サーバーが知らない人にログインされています。教えてください。

> 詳しくありがとうございます。そうですか～　DDNSなんでHOST名を変えて登録しなおせば大丈夫な気もすると思うのですが。 甘いですね。 ホスト名が変えられてもIPアドレスが判ればアクセス可能ですし、実行された"430.exe"には、定期的にIPアドレスを「親機」に通知する機能を持っていると考えておくべきでしょう。 それに、昨今のクラッカーは外部からアクセスできるPCを自動的に巡回して、潜り込める環境を探していると聞きます。 現在公開しているPCの設定をきちんと組み直さない限り、また同じことが繰り返されると考えてください。

http://www.wireshark.org/ 標準では、無制限で接続ログを取れます。 ものの本によると、侵入に成功した後、いろいろな仕掛けを作れば、直接くる場合もあるそうです。 http://www.f-secure.com/blacklight/ ルートキットスキャナー ただ、いろいろとされているならば、あなたのセキュリティに欠陥があるということです。 侵入者にとっては、接続ログを見ない人は大好きだそうです。

完全に侵入されていますねぇ…… > この解釈であっていますでしょうか？ 1/3 ほど正解です。 以下の操作が行われています。 (1) ftpで "430.exe" というファイルをサーバからダウンロード サーバも誰かのPCに侵入して作られたものっぽいですね。 (2) 430.exe をPC上で実行 430.exe というのがどのようなプログラムなのかは判りませんが、バックドアだったりircのサーバだったり、どちらにしてもろくなものではないと思います。 > ログインした人間をログなどから発見することはできるのでしょうか。 不可能ではありませんが、痕跡を辿っていく作業が必要になりますのでかなり根気＆知識が必要な作業になると思います。また、ISPに情報を提供してもらう場合も必要になってきますので、個人で最後まで実施するのはきわめて難しいかと思います。 警察に相談するのが良いのではないでしょうか。ただ、実害がないと警察もなかなか動いてくれないみたいですが。（この辺は詳しくないので他の人にも聞いてみてください） 警察に相談する場合、現在のPCは指示があるまでそのままにしておくことが望ましいです。内部に残されたプログラムなどが手がかりになるかもしれません。 また、現在のPCを、そのまま再度ネットに繋ぐのはやめましょう。侵入者に「もう一度入って」というようなものです。 公開方法も再検討した方がよいですね。