- ベストアンサー
毎日かなり不正アクセスを受けているようなのですが
最近ウイルスバスターのパーソナルファイアーログを見て気付いたのですが毎日かなり多い不正アクセスを受けているようです。ただほぼ正確に30分おきくらいで説明の欄には<セキュリティ設定によるブロック>となっているのですがこれは本当にだれからかアタックを受けているのでしょうか? さらにこちらは時間は不正確で少ししかありませんが<Overlapping fragment attack>というのもあります。 また今までWinXPのファイヤーウォールも使っていたのですが、ふとウイルスバスターの使用方法でWinXPのファイヤーウォール設定は無し(バスターの方のみ)にするというのを思い出しXPの方を解除したところログの説明欄に<ICMP Echo Request>というのとネットワークウイルス<MS-03-026_RPC_DCOM_EXPLOIT>というのがありました。今まであまり怪しいサイトは見たりしていないのですが仕事で使っているパソコンなのでかなり心配です。本当に自分のパソコンが誰かからアタックを受けているのでしょうか?
- みんなの回答 (13)
- 専門家の回答
質問者が選んだベストアンサー
#7です。 30分おきのやつは、UPnPみたいですね。ルータがマルチキャストで飛ばすやつをバスターが除外設定にしてないと検出してしまうようです。知らないIPって、239.255.255.255なんじゃないの。 で、Overlapping fragment attackは、明らかにおかしいです。通常、IPヘッダのオフセットフィールドをダブらせたりしませんから。常識的にはパケフィル迂回と考えます。 ICMPの方もグレーゾーンです。 う~ん、もしかして、山田ウイルスの可能性があるかも。でも、とっくに対応済んでるはずだしなァ。シマンテックとかのオンラインスキャンとかやっておいた方がいいんじゃない。申し訳ない、バシッと判断できなくて。
その他の回答 (12)
- hoihence
- ベストアンサー率20% (438/2093)
#7です。 えーとですね、OSが最新の状態になってれば、UPnPのやつは除外設定にして下さい。 それと、Overlapping fragment attackに関しては、それを発生させてるプログラムを突き止めないとダメです。ログから分かりませんか。 http://www.forest.impress.co.jp/article/2004/04/19/currports.html ↑ こういうのも役に立つと思うよ。 もし、自力で難しそうなら、サポセンに聞いてみて。
- thanks39
- ベストアンサー率61% (1189/1944)
No.9です。びくっりさせてしまって申し訳なかったですが、ウチはシマンテックのノートンインターネットセキュリティを入れていて普通に使えてますのでウィルスではないです。悪用できかねないソフトであるのでセキュリティリスクとして検出されます。
お礼
いえ、ご教授いただきありがとうございました。自分もウイルスではないかもれしれないと思ったのですが使いこなせそうになかったので... ただログにアクセスが入る時間帯にモニターを見ていましたらやはり大量にアクセスされるのが見て分かりました。また不安なのはアクセスしていない状態(ちなみにPPPoEで常時ネットには接続状態です)でもモニターではたまにアクセスがあるようなのでかなり心配です(青、赤、緑などのカラーで示されますがこれがどのような意味かは分からなかったのですが...)。ログには出ていなかったのでまさかファイヤーウォールを越えてアクセスしているのではないかと...なんとか自分のアクセスのみで他かからや意図しない自分のパソコンからのアクセスを遮断できる方法はないものでしょうか...
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
自分のパソコンがどんな通信をしているか、以下のもので盗聴しています。 http://www.space-peace.com/ethereal/ethereal.htm 参考までに。 またIPアドレスの検索は、↓ http://www.apnic.net/apnic-bin/whois.pl またここに地図があります。↓ http://www.apnic.net/info/faq/abuse/index.html 怪しいサイトだけでなく、セキュリティに脆弱なサイトも気おつけなければならないですが、windowsにセキュリティホールがあるとバスター君があっても知らぬうちに侵入されていることがあっても不思議ありません。
- thanks39
- ベストアンサー率61% (1189/1944)
こんにちは。 >自分のパソコンに何か通信しているという可能性はあるのでしょうか 貴方のPC"に"ではなくて貴方のPC"から"だと思いますが。 例えばこんなフリーソフトで調べてみてください。 http://www.altech-ads.com/product/10000314.htm
お礼
ありがとうございました。早速このソフトをダウンロードしてみたのですが英語なのでちょっと使い方が分かりませんでした。また後のご回答していただいた方の言うとおりシマンテックのオンラインスキャンをしたところなんとこのソフトからウイルスが発見されたのでアンインストールしてしまいました...(もしかすると検出されただけでウイルスではないのかもしれませんが)
- thanks39
- ベストアンサー率61% (1189/1944)
>●たまに の方は、不正アクセス(貴方のPCに対して外部から接続)があり、それを阻止したというものです。 貴方が予期しないアクセスではありますが、必ずしも悪意のあるアクセスとは言い切れません。 >●30分に1回おきに大量アクセスがある方 これは外部からのアクセスではなく、貴方のPCから外部に何か情報を発信しようとしているものを阻止しているというログです。何かスパイウェア、もしくはワームか、情報を送信するプログラムが起動しているのではないでしょうか?
