|
[22029]
|
nttsitm03007.ppp.infoweb.ne.jp |
| ぽこ さん |
Posted in 2002-04-22 13:17:16 |
| 1. Reply: NETBIOSについて |
ncca1aaa192.myg.mesh.ad.jp |
| かげまる さん |
Posted in 2002-04-22 18:21:03 |
| >これは外部からアタックされていると言うことなのでしょうか。? きっとそうですね。 「ピンポンダッシュ」は最近のインターネットでは極々あたりまえのことですし。 でも、ISDNルーターをそのアタックが通過してきているのでしょうか。だとしたらそのルータは危ないのかも。ルータをTA形式で使用orルータ形式で使用でも変わってきますが。 >アクセスログをみてみたら勝手にNECのTA/ルーターの設定HPにアクセスしてノートンでブロックされていました。 その設定ページって、使っているルータの設定ページ(192.168.0.1)のことですか? それともインターネット上のATERMの解説サイト? 前者だとしたら危ないです。ちょっと前のISDNルータだと外部から設定変更画面にアクセスできちゃう製品もありましたし。 まぁ、まずは使用しているルータ製品名とLANのネットワーク構成の掲載が必要ですね。 |
|
| 2. Reply: NETBIOSについて |
ncca1aaa192.myg.mesh.ad.jp |
| かげまる さん |
Posted in 2002-04-22 18:23:32 |
| あと、その不正と思われるアクセスログの部分を抜き出してここに貼り付けてもいいでしょう (長さは適切にお願いします) |
|
| 3. Reply: NETBIOSについて |
nttsitm012218.flets.ppp.infoweb.ne.jp |
| ぽこ さん |
Posted in 2002-04-22 20:19:32 |
| かげまるさん早速のレス感謝します。 >その設定ページって、使っているルータの設定ページ(192.168.0.1)のことですか? え〜とですねまちがえログを消してしまった解りません。ただそのアドレスにアクセスした所コムスターの設定チェック項目の画面が表示されていました。 >「ピンポンダッシュ」は最近のインターネットでは極々あたりまえのことですし。 このピンポンダッシュとは何でしょう?。(勉強不足ですいません。(^^;) それでは構成を書きます。 OSはMeでIE5.5とOUTLOOKで最新SPは入れてあります。ルーターはY社のRTA52でルータ形式です。 2台のPCをつないでます。(ファイル共有はしてませんがクライアントとサービスは入ってました) ネットにつなぐ際は下のプロクシでアクセスしていました。 あと回線はフレッツISDNで常接ですが、わざと5時間毎に強制切断していました。 それで現状ですがクライアントとサービスを削除してNETBIOSは外しプロクシも変更しました。更に遠隔地からのルーター設定禁止に変更しました。 一応現在はFW規制には引っかかてはいません。 以上ですが如何でしょうか。 |
|
| 4. Reply: NETBIOSについて |
nttsitm012218.flets.ppp.infoweb.ne.jp |
| ぽこ さん |
Posted in 2002-04-22 20:23:55 |
| すいませんプロクシを外してました。 アドレスはport20.net106.bignet.netでつないでました。 宜しくお願いします。 |
|
| 5. Reply: NETBIOSについて |
ncca1aaa192.myg.mesh.ad.jp |
| かげまる さん |
Posted in 2002-04-23 04:25:49 |
