規則性があるファイアーウォールのログについて（長文です。すいません…）

こんにちは。「ウィルスバスター2001」を導入して２週間程ですが、侵入活動ログに規則性を発見して、それが何を意味するのか、早急に対処すべき危険なことなのか分からず悩んでいます。
環境は、マンション全戸に引かれている専用線接続、固定IPアドレス、Win98、IE6、OE6。使用状況は常時ONに近い状態です。

ログですが、
(1)日時／ランダム。
(2)侵入活動／全て「入力」。
(3)プロトコル／ほとんどTCP、１日に何回かICMP。
(4)送信元IP／(3)がTCPの場合はランダム。ICMPの場合は全て同じ。
(5)送信先IP／全て、ICMPの場合の(4)のIP元と、同じ会社のIP。IPサーチで、海外の企業と判明。
(6)送信元ポート／初日のみ120有り。あとは全て80。（但し、(3)がICMPの場合は「なし」）
(7)送信先ポート／1120、または1243。（但し、(3)がICMPの場合は「なし」）
(8)TCPコントロールビット／０×10、０×12、０×14のいずれか。

ICMPの場合の送信元IPと、全ての送信先IPが、海外のある会社のものであるという規則性が気になっています。毎日数10回～100回以上のアタックがあるということは、ファイアーウォールを入れる以前もそうだったのでしょう。
今は、念のため別のプロバイダでダイヤルアップ接続している状態で、とても不便な思いをしています。
この場合もアタックはされますが規則性はなく、送信先IPは自分の接続IPになっています（送信元／送信先ポートについては専用線へのアタックと同じ状況）。

過去ログやyahooのサーチで色々調べてみましたが、どうしても分かりませんでした。
どなたか、お分かりになる方に、このログの意味、危険性、なすべき処置を教えて頂けたら、とても助かります。
長文になってしまい申し訳ありません。最後まで読んで下さってありがとうございました。

selenity 回答No.1

何点か矛盾していますね。
(2)が正しいなら(4)は自身の端末のIPアドレスのはずですね。
(5)は海外の企業ではなく登録上は「IANA(IANA-CBLK-RESERVED)」になっているはず。
これ(192.168.x.x/16)はIPのプライベートアドレスブロックなので、マンション内のどこからかになります。

(8)TCPコントロールビット
0x10...ACK
0x12...SYN+ACK
0x14...RST+ACK
なので、どれもACKビットが立っているので、(6)(7)(8)と合わせて考慮すると、自身(あなたのマシン)が発行したパケットの戻りのパケット(応答パケット)がログに残っているのでしょう。

これらから考えられることは、「あなたのマシンがVirusに感染している」可能性があります。
(6)(7)の記述が正しいとすると、あなたのマシンがマンション内の他のマシンに対して攻撃をしていてその返信パケットがログに残っている可能性が考えられます。
(6)と(7)が逆の場合は「攻撃を受けている」可能性があります。

いちど、完全なVirusチェックを行ってください。
Port 80なのでCodeRed/Nimdaあたりに感染している可能性が考えられます。

ちなみに、ログの内容ではなく、ログに残った「パケットの処理をどうしたか？」が
大切です。きちんと「破棄」されていますか？

お礼 2001/10/28 22:59

お答えありがとうございます。

そうなんですよ。自分のIPだったらいいのですが、やはり、
(Ａ)送信元IPはICMPの場合全て「海外の某会社」、
(Ｂ)送信先IPは、送信元IPの違いに関わらず、全て「海外の某会社」です。
(Ａ)と(Ｂ)のIPは異なります（似てるけど）が、IPサーチ検索すると、どちらも
「海外の某会社」になるので、これはどういうこと？　と悩んでいるわけです。

ちなみに、質問(1)～(8)の内容に間違いはありません…。

定期的にウィルスチェックはしていますし、ファイアーウォールの導入を契機に、
ハードディスクのフォーマットまでしたのですが…。

ファイアーウォールを入れるまで１年ほどのブランクがあったので、
それ以前もこんな状態だったのでしょう。
アタックはよくあることのようですので、あまり気にならないのですが、
この規則性（某海外の会社）の意味することが分からず困っています。

いったいこれは、どういうことなんでしょうね。はぁ～。