お礼
こんにちは!ありがとうございます。30分おきの方ですがやはり自分のパソコンから発信しているのですね...発送元がルーターのIPアドレスですがルーターから自分のパソコンに何か通信しているという可能性はあるのでしょうか(送信先IPがipconfigでみる自分のパソコンのIPではないので違うと思うのですがいつも同じIPです)?ただ送信元ポートが少しづつ変化するところなんかやはり怪しいですよね... またspybotなどで調べても特に何もでてこないのですがこの情報発信しているプログラムを調べる方法などはありますでしょうか? ちなみに今日初めてログに<Overlapping fragment attack>の大量アクセスがありました。
- hoihence
- ベストアンサー率20% (438/2093)
こんにちは。 今のインターネットというのは、悪意を持つパケットが日常的に飛び交ってます。 で、Overlapping fragment attackはパケットフィルタリングを迂回させる既知の攻撃ですが、インバウンドですよね?これまでのあなたの返答を読むとアウトバウンドのような気がしてしまうのですが。もし、アウトバウンドだとしたら、DoS攻撃の踏み台にされてる可能性があります。 RPC DCOM EXPLOITやICMP REQUESTはありがちですね。いずれにしてもこれらはプログラムによって自動化されてます。
お礼
返答遅くなり申し訳ありません。アウトバウンドとインバウンドのことがよく分からないのですが、バスターのログには ●30分に1回おきに大量アクセスがある方 プロトコル UDP 送信元IPアドレス 自分(ルーター) 送信元ポート だいたい10000~アクセス毎に1づつ徐々に大きい方に変化してます。 送信先IPアドレス 知らないIPです。 送信先ポート 1900 説明 <セキュリティ設定によるブロック> ●以下たまに プロトコル TCP 送信元IPアドレス 知らないIPです。 送信元ポート 80 送信先IPアドレス 自分(ルーター) 送信先ポート 1131 説明 <Overlapping fragment attack> プロトコル ICMP 送信元IPアドレス 知らないIPです。 送信元ポート N/A 送信先IPアドレス 自分(ルーター) 送信先ポート N/A 説明 <ICMP Echo Request> となっています。その他ウイルスのは明らかに不正なので載せませんでした。情報が不十分かもしれませんが何か分かることがありましたら宜しくお願い致します。
- tnt
- ベストアンサー率40% (1358/3355)
no.3です。 pingについては、 特定の人...というよりは、特定のコンピュータが 狙い撃ちをしているように思います。 たぶんそのコンピュータもゾンビです。 つまり、更にその手前に悪意のある人間が居て、 セキュリティの甘い機械を探しています。 他人のコンピュータを外部からいじれるようになると いろいろなことが可能になります。 (これをゾンビと呼んでいます) 詳しくは参考URLを御覧ください。 もうひとつのワームも、最終的には ゾンビを作り出す働きを持っていますが その前に大量の通信を発生させて ネットワークを麻痺させてしまうのが普通のようです。
- violet430
- ベストアンサー率36% (27472/75001)
>これは報告機関?のようなところに報告~アクセス者発見のようなことは可能なのでしょうか? 実際に犯罪を犯しているという証拠があるなら警察へ届ければいいと思いますが、どうやってそれを証明できますか?
お礼
こんばんは!ありがとうございます。よく分かりませんがおそらく不正のアクセスの場合は不正アクセス防止法?のようなものでアクセスしただけで罰則があるのではないでしょうか(こちら一般人のパソコンなので通常アクセスすることはありえ無いと思うのですが...)?
- violet430
- ベストアンサー率36% (27472/75001)
送信元が自分のパソコンで外部へアクセスしている場合は、そのアプリケーション名に注意する必要が有ると思います。 また、IPアドレスはドメインサーチで、身元を確認できます。 http://www.mse.co.jp/ip_domain/
お礼
ありがとうございます。早速調べてみたところ<セキュリティ設定によるブロック>の方は不明になっていたのですが、<Overlapping fragment attack>のIPの方がインフォシークのサーバーを使っているようで詳細がでてきました。また、その他にもまったく知らない企業(プロバイダやサーバー業者ではありませんでした)がでてきましたが、これは報告機関?のようなところに報告~アクセス者発見のようなことは可能なのでしょうか?
- tnt
- ベストアンサー率40% (1358/3355)
MS-03-026_....は、脆弱性を利用した攻撃で W32/Blasterワームと呼ばれる一種のウイルスが 行ってくる攻撃です。 また、ICMP....は、pingという、 ネット上にそのIPアドレスが存在するかどうかを 確認するコマンドを受け取った事を意味しています。 安全な相手なら返事しても良いのですが、返事をすると そのアドレスが使われていることと そのルートが相手に知られます。 というわけで、ネット上の何者かが amino33さんのパソコンをスキャンしていること 同じくネットにつながったワーム感染パソコンが amino33さんのパソコンを攻撃していることは 確かなようです。 インターネットは不心得なユーザーに対して 無防備なシステムですから、 自分で身を守るしかありません。 ウインドウズやIEの更新をきちんとやること、 ファイアーウォールの設定を忘れないことは お忘れなく。 それからもうひとつ、 何かの事情で脆弱な状態になるとき (windowsのセットアップとか)には、 ネットの回線を切っておく事もお勧めします。
お礼
ありがとうございます。やはり特定の人が自分をターゲットにして攻撃しているのでしょうか...一つお聞きしたいのですが攻撃が成功するとこちらはどのような影響を受けるのでしょうか?パソコンの中のファイルが筒抜け状態などになってしまうのでしょうか?またXPのファイヤーフォールは解除してウイルスバスターのみの設定にしましたがこれで大丈夫でしょうか?
- 1
- 2
お礼
ありがとうございます。それです!IPは239.255.255.250となっていますがこれはルーターからということで除外設定してもいいのでしょうか? またオンライン検索では特に問題なかったのですが(1個ウイルスを検知したのですが...)、Overlapping fragment attackは明らかにおかしいということでかなり怖いです。自分で使用するポートかIP(よく分からないのですが)に限定して通常のインターネットをできる方法はありますでしょうか?またはド素人でも分かるようなこのような設定が可能なソフトなどはありますでしょうか...?