Norton Personal Firewallの昨日のアクセス履歴をみたところ、すごい勢いでアクセスされ、なおかつ許可されていました。昨日はファイアウォールを切っていたのです。何か問題がでてくるのでしょうか?どう言う目的でアクセスしてくるのかも教えて頂きたいのですが・・・

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2003/12/14 01:08:59
  • 終了:--

回答(7件)

id:Marvy No.1

Marvy回答回数685ベストアンサー獲得回数02003/12/14 01:20:57

ポイント16pt

http://www.nai.com/japan/security/stinger.asp

AVERTウイルス駆除ツール

トロイが組み込まれた可能性がありますね、

↑を走らせて見てください

id:robota

ありがとうございます。

あいにくマックなので自前のアンチウィルスを走らせましたがなにもでません。取り敢えず一安心なのですが、なぜアクセスしてくるのかが分かりません。こちらの行動へのレスポンスが拾われてルのでしょうか?それにしては、オンにしてアクセス拒否しても別段困ったことはなかったのですが・・・

2003/12/14 02:20:41
id:gen3 No.2

gen3回答回数55ベストアンサー獲得回数02003/12/14 02:30:09

ポイント16pt

http://d.hatena.ne.jp/keyword/%A5%B9%A5%D1%A5%A4%A5%A6%A5%A7%A5%...

スパイウェアとは - はてなキーワード

スパイウェアではないでしょうか・・・?

スパイウェアだとしたら

個人情報が流れているかもしれないので

対策をしたほうがいいかもしれません

これなどで対策できます

id:robota

ありがとうございます。

トロイとスパイウェアは違うものなのでしょうか?

ノートンのアンチウィルスやセキュリティーチェッカーで探ったところ問題はないとでたのですが・・・

あと、今日も試しにFirewallを切ってるのですが、アクセスはないようです。日曜はお休み?

スパイウェアを駆除するマックのフリーソフトがあれば教えて頂けますでしょうか。

よろしくおねがいします。

2003/12/14 12:10:44
id:masaomix No.3

masaomix回答回数1023ベストアンサー獲得回数12003/12/14 04:53:52

ポイント16pt

私ならポートスキャンを疑います。

つまり、あなたのPCに侵入する入り口を探られていたんですね。

目的は、1の回答にあったトロイと同じように、

PCの中の情報を抜き出すため・・・・だったのかもしれません。

でも、ポートスキャンというのはそんな単純な目的じゃないことがほとんどなんです。

他のサーバなどに攻撃を仕掛けるための代理役として使えるPCを探している。

ほとんどの場合がそうだろうと思います。

ご紹介したURLは、その「代理アタック」に自分のPCが使われてしまった人の体験談です。

事が露見すればショックですが、知らずにそのまま、という人も多いと思います。

実際、ビギナーの顧客を多数獲得して急成長しているISPなどは集中的に狙われます。

そういう所のIPを適当に打ち込んでスキャンさせていれば、

数時間のうちに使えるPCの10や20は素人でも捕捉できます。

相手がその道に長けた連中なら、100や200は簡単に見つけだすことでしょう。

それを10人くらいでやっていたとしたら、1000や2000の使えるPCは

短時間のうちに簡単に集まっちゃうということです。

.

http://www.3ware.co.jp/linux_tips/s41.html

Thirdware Inc. | 404 - Document Not Found

そして、大量に他人のPCを操って一つのサーバに集中アクセスを行ったりして、

その機能を麻痺させようと試みたりするわけです。

ポートスキャンだけなら、あるいはそれに付随してPCの中身を盗み見られただけなら、

極端に多くのアクセスは記録されないはずです。

トロイによるものも同様です。

あまりに多くの異常なアクセスが記録されていたとすれば、

もしかして既に「踏み台」に使われちゃったかもですね。

もちろんそれは他人の犯行ですから、ISPから何か言われても

ファイアウォールのログを見せればすぐ納得はしてくれるでしょう。

しかし、あなたのIPは、同じグループのリモートサーバまとめてではあるでしょうが、

使いやすい踏み台として記憶されてしまったかもしれません。

これからは、絶対にファイアウォールを外さないことです。

日本のPCは、無防備なビギナーが多いということで

世界中から狙われています。

私も一時期、電気街の街頭キャンペーンなどで急成長した

「狙われやすい」ISPを使っていました。

その時はすごかったですよ。色んなアタックが目白押し。

一時もファイアウォールを外せませんでした。

今はマイナーなISPに移ったので、以前に比べて減ってはいますが、

それでも頻繁にポートを覗きに来ると思われるアクセスを検知します。

自分のPCを守るためにも、他人のPCやサーバを守るためにも、

防御には気を抜かないようにしておきましょう。

今回ご質問の件が100%これだとは断定しませんが、

今後に渡って誰でもこういう被害を受けることがありますから、

みんなで注意し合っていきたいものですね、ということで。

過ぎたことはもういいとして、

これからのセキュリティの鉄壁を目指しましょう(^-^)/

id:robota

御丁寧な解答ありがとうございます。

教えて頂いたサイトを見て怖くなりました。

御指摘の通り、急成長したISPを利用していますし。

これからはファイアウォールを外さないようにします。

もう一つ分からないことが出てきました。

シマンテックのセキュリティーチェックを行ったところ、安全と言う結果が出ました。

で、アクセスログをみたら、シマンテックからのアクセスが「許可」されていました。

主なポートに試行するため、いわゆるポートスキャンのようなものですよね。違うかな。

許可されて安全というなら、「許可」が何を指しているのかわかりません。

このへんを教えて頂けますでしょうか?

