- ベストアンサー
netstatコマンドのForeign Addressについて
netstatコマンドを実行すると Local Address:自分のPCの名前 Foreign Address:local host ○○○ ・ ・ と表示されます。 このForeign Addressの下のほうにhttp:のアドレスがあったのですがあまり見覚えのないアドレスだったので実際にそのアドレスに行ってみると首都圏のとある企業のホームページになっていました。しかし、自分はその企業のHPを一度も見に行ったことはありません。 自分が接続要求をだしていないHPのアドレスがForeign Addressに表示されることがあるのはどんな場合でしょうか?ちなみにその企業の業種はホスティング、ソフトウェア開発、セキュリティ対策、ドメインコンサルティング・・・となっていました。この時、自分は普通にいつも見るサイトを見ていただけです。チャットはしていませんし、音楽の出るようなサイトへも行っていません。
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
私はそのnetstatの表示結果をそのまま見たわけではありませんし、その情報から調べたわけでもないので、No.4で『どちらから接続しているのかわかりませんが』と断りをいれて書いているように、もしかしたら貴殿のPCが何かしらのウィルスに感染していて他のコンピュータに接続しに行っている可能性も考えられます。 ですので、そういう事がない事を確認(証明?)するためにも -------8<-------8<-------8<------- 可能であるなら一度、ウィルスやトロイの木馬等に感染しいないかシステム全体をチェックなされた方がいと思いますよ。 -------8<-------8<-------8<------- と書いたのですが、行ってみたでしょうか? アンチウィルスソフトがインストールされていてリアルタイムにウィルス検索され、ウィルスに感染するような事はないというなら上記に書いた事は忘れてください。
その他の回答 (4)
- Lean
- ベストアンサー率72% (435/603)
>Foreign Addressのところに自分と同じプロバイダーの(自分が利用しているアクセスポイント以外の)ホスト名がEstablishedになっているのはどういう状態なのか どちらから接続しに行っているのか分かりませんが、Establishedと言う事は接続が確立していて何らかの通信が行われている可能性が高いですね。 ESTABLISHED等のスタータスの意味は、TCPの状態遷移について書いてあるページですが参考URLを参照してみてください。 可能であるなら一度、ウィルスやトロイの木馬等に感染しいないかシステム全体をチェックなされた方がいと思いますよ。
補足
ありがとうございます。いろいろ教えて頂きまして。やはり普通ではない接続ですよね。連休中に自分と同じプロバイダーのユーザーからネットワークウィルスの集中砲火を浴びたり(←もちろん、プロバイダーへ調べてもらいました)、Foreign Addressに全く知らない企業のHPのアドレスが表示されたり、見覚えのあるレンタルサーバー会社のサイトのアドレスが表示されたり、おかしいことだらけだったんですよ。他人のPCに違法に侵入を試みる(あるいはもう侵入されている可能性もありますね)事は良識ある社会人は行わないですよね・・・。 私が覚せい剤の売買をメールでしているとかいうのでしたら警察に届け出て、警察が捜索令状でも持ってきたら私は見られてまずいことは何もしていないのでPCの中を隅から隅まで見せますけど、警察でもない人に勝手に内部に侵入され見られなければならない覚えはないですからね。Leanさんにはずいぶんお世話になりました。本当にありがとうございます。Leanさんのような善意の第三者のお力を借りながら証拠を押さえられるように一層勉強しようと思います。本当にありがとうございました。
- Lean
- ベストアンサー率72% (435/603)
>Local Addressのところに自分のPCの名前:ポート番号 >が表示され、この下の方に >自分のPCの名前:ingreslock >と表示されていました。これはどういう状態を意味するのでしょうか? ingreslockはservicesで見ると、 # grep ingreslock /etc/services ingreslock 1524/tcp #ingres ingreslock 1524/udp #ingres 1524番ポートのようですね。 この1524番ポートは、Ingresというデータベースで使用されるようです。 ○Ingres http://www3.ca.com/Solutions/Product.asp?ID=1013 ただ、このポートをトロイの木馬プログラムが使用している事もあるようですね。 なので、Ingresデータベースを使用していないのでしたら、どのプロセスがアクセスに行っているかの確認として、もしトロイの木馬プログラムがいるのであれば対処された方がいいですよ。
補足
