- 締切済み
なんどリカバリしても攻撃されます
初めての投稿になります 困っていますのでなにかいい方法ありましたら ご指導いただけますか まず状況として リカバリ後、ウイルスソフトの設定(インターネットセキュリティー)を入れて、 (1)ファイアウォールの設定(2)SPYBOT、adawareなどのスパイウエア対策(3)ルータをつかっているので192.168.247.250とかわかりずらいのに固定をして (4)ワークグループ名も適当につけて (5)共有、リモートアクセスなどは無効にして (6)firefox、サンダーバードなどいれて 3日ほどたつとユーザーが6個になっていたり ファイルがけされたり、あなたのiPは192.168....って 画面にでたり いろいろされます 以前、掲示板にカキコミをしたときにIPをとられたのだと 思うのですが 固定のIPをつかっているとずっと攻撃されるのでしょうか なにか対策でできることは他になにかありますか ちなみにリカバリの際はフォーマットしてからリカバリしてます
- みんなの回答 (8)
- 専門家の回答
みんなの回答
- hoihence
- ベストアンサー率20% (438/2093)
まあ、MACアドレスがわかっちゃってるということは、ルーターの乗っ取りが可能になっちゃってるんだろうね。ルーターに対してTELNETログインが可能になっちゃってるとか(通常、ありえない)、SNMPに脆弱性があるとか。とりあえず、ルーターのログやPFWのログを見て、不正アクセスもとのIPが特定できたら、そのIPからの接続を拒否するように設定することだろうね。あと、PFWのログから不審な通信がPCから発せられてないかどうかを見てみるとかね。なんとなくだけど、同じプロバイダー利用者からの不正アクセスなんじゃないかなァ。 http://www.mse.co.jp/ip_domain/
- campanella_77
- ベストアンサー率66% (35/53)
こんにちは。 非常に興味深かったので書き込みさせて頂きます。 まず、おっしゃられていることが正確で、皆さんのアドバイスを実行されても、同じような状態になるという事と、御質問者さんの環境をふまえるとIPを知られてしまったら、私もここの皆さんも同じことされるでしょう。 このような状況になってからルータを購入されたとありますので、ルータのセキュリティホールや設定が悪いという可能性は低いでしょう。 1つ気になるのはCATVという点です。 詳しくは知りませんが、CATV会社によっては加入者のネットワーク=同じLAN内というとこもあるというのを聞いたことがあります。 つまり、Windowsで言うならマイネットワークに同じCATV会社に加入しているユーザのマシンが表示されてしまう。といったかんじです。 どちらにしろ、まずは以下の点を実行してみてください。 ・ルータのログをすべて保存・記録・分析する。 ・CATV会社に詳しい状況を相談してみてください。おそらく御質問者さんのマシンに誰かしらアクセスしたのなら、その記録が残っているはずです。 ・クラックされてたと感じる状況を事細かくメモに残しておく。(○○という名前のユーザが作成されている。とか、××というファイルが消去された等) ・Windowsアップデートはインストール直後すぐ行う。(内容からしてWindowsですよね?) 「以前、管理画面でHDDの中をみたらC D 以外に 何個かパーティションが組まれていたことがありました 」と、ありますが、これもそのクラックの1つでしょうか。どんだけ腕利きのクラッカーでも、知らない間にパーティションを作り、なおかつWindowsをインストールさせることは不可能だと思いますが・・・。 とりあえず、気づいた点等ありましたら書き込んでみてくださいね。
補足
お返事遅くなりましてすいません やはりCATVが怪しいですよねぇ 。。。 またリカバリをしまして初めから今までの手順をしたほかに (1)blackiceという検知するようなソフトをいれました (2)MACアドレスを変更(SMACというソフトをいれました) これからログをとってみます ファイルが消されたというのは 結構大胆に消されてたのですぐわかりました TVを録画していたものが消されたり デスクトップのものが消されたりと 明らかでしたし ちなみ補足として私以外パスワードを知らないので パソコンを使えないようにしてあります ゲストでも入れないようにしています とりあえずログをとってからドメインですとか いろいろ調べてみます ありがとうございます
- shironekoxxx
- ベストアンサー率26% (218/832)
繰り返しになりますが、ルータのパスワードは「推測されにくいもの」に変更していますか?以前使用した物はもちろん、他人や知人から臆測されそうな内容では危険です。 OSのパスワードも然りです。 最初に書きました「OSインストール後、ウィルスソフト等をインストールし最新状態に更新するまでの間はネットには繋がない」は実行してもらいましたか? また、MACアドレスが分かったとはどういう事が起こったことを差しているのでしょうか?
