- ベストアンサー
勝手にWebアクセスしてしまいます。
社内でサーバーを管理しているのですが、 困っていることがあります。 最近Firewallのログを見ると、httpに不正アクセスしているクライアントが目立ちます。 毎日アクセスログがありますが、決まった時間では ないため、パケットのモニタリングが困難です。 どのプログラムがhttpへアクセスしているのでしょうか? どのような方法で調査したら良いでしょうか? (特定のPC、アドレスではありません) クライアントは、httpの設定は行っておらず インターネット接続不可の環境です。 以下、クライアント詳細情報です。 OS:WindowsXP_SP1 and SP2 (複数台) ドメイン:参加PC and workgroup (どちらも) 他に何か必要な情報がありましたら、ご連絡下さい。 よろしくお願いいたします。
- roxy1030
- お礼率55% (5/9)
- その他(ITシステム運用・管理)
- 回答数4
- ありがとう数2
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
Windowsの自動更新プログラムなどもHTTPを使っていたと記憶してますので、社内ルール的にはともかく、技術的にはHTTPのアクセスが即問題であるとは言えないですね。 まずはFirewallのログから、どのPCからどのサーバに対してHTTPアクセスがあるか、整理してみたらいかがでしょう? その情報を元に、どのPCにどのようなプログラムが動作しているかを推測して、それぞれ各PCを調査することになると思います。 あと、インターネット(WEB)接続が禁止であるなら、Firewallでアクセス禁止の設定をするのが徹底するための一番の早道だと思いますが。
その他の回答 (3)
- Toshi0230
- ベストアンサー率51% (836/1635)
> 「QND」を使用しています。QND Plusですが。 あらま。なんたる偶然。サンプルとして例示しただけだったんですけどね(^^; > 何のインベントリを見れば良いのでしょうか? 実はQND自体は使ったことがありません(^^;;。 類似のソフトの利用経験はあるんですけどね。 QNDのサイトを見ると、QND Plusのインベントリ機能として、以下の情報の取得が可能とあります。 * ハードウェア情報の収集 * ソフトウェア情報の収集(アプリケーションの追加と削除情報の収集) * 任意設定情報の収集 * プラグイン(外部プログラム)による特定情報の収集 * OS・IE・IIS情報の収集 * レジストリ/INIファイル情報の収集 * SNMPによる情報の収集 * Linux/UNIX/Macintosh情報の収集 このうち、「ソフトウェア情報の収集(アプリケーションの追加と削除情報の収集)」を見ることで、全てではないにしろ、情報を集めることが出来ると思います。 あとは「レジストリ/INIファイル情報の収集」かな? 具体的な方法は私も知りませんので、QND Plusのマニュアルを参照してください。m(__)m > Windows Updateのページだけ直接アクセスという設定はあるのでしょうか? 通常はないと思います。 IEのプロキシ設定内で、Proxyを使用せずに直接アクセスするサイトとして"windowsupdate.microsoft.com" "*.windowsupdate.com" などと設定されていればあり得ますが、まず一般的ではないでしょう。 QNDで、「OS・IE・IIS情報の収集」が出来ますので、Proxy設定情報も見られると思います。そちらでProxy設定を確認してください。
お礼
Toshi0230さん 親切にありがとうございました。 色々と頑張ってみます。
- Toshi0230
- ベストアンサー率51% (836/1635)
補足頂いたIPアドレスを、別の方法 (*) で調べてみたところ、どうもマイクロソフトの持っているIPアドレスのようですね。 (*) nslookupによるPTRレコードの検索と、whoisデータベースの検索。今日は説明し切れませんので、詳しい使い方はネットで検索してくださいm(__)m サーバ名までは検索できなかったのですが、自動更新などのツールか、さもなくばhotmailなどへのアクセスである可能性が考えられます。 ……試しにアクセスしてみたら、Windows Updateのサーバでした。 > ユーザーのPC内部を調査というのは、どのような方法で調査したら良いのでしょうか? これは力仕事になります。 PCの内部に存在する各種実行ファイルや、登録されているサービスを調べて、怪しいものを見つけ出す形になります。 やり方としては、自分の目で見る方法、インベントリ検索ツール(QNDなど、商用ですが多数販売されてます)を使う方法が考えられます。 > 勝手にアクセスしたWebのログ&その際のプロセスを追跡することは可能でしょうか? クライアント・プログラムがログを残している可能性は低いですし、プロセスを追いかけるのも実際にリアルタイムで見てないと厳しい(たぶん、リアルタイムで見ていても難しい)と思います。 Firewallのログなどを見ながら、怪しいプログラムを実行したり止めたりしながらどのプログラムがどこにアクセスしているかを突き止めていきます。 最初に「アクセス先のアドレスを整理しろ」と書いたのは、最後の作業が大変だからなんです。最初にある程度アタリをつけておかないと、ただでさえ大変な作業がよけいに大変になりますので。 がんばってください。
補足
Toshi0230さん、早速のご返答ありがとうございます。 実は、偶然にもToshi0230さんが言う「QND」を使用しています。QND Plusですが。 これで何のインベントリを見れば良いのでしょうか? 主に、クライアントのリモートアクセス用に使用しているだけで、QNDの機能をほとんど活用できていません。 Toshi0230さんの返答を読んで、QNDの機能について少し調べてみたら、色々な機能があることを知りまました。全て使いこなすのは大変ですが、今までは宝の持ち腐れだったので、これを気に少しづつ勉強しようと思います。 ちなみに、207.46.18.94が、WindowsUpdateサイトとのことでしたが、通常Proxy経由なので、今回Firewallでブロックされているのは、直接クライアントからアクセスされてしまって、ブロックされています。Windows Updateのページだけ直接アクセスという設定はあるのでしょうか?
- Toshi0230
- ベストアンサー率51% (836/1635)
アクセスしている先のIPアドレスが判っているわけですから、まずはそのIPアドレスのDNS名を検索してみましょう。 Windows 2000/XP の「コマンドプロンプト」で、 > nslookup <IP Address> と打ってみてください。 以下のような応答が返ってくる場合があります。 ----------------------------------- C:\> nslookup XX.XXX.XXX.X Server: mydns.server.example.ne.jp Address: 192.168.0.1 Name: server.at.somewhere.example.com Address: XX.XXX.XXX.X ----------------------------------- この時表示される"Name"に表示される名前が、IPアドレスに対応するホスト名になります。これを元に1つ1つ調べていくことになるでしょう。 (実際にIPアドレス先にアクセスすることは、PCセキュリティ的に危険を伴う(ウィルスや自分のPCへの攻撃など)場合がありますので十分に御注意下さい) 後は、定期的にFirewallのログをとり、アクセスの傾向を掴むのも良いでしょう。(決まったアドレスを巡回しているのか、全くランダムにあちらこちらにアクセスしているのか) ただ、最終的にはユーザのPC内部を調査しないと、ハッキリしたことは言えないと思います。
補足
Toshi0230さん、返答ありがとうございます。 実は、nslookupで確認してみたのですが、 下記の状態でした。。。 C:\>nslookup 207.46.18.94 Server: *************** Address:***.***.***.*** *** **.**.****.** can't find 207.46.18.94: Non-existent domain ユーザーのPC内部を調査というのは、どのような方法で調査したら良いのでしょうか? 勝手にアクセスしたWebのログ&その際のプロセスを追跡することは可能でしょうか? 何度も申し訳ございませんが、アドバイスがあれば よろしくお願いいたします。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_3_thumbnail_img_sm.png)
お礼
早速の、回答ありがとうございます。 おっしゃる通り、Windowsの自動更新プログラムも、HTTPを使用しているようです。 このプログラムがアクセスしている、IPアドレスは確認できているのですが、 同じPCから、これ以外のアドレスにもアクセスしているようです。(多いPCで20種類位のIPアドレス) PCでどのようなプログラムが動作しているのか、どのような方法で推測できるのでしょうか? PCはユーザーが常時使用しているため、1日中アクセスログ確認は難しいです。 (接続時間もランダムなので)