早速ありがとうございます。ingresのデータベースと聞いて「ああ、あのことか・・・」と思い当たる節は全くありません。PCの方が必要としていて使用する機能ならともかく。私はSEでもなくプログラミングの経験等皆無で、PCは自宅で全く私的にWord、Excel、インターネット接続、その他あらかじめPCに付属されているアプリケーションの一部を普通に使用しているのみです。 やっぱりトロイかもしれませんね。他にもいろいろ不審な点がありましたし。 昨日はnetstatコマンドのForeign Addressのところにおや?と思うホスト名が表示されていて調べてみるとファイヤーウォールにブロックされているIPアドレスのアクセス者が利用したと思われるホスト名でした。しかもEstablishedになっていました。同じアクセスポイントを使用している人は大勢いるでしょうけれどこれはどういうことなんでしょう? おかしい事といえば先日の連休中に「ネットワークウィルス」の警告アラートがすごい頻度で表示され、それが99%、自分と同じプロバイダーからのものでした。あまりにすごい頻度なのでプロバイダーに調べてもらったら知らずにネットワークウィルスに感染している人がいて注意してくれたそうです。その後ピタリと止まりました。今でもたまにはありますが。これが原因かどうかわからないのですがファイヤーウォールがPCを立ち上げた時に読め込めなくなり、再インストールしたのですがこの時何か侵入したのかもしれませんね。何しろものすごい頻度でしたから。 長々書きましたけど、Foreign Addressのところに自分と同じプロバイダーの(自分が利用しているアクセスポイント以外の)ホスト名がEstablishedになっているのはどういう状態なのかご存知でしたらぜひ、ぜひ教えて下さい。よろしくお願いします。 (ちなみにその表示された時の画面をキャプチャしています)
- Lean
- ベストアンサー率72% (435/603)
netstatで表示されるという事は、少なくともそのForeign Addressに表示されているアドレスの所と通信している何かしらのプロセス(プログラム)が存在しているという事です。 気になるようでしたら、下記のツールを使用するとどのプログラムがどのポートを使用しているか特定する事が出来ますので確認されてみたらいかがでしょうか? Windows ○tcpvew http://www.sysinternals.com/ntw2k/source/tcpview.shtml UNIX系OS ○lsof ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof/
補足
いろいろな情報ありがとうございます。ファイヤーウォールを入れているから安心していたのですがsuzuiさんの補足欄にも書かせて頂きましたが他にも不審な点がありまして、、、。自分が不勉強なのもありますが。
- suzui
- ベストアンサー率67% (199/297)
自分は接続要求を出していないつもりでも、実際には接続しているかもしれませんね。 Webサイトに仕込まれたアクセス解析や広告は、だいたい第3者のウェブサイトから画像をダウンロードしたり、クッキーのやり取りをしたりするのが普通です。 他にもフレームの中身が別のサイトだったりするのもざらにありますね。 他にも方法はあります。 接続したWebサイトのソースを見れば、きっとアクセスしていることがわかると思います。 JavaScriptなんかでごまかしてあるかもしれませんが。 それか、ためしにブラウザの設定を、画像や音楽、ビデオ、クッキー、ActiveX、Javaなどを全て禁止する設定にしてから、よく見るサイトに行ってみたらどうですか? または、よく見るサイトに行く前と後でnetstatの結果を比較してみるとか。これが一番簡単でしょうか。
補足
ありがとうございます。そうするといつも自分が見ているサイトに表示されている画像と同じものが、自分が一度も見に行ったこともないサイトの目に見えるところにあるということでしょうか? Webサイトのソースをみてどうなっていれば自分がアクセスしていたとわかるのでしょうか? 一昨日、netstatコマンドを実行すると Local Addressのところに自分のPCの名前:ポート番号 が表示され、この下の方に 自分のPCの名前:ingreslock と表示されていました。これはどういう状態を意味するのでしょうか? 検索してみましたが、バックドアに使用するポートのような記述がありましたがそうなのでしょうか?時間のある時また教えて下さい。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/images/related_qa/c205_3_thumbnail_img_sm.png)
お礼
ありがとうございます。セキュリティソフトは入れていますしウィルスチェックも頻繁に行いました。リアルタイム検索も実行しています。シマンテックのサイトにも行ってみましたが、特に以上はありませんでした(一部行く事の出来なかったサイトがありましたが・・・) 少しづつですが、調べて原因を突き止めたいと思います。本当にどうもありがとうございました。