ファイアウォールがとても頻繁に不正アクセスを検知します。



◇-ファイアウォールがとても頻繁に不正アクセスを検知します。-ようさん(10/4-22:23)No.12125
 ┣Re:ファイアウォールがとても頻繁に不正アクセスを検知します。-いも(10/4-22:48)No.12127
 ┃┗たびたび教えて君ですいません-ようさん(10/4-23:36)No.12137
 ┃ ┗上に追加-ようさん(10/4-23:38)No.12138
 ┃  ┗どーも-いも(10/5-23:16)No.12247
 ┣Re:ベルマーク-Ai-net(10/4-23:06)No.12130
 ┃┗まじ悩み中なのに…。-ようさん(10/4-23:27)No.12132
 ┃ ┣え!?-ようさん(10/4-23:45)No.12140
 ┃ ┗Re:まじ悩み中なのに…。-Ai-net(10/4-23:46)No.12141
 ┃  ┗そうですね。-ようさん(10/4-23:59)No.12146
 ┃   ┗Re:そうですね。-sakura(10/5-00:24)No.12157
 ┃    ┗Re:簡潔なご説明ありがとうございます。-ようさん(10/5-00:35)No.12162
 ┗Re:日本は平和だなぁ...-やまふみ(10/5-04:19)No.12191
  ┗Re:日本は平和だなぁ...-o2ka(10/5-12:49)No.12210
   ┗Re:日本は平和だなぁ...-やまふみ(10/5-14:59)No.12220
    ┗Re:日本は平和だなぁ...-Ai-net(10/5-15:17)No.12222

▲このページのトップに戻る
12125ファイアウォールがとても頻繁に不正アクセスを検知します。ようさん 10/4-22:23

メーカー名:ソニー
OS名:WindowsXp
パソコン名:VAIO XR
ソフト名:ウィルスバスター2002
--
思いあまって、初めてカキコさせていただきます。

セキュリティソフトはウィルスバスター2002でブラウザはIE6.0です。
どちらもアップデートしてあります。
ウィルスバスターはURLフィルタ以外は全機能を常に稼動しています。
ネット接続はフレッツISDNですが、常時接続ではなく長くても2〜3時間
くらいで再接続しています。

先月末から急に不正アクセスの検知が増えました。
以前はクローキングが主で「ウィルスバスターが過敏に反応してるのかな?」
くらいにしか思ってませんでしたし、実際、ファイアウォールも数日に1回く
らいしか不正アクセスを検知していませんでした。

ところが前述のとおり不正アクセスが急増し、10分に1〜3回という異常なペ
ースで、しかもいつも違うIPから受けるようになりました。
あまりに異常なので「スパイウェアやウィルスか?」と思い「Ad-aware」やウ
ィルスバスターなどでスキャンしましたが何も検出できませんでした。
別に不審なサイトを閲覧しているというわけでもなく、ヤフーでも学校のHPで
も何を見ていてもファイアウォールは検知します。
また一度切断して再接続しても、しばらくするとまたそうなってしまいます。

こんなことはパソコン雑誌のセキュリティ記事とかでもまったく読んだことが
無いので、あまりにどうしようもなく、途方にくれています。

いったい、私のマシンに何が起きているのでしょうか?
教えて君ですいません。

▲このページのトップに戻る
12127Re:ファイアウォールがとても頻繁に不正アクセスを検知します。いも 10/4-22:48
記事番号12125へのコメント
これじゃないのかな?
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=4875

▲このページのトップに戻る
12137たびたび教えて君ですいませんようさん 10/4-23:36
記事番号12127へのコメント
さっそくのRESありがとうございます。
感謝ついでに、もうちょっと聞きたいな、と。

LANは組んでないので、違うかなとも思いますがどうなんでしょう…。
TAもUSB接続です。(関係ないですか?)
そもそもマシンにLAN端子がないです。

もしかしてマシンが感染してるってことですか?