補足
ルーターのパスは推測されないもの 適当に作っているのでまちがいないです ウイルスのソフトなのですが ネットにつなぐまえに最新にできるのでしょうか? お返事遅くなってすいません MACアドレスをデスクトップ画面上に表示させられたので 書き込みにもあるようにMACがばれるとのっとられてしまうのではないでしょうか
No.2です。 マスカレード等やポートフォワーディングの設定をせず、工場出荷時設定のルーターで1台だけ接続している場合、(すなわち、外部に対しては一切、サーバーとして動作していない場合) たとえ固定IPアドレスで、IPアドレスがわかっていたとしても、今知られている範囲では、システムに侵入するような攻撃は不可能です。もし可能なら、ルーターにセキュリティーホールがあるのかも知れません。(ルーターを動作不能に陥れるような攻撃は、おそらく可能ですが、システムの改ざんにはなりませんね) もしかして、他の人がPCを使っているということはありませんか?こういうことって、案外多いようですが。。 VPNで外部に接続しているような場合、これが大きな落とし穴になります。ルーターのファイアーウォールで守られているつもりでも、VPN接続は筒抜けです。 いずれにしても、情報が少ないです。 どんな使い方をしているのか、OSのバージョン、どんな状況で、どんなソフトを入れているのか、等、情報がなければ、これ以上はなんともいえません。
補足
お返事遅くなりましてすいません パソコンは一台で作動させています 共有の設定もできないようにしています ・LMHHOSTの参照を有効にする のチェックをはずし ・netbios over tcpip を無効にしています パソコンはHITACHIのデスクXP リカバリDVDはcドライブのみしかリカバリできないタイプですがc以外はフォーマットしてからリカバリかけてます。 ソフトは標準のもの意外にはノートンインターネットセキュリティー あとはスパイウエア対策くらいです
- shironekoxxx
- ベストアンサー率26% (218/832)
>HDDリカバリでなくリカバリDVDなのですがDVDが感染することはないですよね? えと、そのDVDはPC購入時に付属していたものでしょうか? 仮にそうであっても(そうでない時はもちろん)疑ってみましょう。安全である事が分かっている端末にてウィルスチェックしてみることをお薦めします。 ウィルス感染したPCで作成した場合は、危険です。知り合いのプログラマは客が作ったCD-Rから感染しそうになった経験があると聞いています。
補足
おはようございます リカバリDVDは購入時に付属していたものです 念のため、ウイルススキャンをかけてみます 話を戻しますとパソコンから いろいろな症状が出るときに ウイルススキャンをしても(ノートンインターネットセキュリティ、ウイルスバスター) *同時にはインストールはしていません 実はウイルス事態は発見されなかったんですよね 私が考えた方法として IPをプロバイダに変えてもらう IPのポートをスキャンしてみる(この辺は勉強中) あとは先ほどのリカバリDVDを調べてみる このくらいしか私には出来ることがありません なにか情報ありましたら またよろしくお願いします
- shironekoxxx
- ベストアンサー率26% (218/832)
環境がだいたい分かりました。 が、ルーター以下PC一台だけ、ですと攻撃される可能性はかなり低いように思います。 当方CATVの経験がないため、これ以上はアドバイスできる事があまりないのですが・・・。 ルーターの管理者パスワードは、特定されにくいものに変更していますか? ひょっとして無線LAN使用なんて事はありませんよね? あと、心配される事としては「リカバリに使用したファイルがすでに感染している可能性」はありませんか?
