トロイの木馬による不正アクセスについて

NO8での回答の訂正とお詫びです 誤った記事は以下です ------------ Q1 警告はADSLにしてから１回も出ていません なぜでしょう・・・ A1 多分ですよ。攻撃されていないからです -------------------- 正しくは 攻撃を受けたが　自動的に遮断をしたんだとおもいます かつて　Backdoor-g-1のことを書いてるのを読んだとき ログに残ったいう証言がgoogleでもありました そのとき警告のことがやはり　貴方と同じように無かったのでしょう（推測） 書かれていませんでした。 このことは多分シマンテックさんから 詳しい解説があるので　私からは答えることが 出来ないのです　ごめんなさい（答えはしってるのですが 著作権が先方様にあるからです。　体験版の方と区別する理由が背景にもあります） 設定をかえるだけでOKです 明日あたり良いお返事がシマンテックさんから くると思います　安心してください では　おやすみなさい

こんばんは、wakamexさん。 その相手というのはネットで知り合った方ですか？ それとも実社会で身近にいる方なのでしょうか？ 詳しい状況までは分かりませんが、 その様な人とは関わりを絶たれた方がよろしいかと思います。 ＞PCをリストアして 本当にフォーマットした上でのリカバリであれば、 綺麗な状態に戻っているはずです。 マスターブートレコード感染を危惧されている様ですが、 そのタイプのウイルスは感染フロッピーで システムを起動した場合だけ発動するものです。 ネットワーク経由で感染する様な事はないと思います。 今はワームの様に自動拡散するものが主流でシステム感染型は絶滅寸前です。 ディスクを初期化しても消えないという点では非常に凶悪と言えますが...。 一応、駆除方法のリンクを貼っておきますが多分杞憂のレベルだと思います。 http://www.ipa.go.jp/security/y2k/virus/cdrom/basic/basic_f.html ＞（Updateし終わるまでの何分間かに見つかってやられる、というようなことがありますか。） まず無いと思います。 wakamexさんの行動を四六時中監視出来るほど相手の人も暇ではないでしょう。 ＞その人のHPに行ったからですか。 そのHPに行くのはもう止めた方がいいと思います。 アクセス解析をしていれば訪問者のIPアドレスを知るぐらいは出来ます。 もちろん、IPアドレスを知ったところで、 アップデートとセキュリティソフト導入をしていれば 通常問題とはなりませんが、あまり気分は良くありませんからね。 気になる様でしたらモデムの電源を暫く抜いておけば、 プロバイダから別のIPが割り当てられると思います。 ＞今後ブロードバンドルーターを付ければ見つからなくなるのでしょうか。 ルータを導入すればセキュリティは確実に向上します。 最近では5000円前後の製品でも、 SPI（ステートフルパケットインスペクション）という 従来よりも高度なフィルタ機能を搭載したものが多いので、 購入時の１つの目安にされると良いかもしれません。 個人的にはコレガの製品などが手頃で良さそうに感じます。 あと、価格.comの評価も参考にして下さいね。 http://www.kakaku.com/sku/pricemenu/router.htm それでは頑張って下さいね！！(^_^)

Q1 警告はADSLにしてから１回も出ていません なぜでしょう・・・ A1 多分ですよ。攻撃されていないからです。 私はADSLで直接モデムにつないだ体験ありませんので よくわかりません　ごめんなさい ISDNのときには頻繁に警告を受け遮断報告を受けました しかしながら　無いときは全然警告も出ませんでした （上はNISデフォルト状態　TAと接続） NO7の補足をよんでいない現段階では　お話を聞いた限りでは　[かつてセキュリテイに甘く技術的に自信がなく　心に傷を受け　今でも攻撃をされていると錯覚をし　誤解しておられた。　つまりトロイの木馬に現在は感染をしていない]といって良いと 思います。 しかしながら私の現段階の乏しい＾＾；セキュリテイ知識ゆえ参考程度に 聞いてくださいね☆

*Q1 HPのまだアップしていないページの内容などを知られているんです *A1 もしかしたら旧トリポッドでHP作成をしてませんか？ ここでは　トップぺ－ジをindex.htmlにしておかないと 丸見えでアップしていないと思っているファイルも 全部丸見えです 外れていたら自爆です　聞き流してください *Q2　私が行ったサイトも分かるようです *A2　貴方がひとつ前に見たサイトがわかるのは 可能です　トロイの木馬など利用しなくてもカウンタ-が ついているHPならわかると思います。しかし　それを送らないようにするのも 可能です 参照元（リファラ）とシマンテックでは　いってるのですが　以下はシマンテックで参照元を送るの操作を 書いていますが　その逆の操作をすれば良いのです http://service1.symantec.com/SUPPORT/INTER/nisjapanesekb.nsf/jp_docid/20021020160209947 NO3の補足を私が拝読した限りでは　トロイの木馬に感染していない感じです 他の識者がご意見を述べられたら　そちらの方に耳を傾けてください　汗

