- 締切済み
不正アクセスログとセキュリティスキャンの結果
初めまして。 2つ質問がありまして、そのうち1つでもお答え頂けると幸いです。 長文になりますがお許し下さい。 今日、CTU(プロバイダがNTT西日本の光プレミアムです)の設定で 何となく不正アクセスログを見たところ、大量のログがありました。 一分間に何度も不正アクセス?されているようです。 例えば… 送信方向 WAN→LAN 送信元アドレス △.○.×.* 送信元ポート 色々 送信先アドレス △.○.?.! 送信先ポート 135や445が圧倒的に多いです プロトコル TCPかUDP ログ理由 NATによる破棄 TCPフラグ SYNかESTABLISHED こんな感じです。 送信元アドレスと送信先アドレスの最初の2つの数字は同じである場合が多く、またこれは私のIPアドレスにとても近いです。 これはやはり頻繁に不正アクセスを受けている、もしくはBlasterやボットなどというものに感染している恐れがあるということでしょうか。 またその場合、どのように対策すればいいのかご教授下さい。 ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■ また、Symantecのセキュリティチェックを行ったところ ICMPping OPEN ポート80 CLOSE ポート113 CLOSE との結果が出ました。 全てステルス状態が望ましい、とあったのでとても心配です。 ICMPpingのOPEN状態については http://oshiete1.goo.ne.jp/kotaeru.php3?q=1287594にならって ノートン2007で同じように設定しましたが、ステルス状態にはなりませんでした。どうすればステルスにできますか? またポート80、113も同様にステルス状態にしたいので設定方法がありましたら教えて頂けると助かります。 以上、関連があるかもしれないと思い、2つの事柄について質問してしまいました。問題があるようなら仕切りなおして1つずつ質問するつもりですので、よろしくお願いいたします。
- ZFO
- お礼率66% (4/6)
- ウィルス・マルウェア
- 回答数5
- ありがとう数5
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
また、Symantecのセキュリティチェックを行ったところ ICMPping OPEN ポート80 CLOSE ポート113 CLOSE との結果 ------------------------------------ CTUのファイアーウォール機能←これ知りません ↑ファイアーウォールの重複は不具合の元だけど。 Windowsのファイアーウォールも無効だったのを有効に ↑ノートンのファイアーウォールに統一 「侵入者 72.14.*.*(http)80」 ↑そこに、そのサイトにアクセスしたということなら、「警告」になるのがおかしい。ノートンの設定は、推奨とか標準ですよね。 ノートン2005の経験では、ノートンの設定を厳しくすると変な警告が多くなった。 念のため、パソコンをネットから物理的に切断。 まず、windowsファイアーウォールを起動して、例外タブのところにプログラムがあるので、すべてのチェックをはずす。詳細設定タブのICMPを開いて、すべてのチェックをはずす。 それから、 コントロールパネル クラシック表示 管理ツール サービス Windows Firewall/Internet Connection Sharing (ICS)をダブルクリック 停止して無効に。 それでどうなるかだね。 ノートン使っているときにはほかのファイアーウォールは必要ない。 当方ノートン2006まで使ったことがあります。2007の実態は知りませんが。 ICMPに反応することは、誰でもあなたにpingをやればあなたのパソコンは、「はいはい」とこたえるということです。ほかのポートのやつも同様です。それだと、おそらく、メッセンジャースパムといわれているものにも、反応しているはずです。つまり、「あなたのパケットは届いていませんよ」という返事をしていると思います。それはUDPに反応することですが。 P2Pソフト使っているなら、ダウンロードしたものを含めて削除。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
ノートン2007でステルスにならない? ルーター使っているように思えますが。 TCP113にclose反応するものがあるはずです。 ICMPこれはどうかな。windowsファイアーウォールと併用しているわけではないなら、ルーターの設定または、使っているプログラムだと思います。 windowsファイアーウォールでicmpに反応しましたから。 ポート80 CLOSE これが普通じゃないというか、何でそのポートがcloseなの、と聞きたくなります。 windows XP SP2? --------------------------------------- 135とか445が圧倒的に多いのはこちらでも同じです。 その手のパケットのおおよそ80パーセント以上はそれらです。 ボット君たちが活動していることです。 ルーター使っていれば、パソコンまで到達しないはずです。 不正プログラムの中には、ステルスのものがあります。当然スキャンしても見つからないでしょう。おまけに、自動更新機能まであるやつがあります。 ルートキットスキャン http://www.f-secure.com/blacklight/
- 123admin
- ベストアンサー率52% (1163/2214)
URLを間違えました。 正規 http://antivirus.ddo.jp/abc/cbbs/cbbs.cgi?mode=all&namber=2401&space=0&type=0&no=0 #凡ミスもいいところだ。
- 123admin
- ベストアンサー率52% (1163/2214)
セキュリティ対策ソフトをお使いですよね。 ご存知だとは思いますが、これはOEM版ウイルスバスターです。 で、バスターには悪癖があって135とか445などを開けてしまう悪さをします。 参考例 http://192.168.1.100/abc/cbbs/cbbs.cgi?mode=all&namber=2401&space=0&type=0&no=0 まぁ許可したプログラムの動作の性みたいですので実質的には問題ない様です。
お礼
当方、ノートンですがやっぱり135や445が大量にログにありました。 問題なければ安心できるのですが、不正アクセスログで大量に検出されるものの中で、どれが危なくてどれが安全か見分けがつかないので、すべて危険に見えてしまいます。 ご回答ありがとうございました。
- haifa7741
- ベストアンサー率10% (20/193)
アクセスログに多くの履歴が残ることはよくあることです 自分も前多く残っていました アンチスパイ、アンチウイルスでスキャンをかけてみて 何も引っかからなかったら問題ない というか他に方法はありませんよね
お礼
一応アンチスパイ、アンチウィルスでは何もでませんでした。 ご回答ありがとうございました。
関連するQ&A
- ルーターのログ情報 不正アクセス?
