- ベストアンサー
「netstat -a」で覚えの無いアドレスが表示されます。
ネット接続中にDosプロンプトより「netstat -a」コマンドを入力すると、たまにその日に一度も訪れていないような覚えの無いアドレスや、自分以外のIPアドレスが表示されて、stateが「ESTABLISHED」となっている時があります。 PCはOSがWindows98で、ダイヤルアップ接続、ウイルスバスター2002を入れて、定義ファイルはマメに更新しています。 セキュリティに関する知識はまだほとんど無く、最近セキュリティ関連のページを読んでいたら「パーソナルファイアウォールではふさげていないポートがある」「「netstat -a」コマンドで接続状況がわかる」というよな記述をみたので試しにやってみた程度なのですが、結果を見てちょっと不安になってきました。 ブラウザでページ更新直後とかではなく、いきなりランダムなタイミングでコマンドを入力してみたりすると、たまーに覚えの無いアドレスで「ESTABLISHED」と表示される時があるのですが、これは不正アクセスの可能性はあるのでしょうか・・・?なお、ファイアーフォールには不正アクセスは検出されておらず、ログにすら残っていません。 知識が足りず、中途半端な情報ですみません。これは心配しなくてもいい状態なのか、何かしら対策を取ったほうが良いのか、お教えください。お願いしますm(_ _)m
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
#2のものです。 すみません。よく読んでなかったですね。 で、既知のトロイの木馬はウイルスバスターが検知すると思うので、スパイウェアのたぐいかもしれませんね。 導入アプリがアップデート情報を探しているとか。 ...ということで補足の自ポートと相手の情報を待ちます。 これだけではあれなんで、^ ^;) #1補足のSYN_SENTとは、TCPコネクションの第一段階のSYN送信状態です。 相手ホストがこれに応答し「SYN,ACK」をだして、ESTABLISHEDになります。 相手ホストがダウンしている等応答に時間がかかる時は、 それまで「SYN_STAT」状態のままになっているということです。
その他の回答 (5)
- gold8
- ベストアンサー率31% (60/191)
ポート 8431 を下記サイトで調べてみたら、マッチするものはありませんでしたので、UNASIGNED(アサインされていない)のポート番号でしたね。 で、そのポート番号は、おそらく 80 番の返しだと思うのですが、そいつの IP アドレスは、1つに固定されてます?それとも、最後の3桁の番号だけ違ってます?
お礼
今回は色々とアドバイスいただき、とても勉強になりました。有難うございました。 まとめてで失礼ですが、お礼とさせていただきます。
補足
調べてくださって有難うございますっm(_ _)m 参考URL、勉強になりそうなので良く見てみます。 netstatで表示されるIPは、まだ数回しか確認取れていないのですが、固定されてはいないようです。よろしくお願い致します。
- apolo13
- ベストアンサー率54% (6/11)
ポートモニターツールは参考URLからダウンロードしてください(NeoMon2.exe)。ダウンロードしたらファイルを実行してインストールをしてください。わからないことは多分ないと思うのですが疑問があればお願いします。このツールで139番ポートのアクセスがあれば共有フォルダアクセス監視ツールで誰からのアクセスか調査できます。 スパイウェアの削除はそれだけでは不十分ですからスパイウェアを削除した上で尚且つ他にアクセスがないか確認する必要があります。
お礼
ポートモニターツール、無事ダウンロード出来ました。有難うございます。英語がわからなくてもなんとか使えそうな感じだったのですが、表示されるポートの内、どちらが自分側のポートでどちらが相手側のポートなのかよくわかりませんでした。お手数おかけして申し訳ありませんが、宜しかったら教えて下さいm(_ _)m あと、表示される内容のうち、大抵は青色で表示されるのですが、一つだけ赤で表示されているのもありました。あの色の違いはどういう意味があるのでしょうか・・・? スパイウェアは、2種類(DoubleClickと、あともう一つは名前忘れてしまったのですが、ネスケやIEが使う(?)ヤツだそうです)検出され、無事削除できました。
- apolo13
- ベストアンサー率54% (6/11)
とりあえずポートモニターツールでどのポートが使われているのかログをとることをお勧めします。その上でスパイウェアの検出や不正アクセスの有無を確かめたほうがよろしいでしょう。代表的なツールを紹介しておきます。 ポートモニターツール: http://www.nycsoftware.com/neomonitor/ 共有フォルダアクセス監視ツール: http://www5a.biglobe.ne.jp/~saru_r/5590/
補足
ツールの情報、有難うございます。ポートモニターツールというのは、使用されているポートの状態等がわかるソフトなのでしょうか? 貼って頂いたページを見たのですが全部英語で、万が一上手くダウンロード&インストールが出来たとしても、ソフトを使えなさそうです(恥ずかしい話ですが、小学生レベルの英語すら読める自信がありません(^^;))。すみません。 「共有フォルダアクセス監視ツール」の方は、多分共有にするサービス自体(マイクロソフトネットワーク?)をインストールしていないので大丈夫・・・だと思うのですが、それでも何か裏で共有されてしまったりする可能性はあるのでしょうか? スパイウェアは駆除用のソフトを入手して削除をしてみようと思うのですが、やはりポートの状態やアクセス等を調べた上で削除した方が良いのでしょうか・・・。 質問ばかりで申し訳ありません。
Destination(Foreign Addressかな)に...ってことでは無いですよね? それなら自分が接続している相手ですが。 違っていたらすみません。
補足
覚えの無いIPやアドレスが表示されているのは、多分「Foreign Address」の個所だったと思います。どこかのセキュリティ関連のホームページ(場所忘れてしまいました。ごめんなさい)で、ここに覚えの無いアドレスが出ていて、ESTABLISHEDとなっていたら気をつけた方がいい、というような記述を読んで心配になったのですが、これは別に普通の事なのでしょうか? あと、ネットに接続してしばらく繋ぎっぱなしにしていると、急にハードディスクのランプがチカチカともってハードにアクセスしているような状態になって、20~30秒たってもずっとアクセスしているので気持ち悪くなってネットの接続を切断するとハードへのアクセスが止まる、という現象が数回あり、それもあって不正アクセスされているのでは?と心配になっています。 どうかよろしくお願い致しますm(_ _)m
- gold8
- ベストアンサー率31% (60/191)
ちなみに不審なポート番号そのものを補足してくれれば回答しやすいんですが。
お礼
お礼欄での補足で申し訳ありませんっm(_ _)m 何度かNetstat -aを実行して表示されたポートを書きます。コマンドを入力するたびに表示されるポートが違うのでこれで全部ではないと思うのですが、とりあえずこの中に危険なポートがあるかどうか、お教え下さい。 【80】【110】【1098】【1100】【1101】【1102】【1224】【1231】 【1233】【1236】【1344】【1462】【1472】【1475】【1476】【1505】 【1626】【1628】【1631】【1838】【1846】【1848】【2013】【8431】 主に8431が表示される事が多いようです。 何かあったら又補足いたします。よろしくお願いします。
補足
回答遅くなり申し訳ありません。家のPCから書き込むのが不安だった会社で、と思ったのですが、結果を書き出した紙を忘れてきてしまいました。 明日、今夜の分の結果と合わせて書き出しますので、よろしくお願い致します。 あと、ポート番号は忘れてしまったのですが、ステータスが「SYN_SENT」となっている時もあったのですが、これはどのような状態なのでしょうか?
補足
「SYN_SENT」の説明、有難うございました。 スパイウェアですか・・・。今のPCを買ってネットに繋いでから5年くらい経つので、何かのソフトをインストールした際に入れてしまったのかもしれません(泣) 「スパイウェア」というものの存在自体、つい最近知ったばかりで、こんなものがあるのかとビックリしています。 ネットで「Ad-aware」というソフトと、それを使ってのスパイウェア駆除の方法を紹介しているページを見つけたので、なんとかチャレンジしてみます。有難うございました。 >補足の自ポートと相手の情報を待ちます。 自ポートは#1の方のお礼欄に書きました。相手の情報というのは、相手側のIPやアドレスの事でしょうか? 相手側のポートに関しては、多分「80」だったと思います。 よろしくお願い致します。