あまり詳しくはないのですが。 スタ－ト→プログラム→MS-DOSプロンプト→netstat と打ってみてください ESTABLISHとなっている項目にポ－ト番号1243 がありますか？確認してみてください それをみたあと元に戻すため exitと入力して終了してみて下さい 実際わけもわからないままですと疑っておられる先方様にも 大変ご迷惑にあたりますし　また貴方自身がますます 不幸な気分になると思います ル－タを入れておられない場合警告はしょっちゅう ポ－トスキャンをされたら出ると思います。実際 私もル－タを入れてない時期で常時接続の時 頻繁に出ていました。その都度 NPFWで制限サイトに追加をしていました。 ご承知のように正しくル－タを設定していたら警告など出ません。 あとBIOS初期化はCとDをクリ－ンにされたとき されていたのでしょうか？

それは外部からやってきたパケットではないでしょうか。 あなたのPCにバックドアが仕掛けられているのではなく、仕掛けられているPCを無差別に探す行為で、たまたまあなたのPCがターゲットになったものだと思われます。 インターネットに接続していればよくあることですよ。 気にする必要ありません。

追加です NISのバ－ジョンがわかりませんがNIS2003として調べました http://www.symantec.com/region/jp/techsupp/nis/nis_2003_search_other.html *特定の攻撃元遮断の方法が以下に載ってます http://service1.symantec.com/SUPPORT/INTER/nisjapanesekb.nsf/3c0446b8d7bec4b385256c470047c0ed/33a2d819a189238749256cda000c0d35?OpenDocument&prev=http%3A//search.symantec.com/custom/jp/techsupp/kb/query.html%3F*col=kb%20us*st=1*nh=10*qp=url%3A/nisjapanesekb.nsf/3c0446b8d7bec4b385256c470047c0ed%20url%3A/INTER/japanesecustserv.nsf%20url%3A/INTER/sharedtechjapanesekb.nsf%20url%3A*qt=%93%C1%92%E8%82%CCIP%82%F0%8E%D5%92f*miniver=nis_2003*pcode=nis*la=ja<>&sone=nis_2003_tasks.html&stg=3&prod=Norton%20Internet%20Security&ver=2003%206.x%20for%20Windows%202000/Me/98/XP&base=http%3A//www.symantec.com/region/jp/techsupp/&next=nis/nis_2003_contact_tscs_other.html&tpre=jp&src=jp_sg&pcode=nis 長いですがURLをコピ－アンドぺ－ストして ご覧ください *シマンテックへお問い合わせ　 注　メ－ルが一番早く丁寧です　設定や技術で戸惑った場合 無料で教えてくださいます　FAX　お電話はつながりにくいです http://www.symantec.com/region/jp/techsupp/nis/nis_2003_contact_tscs_other.html バ－ジョンが違う場合上の方で製品変更してみてください *ハイテク警察をご存知ですか？最寄のハイテク警察に連絡をいれて　貴方がおっしゃっているHPと攻撃元IPが一致しているのかどうかわかりませんが 警察からそのHP管理者にそれなりに　助言を出してくださるかもしれません 悪意があるのか　それとも全く感染したことを知らずにHPを作っておられるかもしれません。 （ちなみにここでは　その問題のHPをリンクしないでください 名誉毀損になりかねません。） ハイテク窓口一覧表は以下です http://www.npa.go.jp/hightech/soudan/hitech-sodan.htm *その攻撃元IPの詳細をしらべるのは 以下のURLに数字をいれてみてください http://www.mse.co.jp/ip_domain/ *あときちんとOSがリカバリ-されていなかったのではないかなあと推測を私もしてます OSが98SEですと完全に綺麗にするには　最終手段　FDISKというのがあります これだとCだけでなくDも全て工場出荷状態に戻ります FDISKの方法はPCメ－カ-のHPを閲覧してください おつかれのところ　長い文章になりごめんなさい お暇なとき、実行を検討されたらよいと思います またわからないときは　お礼の項目に書いてくだされば 私なり　また　他の識者さんが読んで下さり お手伝い出来る範囲でアドバイスをしてくださると思います ご参考まで　

ご無沙汰してます　気になりますね NO2様の回答をみての私の感想をのべてみたいと思います デフォルト状態でウイルス定義を最新にしてスキャン結果0でしたよね？　検証をしてみたいと思います まずNISを開いてみてください オプション→NAV→[ウイルスが見つかったときの応答の仕方]に　[自動的に感染ファイルを修復する]に　チェックが 入っているか確認（デフォルトではこのように設定になっています） またNISを開いてみてください NAVのところをクリックして　レポ－トをクリック。 検疫項目→レポ－トを表示→ここにウイルス名が あればメモしておいてください　→項目の提出を して　シマンテックにおくります このとき提出をしなくて良いとはじかれたら（すでに認識しているもので あればはじかれますが　ファイルの名前からみて はっきりトロイの木馬と分からない場合　チェックを変えて、[今日送る]に　設定を変えてください） すると自動返信がシマンテックからきます なぜ上記をいったかと申しますと　シマンテックではまだBackdoor-Gに関するものが はっきりわかっておらず　変種が１度だけ報告となっているからです。 ファイア－ウオ－ルの設定はNO2様の良回答を 参考にしてください しかし　現段階で特定の人に攻撃をされているという 根拠がまだありません 警告が出て同じIPからの攻撃だからでしょうか？ それならば　そのIPをNPFWで遮断を今後していけばよいです　設定方法はシマンテックさんのHPで 簡単に説明してくださってます ノ－トンナレッジべ－スをご利用してみてください http://www.symantec.com/region/jp/techsupp/knowledge_base.html