まだまだPC初心者なのですが、エアステーションWLAR-L11G-Lの無線ルーターでネットをしています。最近気づいたのですが、ルーターのログ情報を見てみると、 2005年4月3日 22時55分01秒 フィルタ 210.80.243.*** --> 221.190.119.*** TCPポート:51568 2005年4月3日 22時54分44秒 フィルタ 210.80.243.*** --> 221.190.119.*** TCPポート:51568 2005年4月3日 22時54分10秒 フィルタ 221.190.207.*** --> 221.190.119.*** TCPポート:135 2005年4月3日 22時54分07秒 フィルタ 221.190.207.*** --> 221.190.119.*** TCPポート:135 2005年4月3日 22時52分49秒 フィルタ 220.107.96.*** --> 221.190.119.*** TCPポート:445 2005年4月3日 22時52分47秒 フィルタ 221.190.145.*** --> 221.190.119.*** TCPポート:445 このようにかなりのログ情報があるのですが、これって不正アクセスなんでしょうか?PCの電源を切っている時もログ情報があります。 221.190.119.***のほうは自分のIPです。ルーターの設定はデフォルトで、(MACアドレス制限と無線の暗号化はしています。)PCにはノートンインターネットセキュリティーを入れてあります。 いろいろ調べてみたのですがわかりません。わかる方どうぞ教えてください。
- ベストアンサー
- ウィルス・マルウェア
- アクセスログで不正アクセスを解明するには?
不審な動きがあったので、不正アクセスを疑いログを調べました。 パソコンはMacです。コンソールにて調べています。 でも、コンソールの解読方法がよく分かりません。 Firewallのログにてよく分からないものが出てきました。 Stealth Mode connection attempt to UDP 192.***.0.5:64750 from 192.***.0.1:** Stealth Mode connection attempt to UDP 192.***.0.5:65419 from 192.***.0.1:** Connection attempt to UDP 240f:0006:9966:0001:803e:4758:dff0:4322:62743 from 2001:0268:fd07:0004::0 とあります。 UDPとTCPの違いは何でしょうか? また、異なる様々なIPアドレスがある場合は不正アクセスではないのでしょうか?どのような場合が不正アクセスに該当するのでしょうか?