補足
早い回答ありがとうございます CATVではCATV同士でよく感染するとはよく耳にしますが。。。 ルーターは無線ですが無線機能はOFFにしています 念のため、接続制限、+MACアドレスを登録した無線カードのみにしています WEPは5文字ですがかけています もちろんルーター管理パスワードもかけています HDDリカバリでなくリカバリDVDなのですがDVDが感染することはないですよね? 以前、管理画面でHDDの中をみたらC D 以外に 何個かパーティションが組まれていたことがありました ボリュームラベルはついていませんでしたが なので それからはフォーマットしてから リカバリディスクをしようしています
ルーターの内側にあるPCは一台でしょうか?もしほかにもあるのなら、ほかから侵入されてるのかも知れませんね。 ルーターを利用して接続していて、マスカレードなどの設定もしていないのなら、外部から直接攻撃を受ける、ということは、まずあり得ません。 可能性は、悪意のあるソフトウェアか、メール経由のワームでしょう。 スパイウェア対策ソフトも、ウィルス対策ソフトも、完璧じゃありません。実際、どのソフトでも発見も駆除もできないウィルスというのを、見たことがあります。また、最近インストールしたソフト、最近ウェブ上でインストールしたActiveX等も、疑うべきです。これらが、本来の機能以外に悪意のある機能を持っている、ということは、よくあります。 どの対策ソフトでも問題を発見できないようなら、自力で調査するしかないのですが・・ 手始めに、 netstat -ao で、怪しいポートをあけているプロセスを突き止めて・・ でも、あっさり、フォーマットして再インストールの方が早い、かもしれません。
補足
回答ありがとうございます ルーターを使用し、パソコンは一台です 静的マスカレード?はしていません リカバリをしてLANケーブルをさして 特にHPなどはみていません (なのでアクティブXではないかなぁと) それで3日くらいたつと ユーザーが増えていたりファイルが増えていたり 消されたり 見られたり 画面にいきなりあなたのIPは。。。みたいにでたりするんです フォーマットしてからリカバリ・再インストールは1週間に一回しています たぶん攻撃している人は同じ人だと思います 毎回してくることが一緒なので、、、 メールは設定していないのでワームもないと思います ネットで調べたのですが ipがわかるとIPアタック?というのができるらしいのですが なんかトロイを送りつけるとか それができるなら納得なのですが 詳しい方でも今の状況で私のパソコンに入り込むのは 簡単にできるものなのでしょうか 毎回ワークグループ名 ローカルIP などは変えているんですけど ちなみに相手?誰だかわからないですけど パソコンのMACアドレスもわかっていました
- shironekoxxx
- ベストアンサー率26% (218/832)
質問の文面だけだと、お使いのPC(サーバ?)がどういう用途で、どういう環境にセットアップされているのかが分からないのですが・・・。 まず、不明なのは外部に対してどういう公開のしかたをされているのでしょうか?また、内部ネットワークには他にどんなPCがあるのでしょうか(そのPCからの攻撃されている可能性はありませんか)? IP固定/否にかかわらず、外部に対して開放しているポートがあれば、当然攻撃されやすくなります。 当方の経験から言うと、「OSインストール後、ウィルスソフト等をインストールし最新状態に更新するまでの間」はネットには繋がない事、です。安全と確信できる端末以外は、内部(LAN)のPCも分離しましょう。
補足
回答ありがとうございます 環境は ケーブルTV→ルーター→パソコン一台 です ルーターのポートは開放していないです 攻撃されるごとにルーターと パソコンを初期化 しています 毎回ローカルIP、ワークグループなどは変えています 私もどうやって攻撃されているのかわからず 相手には固定のIPがばれているのでIPアタック? をされてるのではないかと思ってルーターなど いれたのですが対処できずといったところです
補足
お返事遅くなりましてすいません MACアドレスがばれてしまったので それに対してはSMACというソフトをいれてMACアドレスを変換してみました TELNETログインは私の知人もまずありえないといっていたのでないと思いますが、、 とりあえずログをとってプロバイダにでも確認を取ってみます ありがとうございます