BackDoor.Gの詳細はコチラ。 http://www.symantec.com/region/jp/sarcj/data/b/backdoor.g.html ＞ログの見方がよくわからないのですが、そこから送信されているみたいです。 リモートIPアドレス欄に書いてあるIPアドレスまたはホスト名が接続先の情報です。 ログの日時と共にメモしておきましょう。 ＞フィルタリングってどうやればいいのでしょうか？ ノートンインターネットセキュリティ(NIS)がデフォルトで遮断してくれるはずなのですが・・・ セキュリティ関係の設定を無効にしていませんか？ NISのダイアログを開き、セキュリティ、ファイアウォール、侵入検知、Norton AntiVirusが全て「オン」になっていることを確認してください。「オフ」になっていたら「オン」にしてください。 セキュリティとファイアウォールがオンにも関わらず通信が止まない場合、設定を確認します。 1.「ファイアウォール」を選択し、ダイアログ右端の「設定」をクリックします。 2.新しいダイアログが開きます。拡張タブを選択し、「トロイの木馬ルール」をクリックします。 ルールの中に「Backdoor/SubSeven トロイの木馬のデフォルト遮断」というルールがあり、チェックが入っていることを確認してください。チェックが入っていない場合は入れてください。 「Backdoor/SubSeven トロイの木馬のデフォルト遮断」ルールがない場合はルールを追加します。 あるにも関わらず通信が止まない場合、ルールを修正します。 [追加] 　1.「ファイアウォール」を選択し、ダイアログ右端の「設定」をクリックします。 　2.新しいダイアログが開きます。拡張タブを選択し、「トロイの木馬ルール」をクリックします。 　3.「追加」を押し、ルールを作ります。 　　(1)遮断　→(2)他のコンピュータからの接続　→(3)任意のコンピュータ　→ 　　(4)プロトコル：TCP　ポート：下のリストにある通信またはポート　「追加」 　　(5)新しいダイアログが開きます。 　　　(5-1)フィルタ：個別に指定するポート 　　　(5-2)場所：ローカル 　　　(5-3)１つ以上のポート番号を・・・：1243 6711 6776 　　(6)接続がルールに一致したら・・・ 　　　「1」回以上イベントが起きた後でログのみに記録する 　　　「レ」イベントログを作成します 　　　「レ」セキュリティモニタメッセージで通知する 　　　「レ」セキュリティ警告で通知する 　　(7)適当な名前（例：「BackDoor.G トロイの木馬の遮断」） 　　　カテゴリ：一般 [修正] 　1.「ファイアウォール」を選択し、ダイアログ右端の「設定」をクリックします。 　2.新しいダイアログが開きます。拡張タブを選択し、「トロイの木馬ルール」をクリックします。 　3.「Backdoor/SubSeven トロイの木馬のデフォルト遮断」ルールを選択し、「修正」で修正します。 　　(1)通信タブを選択し、上記[追加]の(5)と同じ設定を追加します。 ---------------------------------------------------------------------------------------- ＞PCをリストア 「PCをリストア」とは具体的にどんな作業を行ったのでしょう。 HDDを初期化してリカバリしたのですか？ 単にOSを上書きインストールしただけではトロイが残ったままだったのかもしれません。 ＞～なぜまた見つかってしまったのでしょうか。 ＞その人のHPに行ったからですか。 リカバリせず、駆除もしていないなら、最初に侵入されたものが残っているのではないでしょうか。 リカバリした、駆除をしたとなると、感染経路についてはsymantecのサイトにも情報がないため分かりません。 ＞今後ブロードバンドルーターを付ければ見つからなくなるのでしょうか。 ルータが不要なポートを遮断してくれるので通信は止まるでしょう。 しかしきちんと駆除しない限りPC内に飼いつづけることになります。

>ローカルサービスポートとリモートサービスポートの所にBackdoor-g-1がありました。 >ポート番号は1243です。 トロイの木馬の可能性が大ですね。 でも、それをブロックしたということではないのでしょうか・ http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap1/trojan.html >フィルタリングってどうやればいいのでしょうか？ こちらは参考になりませんか？　 （「トロイの木馬ルール」のせっていがありませんか） http://www.geocities.jp/bruce_teller/npf/npf2003/expert.htm >最新のものにしているのになぜまた見つかってしまったのでしょうか 感染経路はいろいろありますから．．．　完全に防ぐのは難しいですね。