- ベストアンサー
- Mac
- ファイアウォールのログについて
いつも自分のパソコンと思われるログしか無いのに ある日、ウィルスバスターのファイアウォールログにこんなものが残っていました。 プロトコル TCP 送信元IP 60.34.104.30 220.109.73.19 など 送信元ポート 4650 3405 2633 など 送信先IP 60.34.98.10 送信先ポート 135 445 15118 送信元IPと送信元ポートは1秒ごとに変わっていて、 送信先ポート135と445(135が8割)にPCの電源を切るまでの一時間、えんえんとログがありました。 *135ってまずくないですか? *ログの説明には「ブロック」となっていますが、もしも ブロックできなかった場合、どのようなログが残るのでしょうか? *[PC]ー[FW]ー[ルータ]ーインターネット としているのですが、ルータでは防げなかった、という事なのでしょうか・・・? よろしくお願いいたします。
- ベストアンサー
- その他(インターネット接続・通信)
- アクセスログのとり方
以前ここで二重ログインや不正アクセスについて相談して、パスワードやアドレスを変更したり、スパイウェア対策ソフトを入れました。でもそれでも変な症状が出るので、不正アクセスされているかチェックしたいので、プロバイダに連絡したら、↓のメールが来ました。マイクロソフトに聞いたら、プロバイダに聞いてください、と言われましたが、ADSLのアクセスログは個人では調べられないのでしょうか?ISDNの時はアクセスログが自分で見られました。 弊社では下記の情報から調査させていただいており、 アクセスログが無い場合は調査することができかねてしまいます。 ・アクセス者のIPアドレス ・アクセス者のアクセス日時(秒までお知らせいただければ幸いです) ・アクセス内容(ポート80番攻撃など) (記録した【セキュリティソフト等の】アクセスログがありましたら、 そちらをお知らせいただければと思います) <書き方の一例> ------------------------------ xx月xx日(x曜日) アクセス時間:xx時xx分xx秒 アクセス元IP:xxx.xxx.xxx.xxx ポート番号:xxxx アクセス先IP:xxx.xxx.xxx.xxx ポート番号:xxxx ------------------------------ なお、アクセスログの取得方法がご不明な場合には、お客様ご利用のソフトメーカー様へご相談いただきますようお願い申し上げます。
- ベストアンサー
- その他(メールサービス・ソフト)
- 不正アクセス検知の情報
現在職場でヤマハ(RTX1100)のルータを使用しております。 IE等のブラウザで 『現在のルーターの情報』の『不正アクセス検知の情報』 を見ると、 私が使用しているPC(WindowsXP SP2)の、ローカルIPアドレスが、 攻撃元アドレス、攻撃先アドレスになったと思われるログ がいくつも表示されています。 攻撃元アドレスになった場合の攻撃の名称は、 『TCP port scan』 攻撃先アドレスになった場合の攻撃の名称は、 『TCP SYN flooding』 とログには記載されています。 以下の様なログが表示されています。 ※私が使用しているPCのローカルIPアドレスは192.168.10.99です。 ------------------------------------------------------------ ・不正アクセス検知の情報 日時 攻撃の名称 攻撃元アドレス 攻撃先アドレス 2007/09/03 07:11:17 TCP port scan 202.xxx.xxx.xxx 192.168.10.99 2007/09/03 07:12:22 TCP port scan 211.xxx.xxx.xxx 192.168.10.99 2007/09/03 07:13:41 TCP port scan 203.xxx.xxx.xxx 192.168.10.99 2007/09/03 07:20:25 TCP port scan 203.xxx.xxx.xxx 192.168.10.99 2007/09/03 07:11:17 TCP SYN flooding 192.168.10.99 211.xxx.xxx.xxx 2007/09/03 07:13:41 TCP SYN flooding 192.168.10.99 203.xxx.xxx.xxx 2007/09/03 07:14:14 TCP SYN flooding 192.168.10.99 124.xxx.xxx.xxx 2007/09/03 07:18:46 TCP SYN flooding 192.168.10.99 124.xxx.xxx.xxx 2007/09/03 08:03:33 TCP SYN flooding 192.168.10.99 211.xxx.xxx.xxx ------------------------------------------------------------ 職場には、PCが約20台ありますが、 他のIPアドレスのログは全く出力されていません。 念のために、 シマンテックとトレンドマイクロのオンラインウィルスチェックを 実施してみましたが、 ウィルス等は検出されませんでした。 ここで質問です。 1.どのような場合に、このようなログが出力されるのでしょうか? 2.私のPCが何か悪さをしているのでしょうか? 3.このようなログが出力されないようにするには、どうすれば良いのでしょうか? 以上、宜しくお願いします。
- ベストアンサー
- ネットワーク
- 不正アクセスについて
ウイルスバスター2002を使っていますが、今日、不正アクセスされてしまいました。 パーソナルファイアウォールは有効になっていたのですが、どうすればいいのでしょうか? OS:Me IE5.5sp2 不正アクセスの送信元:(オープンにしてもいいんでしょうか?) 不正アクセスの種類:NetBIOS Browsing 送信バイト:209,624 受信バイト:1,635,731
- ベストアンサー
- ネットワーク
- 不正アクセスログについて
はじめまして、こんにちは。 最近、個人情報が流出した話をよく聞くので、不正アクセスログを調べようと思ったのですが、どうやって調べたらいいのか恥ずかしながら、わかりません。分かる方がいれば教えてください。 なおWEBサーバーにはApach,Tomcatを導入していて、OSはWindows2000です。 また、開いているポートの調べ方、閉じ方が分かればこちらも教えてください。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- FWログに変なアクセスが・・
普段ネットをしていて急に許可していいですか? という画面が出てきたので拒否しました それのせいだと思うんですが FWログに変なものが残ります ネットにつないだ直後に残るらしい? プロコトル:TCP 送信元:じぶんのPCネーム?のようなもの 送信元ポート:1044~1079まで連続で続いています 送信先IP:IPサーチで調べましたが存在しませんでした 送信先ポート:ほとんど80番。送信元ポートが1076~1078、が443番に1079番が80番に送信してるみたいです アプリケーションパス:C:\WINDOWS\System32\svchost.exe アプリケーション名:Generic Host Process for Win32 Service 使ってるソフトはウイルスバスターです このアクセスは何なんでしょうか? 今までネットしててもこんな症状なかったので 気になってます どなたか詳しい方いましたら教えてください<(_ _)> お願いします
- ベストアンサー
- ネットワーク
- セキュリティスキャンの結果
ネットワークセキュリティについては、殆ど知織がないのですが、 いろいろな投稿を見ていて やはり不安になり、オンラインセキュリティスキャンを行なってみました。 結果はいくつかのポートがOPENだったので、 ルーターの取説を見ながらなんとか、tcp(20,21,80,137~139)のポートに、 パケットフィルタをかけてみました。 再度 スキャンしたところ、 シマンテックのスキャンでは 全てcloseかstealthでしたが、 別のサイトのスキャンでは、 TCPスキャンで ポート7(echo)OPEN、 UDPスキャンで20・21(FTP)53(DNS)67(DHCP)137~139(NetBIOS)がOPENという結果でした。 これらは 同じようにパケットフィルタを掛けるべきなのでしょうか? 逆にフィルタを掛けたら何か使用できない事がでてきますか? 7echoなどは プロバイダ側が使用すると どこかで読んだ気もするのですが、7番ポートを使用した攻撃もあるとも読みました。 これなども閉じた方が良いのでしょうか? 使用環境にもよるかと思いますが、自宅でLANなしサーバーなしの使用です。 また、セキュリティソフトはVB2005、OSはWin2000で、 接続はADSLの有線になります。 ご解説を 宜しくお願い致します。
- ベストアンサー
- ネットワーク
- ルーターつけても不正アクセスのログあります
ルーターとウイルスバスターを併用しています。ルーターを使用すると、外部からはルーターより先のパソコンのIPアドレスが見えなくなると説明書に書いてあります。それでも、ウイルスバスターのファイアウォールのログにはプライベートアドレス宛のログが残ります。そもそも、ルーターをつけたらファイアウォールソフトの不正アクセスログは無くなるものではないのですか?ルーターとファイアウォールソフト一緒に使っている方がいれば教えて下さい。
- ベストアンサー
- ネットワーク
お礼
ありがとうございます。 当方windows XP SP2です。 >ノートン2007でステルスにならない? 自分なりに試したのですが、結果は変わりませんでした。 具体的な設定方法があるならご教授していただけると幸いです。 ルーターは、ルーターというよりCTUのファイアーウォール機能を使っています。先ほど確認したらなんセキュリティレベルが「低」だったので「中」に上げ、ついでにWindowsのファイアーウォールも無効だったのを有効にしてみました。(でも重複してたらいけませんよね。Windowsのほうを無効にしたほうがいいでしょうか?) 暫くして不正アクセスログをチェックすると、送信先ポートの結果の445は激減したのですが、今度はよりどりみどりのお祭り状態になっております。TCPフラグの結果に「INVALID」?と現れるようになったり、 英数字混合の長い「送信先、送信元アドレス」ログが出てくるようになったりと、ますます不安です。 また、ノートンでインターネットセキュリティ→統計→最近の侵入の数が15となって驚きました。今日の夕方まででは0だったのですが。 教えて頂いたルートキットスキャンを試したところ、一応変なものは検出されませんでした。 が、この大量の変な不正アクセスログを見ているととても安心できません。 ポート80がCLOSE状態なのが変、との事でそっちも不安です。 ノートンの「統計」→「ログ表示」→「接続」を見てみると 「ローカルIPアドレスの欄」が「local」になっておらず、 IP Address/Netmaskで表示されている自分のIPが表示されている事が多々あり、しかもこのときの「リモートサービスポート」の欄が「(http)80」となっていました。これは危険な状態なのでしょうか? また、あるサイトにアクセスしたときに検出された警告のログを「侵入防止」の欄でみると「侵入者 72.14.*.*(http)80」となっていたりもします。 ポート80恐怖症になりそうです。 何かアドバイスがありましたらよろしくお願いいたします。