム任せで安心しない。」 そうですね、ルーターを購入した辺りから 妙に安心しきってしまい、システム任せな所があったようです。 Jzamraiさんの仰るように、システムが大体揃った以上 これ以上の安心を得るなら、己の知識を高めるということですね 少しずつですが、理解できるように勉強していこうとおもいます