教えて君ですいません。
とりあえず、もうすこしトレンドマイクロの記事をじっくり読んでみます。



▲このページのトップに戻る
12138上に追加ようさん 10/4-23:38
記事番号12137へのコメント
トレンドマイクロの記事にあった
>NetBIOSBlowsing の記録が大量に残る

ってのはそのとおりで、私のログはまさにそんな感じになってます。

▲このページのトップに戻る
12247どーもいも 10/5-23:16
記事番号12138へのコメント
うちはNortonとZoneAlarmなんで、ウイルスバスターに関しては
よくわからないけど、最新のパターンファイルで検査して異常なけ
れば問題ないとおもいますが。

▲このページのトップに戻る
12130Re:ベルマークAi-net 10/4-23:06
記事番号12125へのコメント

言い古されたネタですが、その黄色いベルマークを切り取って集めて、
学校に持っていきましょう。
http://www.bellmark.or.jp/

ところで、SONY VAIO XR は、FUJITSU HD では、、、、なかったか…
http://vcl.vaio.sony.co.jp/iforu/hotnews/2002/09/002/index.html

▲このページのトップに戻る
12132まじ悩み中なのに…。ようさん 10/4-23:27
記事番号12130へのコメント
そういうの勘弁です。

▲このページのトップに戻る
12140え!?ようさん 10/4-23:45
記事番号12132へのコメント
これベルマークっていうんですか?
結構、パニくってるもんで。
シャレがきかないですいません。

▲このページのトップに戻る
12141Re:まじ悩み中なのに…。Ai-net 10/4-23:46
記事番号12132へのコメント
ようさんさんは No.12132「まじ悩み中なのに…。」で書きました。
>そういうの勘弁です。

ナマいうのはよしにしましょう。
自分で検索すれば、その状況が何であるかすぐに分るでしょう。

▲このページのトップに戻る
12146そうですね。ようさん 10/4-23:59
記事番号12141へのコメント
結構、パニくってるもんで。ピンときませんでした。
シャレがきかないですいません。
大変失礼しました。

ご丁寧にベルマークのリンクが貼ってあったんで、ちょっと感情的になってし
まいました。
でもそのくらいパニくってたんです…。

▲このページのトップに戻る
12157Re:そうですね。sakura 10/5-00:24
記事番号12146へのコメント
ようさんさんは No.12146「そうですね。」で書きました。
>結構、パニくってるもんで。ピンときませんでした。
>シャレがきかないですいません。
>大変失礼しました。
>
>ご丁寧にベルマークのリンクが貼ってあったんで、ちょっと感情的になってし
>まいました。
>でもそのくらいパニくってたんです…。

2002年10月3日現在、WORM_OPASOFT.A/WORM_BUGBEAR.Aにおいて、SMBプロトコルを
用いてネットワーク上の共有リソースに対して検索を行う動作が確認されています。
このために、WORM_OPASOFT.A/WORM_BUGBEAR.Aの感染者からのアクセスを受けて、
NetBIOS Browsingのログが大量に残される可能性があります。

WORM_OPASOFT.A/WORM_BUGBEAR.Aの詳細はウイルス情報をご確認ください。

▲このページのトップに戻る
12162Re:簡潔なご説明ありがとうございます。ようさん 10/5-00:35
記事番号12157へのコメント
>2002年10月3日現在、WORM_OPASOFT.A/WORM_BUGBEAR.Aにおいて、SMBプロトコルを
>用いてネットワーク上の共有リソースに対して検索を行う動作が確認されています。
>このために、WORM_OPASOFT.A/WORM_BUGBEAR.Aの感染者からのアクセスを受けて、
>NetBIOS Browsingのログが大量に残される可能性があります。
>
>WORM_OPASOFT.A/WORM_BUGBEAR.Aの詳細はウイルス情報をご確認ください。

では別に私のマシンに問題があるわけではなく、多くの感染者のマシンが暴れちゃって
るってことですね。私としては、別段、気にしなくても良いと。

おかげさまでやっと安心できました。
ウィルスバスターもとりあえず入れただけで実際セキュリティ意識もふだん低いもの
で、よくわからない状況に飲まれてしまいました。ありがとうございました。

▲このページのトップに戻る
12191Re:日本は平和だなぁ...やまふみ 10/5-04:19
記事番号12125へのコメント
>ファイアウォールも数日に1回くらいしか不正アクセスを検知していませんでした。

>ところが前述のとおり不正アクセスが急増し、10分に1〜3回という異常なペ
>ースで、しかもいつも違うIPから受けるようになりました。

異常なペース???
こっち(北米)は学校が休みのたびにそんな感じだけど。(^▽^笑)
ティーンエージャーが遊びでやるからね。
高度な知識無用のクラックキングツールが出まわっているし。

例)http://www.zdnet.co.jp/help/howto/security/j02/04.html

カード番号抜かれて使われた日本人駐在員、いますよ。

日本も「増えて当たり前」だと思いますから、
今回の騒動で慣れてください。(^▽^笑)

▲このページのトップに戻る
12210Re:日本は平和だなぁ...o2ka 10/5-12:49
記事番号12191へのコメント
>高度な知識無用のクラックキングツールが出まわっているし。
>
>例)http://www.zdnet.co.jp/help/howto/security/j02/04.html

こーゆーのでアクセスされた場合、「コンピュータの管理」の
「共有フォルダ」の「セッション」や「開いているファイル」に
表示されるのでしょうか?

今の出先の社内LANが「オープンリーチ」状態なので、PCの動作が
遅くなるたびにココで変な接続が無いか確認しているのですが・・・。

▲このページのトップに戻る
12220Re:日本は平和だなぁ...やまふみ 10/5-14:59
記事番号12210へのコメント

>こーゆーのでアクセスされた場合、「コンピュータの管理」の
>「共有フォルダ」の「セッション」や「開いているファイル」に
>表示されるのでしょうか?

石橋をたたいて渡らないタイプで、
キョーユー機能そのものを動かしてみたこともない
(どういうセキュリティにしてるのかも分からない
小さな町の小さなケーブル会社だし)ので、
どうなるのか詳細は分かりません。
表示されるんじゃないかと思いますが...

▲このページのトップに戻る
12222Re:日本は平和だなぁ...Ai-net 10/5-15:17
記事番号12220へのコメント
やまふみさんは No.12220「Re:日本は平和だなぁ...」で書きました。

>>こーゆーのでアクセスされた場合、「コンピュータの管理」の
>>「共有フォルダ」の「セッション」や「開いているファイル」に
>>表示されるのでしょうか?
>
>石橋をたたいて渡らないタイプで、
>キョーユー機能そのものを動かしてみたこともない
>(どういうセキュリティにしてるのかも分からない
>小さな町の小さなケーブル会社だし)ので、
>どうなるのか詳細は分かりません。

試しにやってみることもイイでしょう。

そいで、事件が!! こっちのわたしのマシンじゃないけど、ヤバイ
ところへ不審なアクセスをしていたことが判明しましたぁ!!
なぜ判ったかというと、そのターゲットのマシンが c ドライブ公開
(c ドライブ書き込み OK)状態で、ウイルスバスターが昨年の Nimda
によって設定ファイルがぶっこわれて、さらにパーソナルファイヤ
ウォールがオンになっているという、すさまじい状況だから、その
ログファイルが見えていたからです。

ちょっと部署(管理者)がちがうが、アタックしたところの管理者に
確認を依頼してみました。なんか管理担当がショボイ派遣社員クン
なので、うやむやになることでしょう。...

A1.本ページは参考になりましたか? 又はアドバイスがありますか?
解決 参考になった 参考にならなかった アドバイスする

A2.何度目の訪問ですか?
初めて来た   数度目(2〜4) 5回以上来ている   管理人:

A3.何か一言どうぞ(アドレスは書くことができません)

A4.アドレスがあればどうぞ(1つまで)


↑↑↑↑よろしければ押してください↑↑↑↑

何か一言(本ページで参考になったならないを含めて残してあります)
◎:解決 ○:参考になった ×:参考にならなかった !:アドバイスあり

参考回数投稿日時何か一言