| >ただそのアドレスにアクセスした所コムスターの設定チェック項目の画面が表示されていました。 ウーン、とすると、これはあまり関連性が無いような気がしますね。 単に以前にぽこさんか家族の誰かがアクセスされたことがあったとか。そういうものかと。 >このピンポンダッシュとは何でしょう?。(勉強不足ですいません。(^^;) 私達も小学生の頃に下校の時に友達とやったことがあるでしょう。 人の家の呼び鈴(ピンポン)を押して即効ダッシュして逃げる、アレです。f^^; インターネット上のアタッカーはインターネットに繋がっている家(PC、IPアドレス)に対して、ある範囲で総当たりでピンポンを押していきます(プログラムで全自動でできますから、ハッカー当人が寝ててもできます)。で、そのピンポンに反応すると、その玄関は開いていると判断してその玄関からの侵入を開始します。ぽこさんのPCのNetBIOS玄関(Port)に対してピンポンして律儀にPCが「はーい」と応答すれば、NetBIOS玄関が開いていると判断して侵入を試みるというわけです。一般的にはアタックとよばれる行為ですが。 で、ルータ形式で使用されているとのことなので、外部からピンポンアタックする場合、アタッカーはルータ(RTA52)に対してアタックすることになります。今のルータの仕組み上、アタッカーがルータを通過してPCに直接NETBIOSピンポンを仕掛けることは非常に困難です(反面、TAモードでPCが直でネットに接続されている場合は非常に容易です)。なので、PC上に設置されているノートンセキュリティー2001が反応するということは、他のもう一台のPCがNETBIOSパケットを発信していることによる誤警告なのではないかと思います。NETBIOSは一定時間ごとにLAN上の他のPC上で動作しているNETBIOSの存在を確認する為にパケットを発信しているみたいですから。 >NETBIOSは外しプロクシも変更しました。 >一応現在はFW規制には引っかかてはいません。 というのが、それを物語っているかと。 なので、今回のケースではあまり心配する必要はないかなと思います、よ。(多分) ルータ(RTA52)で基本的な外部からの侵入に対するフィルタ設定を行うことと、PC上に設置したファイアウォールソフトで定期的に「アウトバウンド方向」にぁゃιぃパケットが出ていないか(=トロイの可能性)というのをチェックしておけばOKでしょう。 |
|
| 6. Reply: NETBIOSについて |
211.114.177.170 |
| ぽこ さん |
Posted in 2002-04-23 20:49:58 |
| いやいや、ほんとにかげまるさんのレスは為になります。 自分はネットワーク関係がほとんどチンプンカンプン状態で取説やHPを見ても詳しく解らなかった物ですから。(かげまるさんに感謝!) ちょっと話がそれてしまいましたが。 >単に以前にぽこさんか家族の誰かがアクセスされたことがあったとか。 これなのですが実はもう1台は自分のノートPCでおもに社用等のメールや仕事用でHPのアクセスはLIVEUPなどを除きをは殆どしない状態です。 でなぜおかしいと思ったかと言いますとPCを起動した時にスタートHPアドレス等が変更されていたので。 (外国のHPサーバーで御下劣サーバーではありません)(笑) 私自身、男なので御下劣HPを見ない訳でもないのですが、最近その手から遠ざかっていた為に逆におかしいと思った次第です。(;^_^A 実際JAVAもActivXの切った状態です。 そこで質問なのですがJAVAもActivXもない状態で勝手にアドレス変更されているのはワームかウイルスなのでしょうか? ただ現在はスタートHPの変更やアウトバウンドへのデーターは流れてないので少しは安心しています。 |
|
| 7. Reply: NETBIOSについて |
ncca1aaa192.myg.mesh.ad.jp |
| かげまる さん |
Posted in 2002-04-25 00:00:05 |
| >そこで質問なのですがJAVAもActivXもない状態で勝手にアドレス変更されているのはワームかウイルスなのでしょうか ウイルスではないですけど、けっこういろんなソフトでスタートページを書き換えるexeはあるように思いますよ。プロバイダの入会用CD-ROMとか・・。「おいおい!」というかんじでウザいですけどね。JAVAもActivXも切った状態であれば、残される手段は純粋なexeファイルによる書き換え(レジストリ書き換えexe)だけでしょうね。 IEの脆弱性を利用してJAVAもActiveXも使用せずに、サイトを訪れただけでexeを自動DL&実行させてしまう手法もつい最近ありましたし(msn事件)。今では条件付な手法ですが、それを利用してスタートページを自サイトに書き換えるのも可能ですね。 >ただ現在はスタートHPの変更やアウトバウンドへのデーターは流れてないので少しは安心しています。 であれば、大丈夫と思います。ただ、くれぐれも日頃から気をつけて・・。 |
|