よろしくお願いします。

2003/12/14 12:26:07
id:takio-h No.4

takio-h回答回数31ベストアンサー獲得回数02003/12/14 10:47:42

ポイント16pt

具体的な状況がわからないので,はっきりとしたことは言えませんが,ポートスキャンされているのではないでしょうか。つまり,これからどこかへクラッキングするための足がかりとして調べられているとか。

あるいは,ブラスターの残骸で,TCP135番ばかり狙ってくるとか。

的はずれなことを言ってる可能性があります。済みません。

id:robota

いえいえありがとうございます。

長文になってしまうので具体的な状況を書きづらかったのです。

はてなの質問ってみんなけっこうアバウトですよね。あのフォームの小ささがそれをさせるのでは・・・

TCPは80が多く、サービスはweb共有らしいです。

いくつかのIPでここにアクセスされています。

あとは135とか25とか。

詳しいことは分からないのですが、「攻撃を受けやすいポート」などと書いてあるとちょっとこわいですよね。

もうすこし御回答をお待ちしてみます。

2003/12/14 12:33:25
id:fichte No.5

fichte回答回数6ベストアンサー獲得回数02003/12/14 13:46:29

ポイント16pt

http://www.atmarkit.co.jp/fnetwork/netcom/ping/ping.html

ping - ネットワークの疎通を確認する

じつは私も同じNortonFirewallソフトでMac環境なんです。接続したとたんにpingの襲撃にあいます。w

自動にpingを無造作に送って使えそうなポートを探し出すソフトなんかはアンダーグランド世界(?)では普通に使われているのでしょうが、それにしても多すぎで気味悪く感じます。

でもポート36**をも閉じた設定にして、必要なときだけ「**のIPを許可」にすれば、大方は「処理:無効またはステルス」になりますので、あまり気にしないようにしています。セキュリティーも気にし出しましたら切りがないと申しますか、精神的に不健康になってしまいそうですので…。

と言いますか、私個人もこの話題には大変興味がございます。( ̄∀ ̄)ノ

id:hbtt No.6

hbtt回答回数2ベストアンサー獲得回数02003/12/14 14:10:21

ポイント16pt

http://www.hatena.ne.jp/1071331739#

Norton Personal Firewallの昨日のアクセス履歴をみたところ、すごい勢いでアクセスされ、なおかつ許可されていました。昨日はファイアウォールを切っていたのです。何か問.. - 人力検索はてな

URLはダミーです。

他の回答者の方もおっしゃっているように、ポートスキャンをかけられていると思います。

攻撃者(または他のマシンに感染したウイルス)は、セキュリティホールがあるサービスが使っているポートが開いていないかを

調べるために(他の目的の時もありますが)ポートスキャンをかけて来ます。

システムの全てのサービスがそれぞれ完璧に自衛していれば良いのですが

残念ながら未知のバグを突かれてクラックされる事もありますので、ファイアウォールで入口のところで防ぐ事をお勧めします。

感覚的には金庫の鍵をかけるのがソフトウェア個々の防衛、玄関の鍵をかけるのがファイアウォールといった具合でしょうか。

許可/不許可はファイアウォールの設定で変更できます。

基本的に入って来るパケットは全て不許可にし、必要なもののみ順次許可して行くと良いでしょう。

ちなみに、TCPの80番はWebサーバで良く使われます。自分でWebサーバを立てているのでなければ塞いでおいても問題は無いと思います。

id:robota

ありがとうございます。ファイアウォールは手放せませんね。

気をつけたいと思います。

2003/12/15 01:37:38
id:takio-h No.7

takio-h回答回数31ベストアンサー獲得回数02003/12/14 23:15:12

ポイント16pt

TCP135、80、25という事から判断して、おそらくはウィルスによるものでしょう。TCP135番はかの有名なブラスターです。その亜種である、Welchiaは異常終了を起こさないウィルスで、なおかつ自動的にセキュリティホールにパッチを当てることで知られていますが、なぜか日本語環境においてはパッチを当ててくれません。よって、潜在的なブラスター感染者はまだかなりの数がいます。その人たちによるポートアクセスでしょう。80番や25番も記憶によれば、ウィルスであったはず。

このページにウィルスやそのほかの様々なクラッキングに対する防止方法が詳細に書かれています。ぜひ参考になさってください。マックといえども安全ではないですよ。セキュリティホール問題があがってますからね。

id:robota

ありがとうございます。

常時接続にしてから色々不安で、アンチウィルスやファイアウォールを導入したのですが・・・

かいくぐってきたりするんですね。教えて頂いたサイトで勉強してみます。

皆様本当にありがとうございました。

2003/12/15 01:41:30

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません