▲このページのトップに戻る| 422077 | 不正侵入について | ひよこ2世 | 2007/09/16-13:42 |
メーカー名:DELL デル OS名:WindowsXp HomeEdition パソコン名:ディメンション9150 トラブル現象:インターネット全般その他 不正侵入 ソフト関連:表計算Excel 使用回線:光 -- 以前ADSLモデムにハブで98、98SE、XPHEを使用していました。 二年ほど前、ある掲示板で、ある方達と知り合いまして、HPの作り方など親切に教えて頂いたり 作ってあげるからなどと言われ、PWやメールPWなど迂闊にも教えてしまいました。 今、考えますとその頃から不正侵入を受けていたと思うのですが、数ヶ月前に掲示板に 私のブックマークなどが判っているような記述や個人的な情報 (保存してある画像の内容や、DVDドライブで見た内容などが書かれ始めました) 最終的には、XPマシンのスタート画面に使用していないアプリケーションが次々に 現れたり、掲示板に全部終了したなどのコメントが書かれた時点で不正侵入されているのでは? と思い、プロバイダーを変えたり、私なりに調べて設定など変えたりしました。 オフラインでクリーンセットアップをして、設定変更や市販のセキュリティソフト(FW付) なども導入しているのですが、やはり急に インターネット共有接続などが設定していないのに立ち上がってしまったり、 Windowsファイアウォールの例外設定に WindowsXP用ネットワーク診断ツール がプログラムの追加をしていないのに増えていたり リムーバブルディスクが使えなくなったりしてしまいます。 こちらのHPを知りhttp://winxp.pasokoma.jp/4_lg28753.htmlさんの症状ににていると思いまして 質問させて頂きました。 設定などは上記のひよこさんレスに書いてある内容等は試してあります。 ですがプロバイダpwやメールpwなどをテキストに保存してありましたので 内容などは漏洩している可能性があると思います。 パソコン歴は10年程なのですが、セキュリティには気を使わずに使用してきたため、 最初はユーザーアカウントなどは使用していませんでした。 現在はユーザーアカウント、アドミニストレーター、等は設定しています。 私なりに管理ツールから、イベントビュアー、セキュリティなどを見ているのですが ユーザーにANONYMOUS LOGONなどがあり SYSTEM NETWORKSERVICE LOCAL SERVICE などのログを見ますと特権の使用うやポリシーの変更などで腑に落ちない (素人ですのであって当然のものも、そう見えるのかもしれませんが・・・) 現在はルーターにXPホームのみ接続 ネットワーク設定はいじっていません。 ポリシー元:ローカルポリシー 使用されたプロファイル:標準 インターフェイス:すべてのインターフェイス 名前:リモートデスクトップ ポート番号:xxxx などのログや (リモート系はチェックをはずしてあるのですが・・・) ローカルセキュリティ期間によって、認証パッケージが読み込まれました この認証パッケージはログオンを認証するために使います。 認証パッケージ名 C:\WINDOWS\system32\LSASRV.dll:Negotiate 同上 \kerberos.dll:Kerberos など多数 Documents and Settings ユーザー名の内容をネットワークに送信する windowsファイアウォール開始時にリモートデスクトップのポートが例外として一覧表示されました などのログがでてきます。 このような症状は不正侵入と考えて良いのでしょうか? よろしくお願いします。 | |||
| 422086 | Re:不正侵入について | ひよこ | 2007/09/16-14:19 |
記事番号422077へのコメント 引用先のひよこさんとは別人のひよこです(^^; 症状からして、入られている可能性が大きいと思います。 >Documents and Settings ユーザー名の内容をネットワークに送信する 自分で送信していなければまずこういうことはないでしょう。 プロバイダを変更したとき、パスワード、メールアドレスも変更して、それをPCに保存しており、クリーンインストールしたあとも、こういったことが起きているということですよね? クリーンインストール後、データ類はどうしました? これらにマルウェアが仕込まれていた場合、普通にデータを戻してしまえば、いくらクリーンインストールしても無駄ですから。 それと、ひとつ気になるのが、P2Pソフト(ShareとかWinnyとか)を使用していないですね?ということです。 これらを使っている場合、セキュリティソフトを使おうとルーターをかませようと、何が起きてもおかしくないですから、この場合はこちらでは一切レスがつきませんよ。その辺はいかがですか?この点をまずクリアにしてくださいね。 | |||
| 422100 | Re:不正侵入について | ひよこ2世 | 2007/09/16-15:37 |
記事番号422086へのコメント ひよこさんは No.422086「Re:不正侵入について」で書きました。 はじめまして! 元祖ひよこさんでしょうか?^^: 勝手にお名前をお借りして申し訳ありませんでした。 >プロバイダを変更したとき、パスワード、メールアドレスも変更して、それをPCに保存しており、クリーンインストールしたあとも、こういったことが起きているということですよね? >クリーンインストール後、データ類はどうしました? クリーンインストール後に新しいpw類をデスクトップに置いておきました。 以前のデータはCDに保存して置いたものをコピーしました 一応ウイルススキャンはしたのですがマルウエアは無いと思うのですが・・・ >それと、ひとつ気になるのが、P2Pソフト(ShareとかWinnyとか)を使用していないですね?ということです。 P2Pは使った事はありません。 でも、例の知り合いのチャットや作って頂いたHP、掲示板は見ていますので、そこでIPが 抜かれた可能性はあると思います。 または、定期的にDLするデータがあるのですが・・・ 一応、IPがどんなものか知りたくてIP確認ページなども訪れました。 何度かクリーンインストールを繰返しているのですが、やはりインストール後1日目程で 同じような症状がでてしまいます。 セキュリティ初心者なので、よく判らないのですが グローバルIPアドレスはルーターを 切断して再接続すると変わるのはわかるのですが、パーソナルIP(ルーターで割り振られるもの?) は変わらないのでしょうか? 調べるといつも同じなので、これが知られているとすると勝手にネットワークとかを組まれてしまうのでしょうか? 私なりに想像すると、なにかネットワークに組み込まれてしまっているように感じるのですが・・・ 以前の侵入の時は(98、SE、XPでADSLモデムからハブで繋いでいた時)、ネットワークは 作っていなかったのですが、警察の方に来て頂いた時、 ハブで繋いであるのでネットワークは構築になっていると言われました。 98のセキュリティホールからの侵入だと言われました。 その時は、わたしもメダパニ状態でしたので、どんな状態だったか説明してくださいと 言われても、なにがなにやら全然判らずうまく説明できませんでした。 その時、XPのログに変な部分があるから、次に変だなと思ったときはログを保存したり 画面を保存しておくように言われました。 ひとつ教えていただきたいのですが、家庭内ランとかを組んでおくと侵入を防げるのでしょうか? と、言いますか、私のXPにエクスプロラで見ると下のほうにマイネットワークと言うのは あるのですが、スタートから開くとマイコンピュータとかマイドキュメントはあるのですが マイネットワークがありません。 また、コントロールパネルからシステムでコンピュータ名のところの変更で 以前はコンピュータ名とワークグループ名は変更出来たのですが、 今はワークグループネイムは薄くなっていて、変更できなくなっています。 以前も相手側のネットワークにこちらのコンピュータが登録されていたように感じるのですが・・・ ネットワークとかランと言う物に疎いのであまり良く理解できていませんので もし見当違いなら、お許しください。 一応、ネットワークとかランと言うのを勉強してみようと思いますので 申し訳ありませんが どこか初心者にもわかるHPなど教えて頂ければ幸いです。 今、考えると多分、98が踏み台(言葉は知っていますがどういうものかは判りませんが) になって、他の方にもご迷惑をお掛けしていた可能性も考えられます。 ブログなどで訪問させて頂いていた方達も侵入をされていたようなのです。 わたしのセキュリティに対する意識の低さが他の方達にも迷惑をかけていたと考えると 居た堪れない気持ちです。 また、わたしのデータ類なども流出しているとすれば、嫌な気持ちです。 警察の方にはそれが証拠になるので、見つかったら連絡してくださいと言われました。 | |||
| 422161 | Re:不正侵入について | ひよこ | 2007/09/16-23:27 |
記事番号422100へのコメント クリーンインストールの手順は覚えています? PC内部のデータを全てフォーマットして、OSからドライバから入れなおしてますか? あと、その、以前パスワード等を教えた方やその関係者ががひよこ2世さんの家に入ったことはないですね? あと、使っているセキュリティソフトの名前とバージョンは? セキュリティソフトが入っていても、古いソフトだと更新期限が切れていて意味がないとか、物によっては、情報を盗み出すタイプのスパイウェアに対応していなくて、全然検出しないケースもあります。 セキュリティソフトを騙ったスパイウェアソフトなんていうものもありますし。 症状から見ますと、バックドアやらキーロガーやらRATやら、すごくキケンなものが大量に仕込まれている感じがするんですが・・・。 スパイウェアについては http://www.ahkun.jp/researchcenter/about_malware.html こちらの一覧がわかりやすいかと。 マイネットワークに関しては、複数台の自分のPCでファイルとかプリンタとかを共有しないなら不要ですが、表示されないのは明らかにおかしいです。 外部のハッカーの方から設定されちゃっているのではないかしら。 ネットワークについては、それをキーワードにGoogleで検索し、チュートリアルのあるようなサイトさんを順に見て回れば、ご自分に合ったところがあると思いますよ。 ちなみに心配されているIPからは、たいしたことはわかりません。 サイトオーナーなら解析ソフトを設置していれば、来た人のIPはわかります。 せいぜい使用しているプロバイダとか、ブラウザ、接続している県や最寄のプロバイダのサーバの設置してある市がわかる程度です。 ただし固定IPだと、特定されてしまいますけれど、これはサーバなどに使う場合などに、特に申し出て設定してもらうことが多いと思います。 それよりもひよこ2世さんのPCが相手のPCに情報が筒抜けになるようなマルウェアを仕込まれてしまっている可能性のほうが高いと思います。 こういうケースは、「Higaitaisaku.com」さん(http://www.higaitaisaku.com/)に専門知識のある方々が多数いらっしゃいますので、こちらで紹介されたことをきちんと申し上げて、改めて質問されたら良いと思います。 今までの経過と、私が前回と今回した質問の答え、それと、問題のサイトさんからダウンロードしているもの。これについてもおそらく聞かれますからきちんと書いてくださいね。 (マルチポストは許可されていませんので、こちらと平行しないよう、こちらは閉めてください) http://www.higaitaisaku.com/hijackthis.html まず、こちらをお読みになり、Hijackthisのログを取得された上で、あちらの規約にのっとってご質問なさってください。 早く解決すると良いですね。 | |||
| 422220 | Re:不正侵入について | hime | 2007/09/17-10:51 |
記事番号422161へのコメント ひよこさんは No.422161「Re:不正侵入について」で書きました。 ハブ接続と有るのでルータは使っているらしいですが、ルータのセキュリティ設定はどうなっているのかな? | |||
| 422227 | Re:不正侵入について | ひよこ2世 | 2007/09/17-11:47 |
記事番号422220へのコメント himeさんは No.422220「Re:不正侵入について」で書きました。 こんにちわhimeさん >ハブ接続と有るのでルータは使っているらしいですが、ルータのセキュリティ設定はどうなっているのかな? 私もひよこさんに書いて頂いた事などを参考に検索ページを調べながら書いているような状態ですので、 スキル的にはネットができて、CDRが書き込める程度の普通のPCユーザーレベルですので、 ルーターのセキュリティ設定を変えることができるなら調べてみたいと思います。 最初の設定はプロバイダーの方にして頂いたので、設定方法がわからない状態なのですが・・・ 最初に頂いたプロバイダ資料を見て調べてみます。 もし、お時間が許すようであれば、ルーターのセキュリティ設定方法を教えて頂けたらうれしいのですが プロバイダーによって、それぞれ違うと思いますので調べてみます。 | |||
| 422223 | Re:不正侵入について | ひよこ2世 | 2007/09/17-11:03 |
記事番号422161へのコメント ひよこさんは No.422161「Re:不正侵入について」で書きました。 ひよこ様、本当にありがとうございます。 パソコンを楽しんで使用している人に、悪意を持って攻撃をする方達もいれば ひよこさん達のように好意的に教えてくださる方もいると思うとなぜか感激してしまいました。 今、ログやプリントをCDRに保存して、再インストしていました。 >クリーンインストールの手順は覚えています? 全部のパーティションをフォーマットせず、リカバリーディスクでパーティションを切り直して OSをインストールしていました。 (OSがインストールされるパーティションは、インストール前にフォーマットします) >以前パスワード等を教えた方やその関係者ががひよこ2世さんの家に入ったことはないですね? ありません。 >使っているセキュリティソフトの名前とバージョンは? ノートン360です。 期限は切れていません。 >症状から見ますと、バックドアやらキーロガーやらRATやら、 すごくキケンなものが大量に仕込まれている感じがするんですが・・・。 わたしもクリンインストールしているつもりなので、なぜ同じ症状が現れるのか 不思議です。 でも、2ヶ月間に及ぶ悪意を持ったクラッカーさん達との戦いで、少し度胸が付いてしまいまして 問題が解決するまでは大切なデータは入れない様にしていますので 『入るなら入ってよいよ、 こっちもログなり証拠なり取れれば後で酷い事になるのは そっちなんだから』 くらいの気持ちで臨んでいますので、最初の頃のメダパニ状態は解けました(微笑み 前ひよこさんのやまふみさんのサービスの停止の記載についてなのですが Telnetと RemoteRegidtryが わたしのサービスには見当たりません、 XPSP2には、上記のサービスはないのでしょうか? それと再インスト直後の状態で(ネットにも繋いでいない状態です) Remote ProcedureCall(RPC) と Remote ProcedureCall(RPC) LocatorをWクリックすると タグ画面が出て、ログオンタグを開くと アカウントにチェックが入っていて アカウント NT AUTHORITY\NetworkService パスワード *************** PW再入力 *************** と、パスワード設定してあるのを発見しました。 PW文字数は15文字で、ユーザーIDやアドミニストレーター設定もまだの状態なのに なぜPWがはいっているのか不思議です。 もし、これがクラッカーによるものなら、再インストール時にブート領域などは以前のまま 書き換えないようなワームなのでしょうか? BIOSはあまりわからないのですが、マザーボードやCPUなどに書き込まれているなどという 事もありえるのでしょうか? どちらにしても、以前ならセキュリティに関して無関心のままパソコンを使い続けていたでしょうから そう言う意味では、悪意を持ったクラック君には感謝です(笑 今までの感触では リモート関係が怪しいのでは? と思っています。 >ただし固定IPだと、特定されてしまいますけれど・・・ グローバルIPは接続の時に変わっていると思います。 もう少し、私なりに調べて見て、ひよこさんがご紹介くださいましたサイトに行ってみようと 思いますので、もう少しひよこさんにお付き合いをお願いできたら、うれしいのですが・・・ >問題のサイトさんからダウンロードしているもの これは普通の会社さんからのデータをDLしているので、問題はないと思うのですが ご紹介頂いたサイトの方に聞かれたらきちんとお話できると思います。 PS 今、調べていたらWebClient のログオンにも同じアカウント PWがありました。 実行ファイルのパスは WINDOWS\system32\svchost.exe -k LocalService です。 なぜかこの辺が怪しいような気がしますので、調べて見ます。 ひよこさんには本当に感謝の気持ちで一杯です。 ありがとうございます。 でも、もしこの辺の事が問題点だとした場合、 クリーンインストールしても問題が解決できないときは このPCは もう使えなくなってしまうのでしょうか? ブート領域やマザーボード上に入り込むマルウェアというのはあるのでしょうか? そうだとすると、かなり悪質な感じがするので わたしも犯人を突き止めたい気持ちです。 | |||
| 422226 | Re:モバイル投稿 | ぶんぶん | 2007/09/17-11:37 |
記事番号422223へのコメント 携帯からなので短めに。 パソコンの問題ばかりきにされていますが ルータとか導入されていますか パソコンもそうですがルータのパスワードとか変更してますか ルータがあるならそれも初期化して パスワードもこれまでと何も関係ないパスワードを付けてください 家に帰ったらもう一度記事を読んでみますが | |||
| 422232 | Re:モバイル投稿 | ひよこ2世 | 2007/09/17-12:37 |
記事番号422226へのコメント ぶんぶんさんは No.422226「Re:モバイル投稿」で書きました。 こんにちわ ぶんぶんさん himeさんからもルーターについてご指摘がありましたので ルーター設定について、今から調べて見ます。 ルーターについてなにか注意点などありましたら、ご意見頂けたらうれしいのですが どのあたりを注意して設定したら良いでしょうか? よろしくお願いします。 | |||
| 422244 | Re:不正侵入について | ひよこ | 2007/09/17-13:52 |
記事番号422223へのコメント 私自身もハンドルどおりの、ひよっこだと思ってますが(^^; ルーターの設定ですが、 http://sakaguch.com/LinkRouter.html 機種ごとにリンクされていますのでわかりやすいかと。 ただ、クラックツールがインストールされていると、あんまり意味がないかも。自分のPC側から開けちゃうでしょうからね。 >全部のパーティションをフォーマットせず、リカバリーディスクでパーティションを切り直して>OSをインストールしていました。 全てフォーマットをかけたほうが良いです。仕掛けられる箇所はCドライブだけとは限りません。ましてやクラックされていたとしたら・・。 普通のマルウェアでも、ものによってはつないであるUSB機器にも感染するものもあります。外付けHDDやカード類、USBメモリなどです。こちらのスキャンも必要でしょう。 マザーやCPUにマルウェアが入ることはないですが、ブート領域やメモリに入るタイプはあります。ただし、これに感染した場合は正常動作しなくなる可能性が高いです。こういったPCをクラッシュさせる型はあまり流行っていません。情報を盗むタイプがメインですね。だからといって大丈夫とはいえませんが。 また、すでにいろいろ感染した状態でリカバリーディスクを作成あるいはハードディスクリカバリの場合、そちらに仕込まれている可能性はありです。この場合はセキュリティソフトがインストールできなくなったり、すでに入っているマルウェアを検出できないように隠れたり出来ますから・・・。 メーカの添付品や正規のOSなら問題ないですが。この場合は、メーカーから改めてリカバリーCDを購入すると良いです。 単純な感染ではなくて、もしもクラッカーによって何かされていたとすると、ウイルススキャン、Rootkit検出ソフト等を使用しても検出できないRootkitを仕掛けられている可能性も懸念されます。 データ類で当該PCに戻すもののアーカイブ、exeやzip等で保存してある、OSのあとインストールすべきツール類などのスキャンを行ないます。これはすでにインストールしている手持ちのものではなく、オンラインスキャンが良いでしょう。 RPC等の件は私はHomeでないのでちょっとわからないです。 手順として、いまやってみられるものとしては、全てフォーマット>OSインストール>セキュリティソフト導入。 ウィンドウズ並びにセキュリティソフトのアップデートをして、そのあと、 http://www.just-kaspersky.jp/products/try/onlscan.html http://www.f-secure.co.jp/v-descs/disinfestation.html こちらなどでフルスキャンを。 スパイウェアは別途、SpybotやAD-Awareなどで検索します。 ただ、クラッカーにRootkitなどを仕掛けられている可能性が非常に懸念されますし、非常に悪質で検索しても引っかからないもの、通常の手順では削除できないものなど多数ありますので、そういった専門家のかたが多数おいでのHigaitaisaku.comさんをご紹介したのです。おそらくそちらの方がより適切に、より早く解決できると思います。 以下は、ちょっと厳しい意見になってしまいますが・・・・・・。 犯人突き止めは、警察でもないと無理でしょう。ましてやもしもクラッカーだとしたら、相手のスキルは相当高いでしょうし。手の上で踊らされるのがオチでしょう。 今回は個人のものですし、セキュリティ意識が薄かったところへ漬け込まれたわけですから、警察にもそこまで動いてもらうのは難しいでしょうね。 むしろ、今回のことを教訓として、気をつけられるのがいいと思います。 | |||
| 422267 | Re:不正侵入について | ひよこ2世 | 2007/09/17-16:27 |
記事番号422244へのコメント ひよこさんは No.422244「Re:不正侵入について」で書きました。 ひよこさん 何度もお手数をお掛けしてありがとうございました。 他の方々からも、貴重なアドバイスを頂き、ありがとうございました。 私もセキュリティ関係のサイトを調べて 当てはまる症状を考えますと ひよこさんのおっしゃる RAT キーロガー Rootkitなどが 入り込んでいると思います 一応、警察のサイバー課には通報済のため、色々とご指導は受けまして、データ等は保存して提出しています。 実際問題としては、私個人で突き止めると言う事は無理だと思いますし、クラック君のスキルも高いと思っています。 また、通常は不特定多数の中から犯人を探し当てると言う事になると相当の困難が予想されますが、 今回の場合侵入されていると言う事実のみが証明されれば、犯人特定の可能性は かなり高いと考えています。 >むしろ、今回のことを教訓として、気をつけられるのがいいと思います。 本当に今回の事でセキュリティに対する意識改革が出来たことは、良い教訓だと思いました。 本当にありがとうございました。 私自身がなんの知識も無く、レベルの高い方々のサイトに行っても、質問された事に答えられなければ 問題解決にならないと思い、セキュリティ知識を持ってからと思っていましたが 質問された事に答えられるように少しなったかな?と思いますので ひよこさんにご紹介頂いたHigaitaisaku.comさんにご相談に行ってみようと思います。 他の方々にもお世話になりありがとうございました。 こちらでの質問は終了させて頂きます。 サイト様にもお世話になり、ありがとうございました。 また、なにかありましたら、よろしくお願いします。 | |||
◇-?不正侵入について-ひよこ2世-09/16-13:42(158)-No.422077 ┗?!Re:不正侵入について...-ひよこ-09/16-14:19(157)-No.422086 ┗?!!Re:不正侵入について...-ひよこ2世-09/16-15:37(156)-No.422100 ┗?!!!Re:不正侵入について...-ひよこ-09/16-23:27(148)-No.422161 ┣?!!!!Re:不正侵入について...-hime-09/17-10:51(137)-No.422220 ┃ ┗?!!!!!Re:不正侵入について...-ひよこ2世-09/17-11:47(136)-No.422227 ┗?!!!-Re:不正侵入について...-ひよこ2世-09/17-11:03(137)-No.422223 ┣?!!!-!Re:モバイル投稿...-ぶんぶん-09/17-11:37(136)-No.422226 ┃ ┗?!!!-!!Re:モバイル投稿...-ひよこ2世-09/17-12:37(135)-No.422232 ┗?!!!-!Re:不正侵入について...-ひよこ-09/17-13:52(134)-No.422244 ┗?!!!-!【ありがとう】Re:不正侵入...-ひよこ2世-09/17-16:27(131)-No.422267
| 422077 | 不正侵入について | ひよこ2世 | 2007/09/16-13:42 |
メーカー名:DELL デル OS名:WindowsXp HomeEdition パソコン名:ディメンション9150 トラブル現象:インターネット全般その他 不正侵入 ソフト関連:表計算Excel 使用回線:光 -- 以前ADSLモデムにハブで98、98SE、XPHEを使用していました。 二年ほど前、ある掲示板で、ある方達と知り合いまして、HPの作り方など親切に教えて頂いたり 作ってあげるからなどと言われ、PWやメールPWなど迂闊にも教えてしまいました。 今、考えますとその頃から不正侵入を受けていたと思うのですが、数ヶ月前に掲示板に 私のブックマークなどが判っているような記述や個人的な情報 (保存してある画像の内容や、DVDドライブで見た内容などが書かれ始めました) 最終的には、XPマシンのスタート画面に使用していないアプリケーションが次々に 現れたり、掲示板に全部終了したなどのコメントが書かれた時点で不正侵入されているのでは? と思い、プロバイダーを変えたり、私なりに調べて設定など変えたりしました。 オフラインでクリーンセットアップをして、設定変更や市販のセキュリティソフト(FW付) なども導入しているのですが、やはり急に インターネット共有接続などが設定していないのに立ち上がってしまったり、 Windowsファイアウォールの例外設定に WindowsXP用ネットワーク診断ツール がプログラムの追加をしていないのに増えていたり リムーバブルディスクが使えなくなったりしてしまいます。 こちらのHPを知りhttp://winxp.pasokoma.jp/4_lg28753.htmlさんの症状ににていると思いまして 質問させて頂きました。 設定などは上記のひよこさんレスに書いてある内容等は試してあります。 ですがプロバイダpwやメールpwなどをテキストに保存してありましたので 内容などは漏洩している可能性があると思います。 パソコン歴は10年程なのですが、セキュリティには気を使わずに使用してきたため、 最初はユーザーアカウントなどは使用していませんでした。 現在はユーザーアカウント、アドミニストレーター、等は設定しています。 私なりに管理ツールから、イベントビュアー、セキュリティなどを見ているのですが ユーザーにANONYMOUS LOGONなどがあり SYSTEM NETWORKSERVICE LOCAL SERVICE などのログを見ますと特権の使用うやポリシーの変更などで腑に落ちない (素人ですのであって当然のものも、そう見えるのかもしれませんが・・・) 現在はルーターにXPホームのみ接続 ネットワーク設定はいじっていません。 ポリシー元:ローカルポリシー 使用されたプロファイル:標準 インターフェイス:すべてのインターフェイス 名前:リモートデスクトップ ポート番号:xxxx などのログや (リモート系はチェックをはずしてあるのですが・・・) ローカルセキュリティ期間によって、認証パッケージが読み込まれました この認証パッケージはログオンを認証するために使います。 認証パッケージ名 C:\WINDOWS\system32\LSASRV.dll:Negotiate 同上 \kerberos.dll:Kerberos など多数 Documents and Settings ユーザー名の内容をネットワークに送信する windowsファイアウォール開始時にリモートデスクトップのポートが例外として一覧表示されました などのログがでてきます。 このような症状は不正侵入と考えて良いのでしょうか? よろしくお願いします。 | |||
| 422086 | Re:不正侵入について | ひよこ | 2007/09/16-14:19 |
記事番号422077へのコメント 引用先のひよこさんとは別人のひよこです(^^; 症状からして、入られている可能性が大きいと思います。 >Documents and Settings ユーザー名の内容をネットワークに送信する 自分で送信していなければまずこういうことはないでしょう。 プロバイダを変更したとき、パスワード、メールアドレスも変更して、それをPCに保存しており、クリーンインストールしたあとも、こういったことが起きているということですよね? クリーンインストール後、データ類はどうしました? これらにマルウェアが仕込まれていた場合、普通にデータを戻してしまえば、いくらクリーンインストールしても無駄ですから。 それと、ひとつ気になるのが、P2Pソフト(ShareとかWinnyとか)を使用していないですね?ということです。 これらを使っている場合、セキュリティソフトを使おうとルーターをかませようと、何が起きてもおかしくないですから、この場合はこちらでは一切レスがつきませんよ。その辺はいかがですか?この点をまずクリアにしてくださいね。 | |||
| 422100 | Re:不正侵入について | ひよこ2世 | 2007/09/16-15:37 |
記事番号422086へのコメント ひよこさんは No.422086「Re:不正侵入について」で書きました。 はじめまして! 元祖ひよこさんでしょうか?^^: 勝手にお名前をお借りして申し訳ありませんでした。 >プロバイダを変更したとき、パスワード、メールアドレスも変更して、それをPCに保存しており、クリーンインストールしたあとも、こういったことが起きているということですよね? >クリーンインストール後、データ類はどうしました? クリーンインストール後に新しいpw類をデスクトップに置いておきました。 以前のデータはCDに保存して置いたものをコピーしました 一応ウイルススキャンはしたのですがマルウエアは無いと思うのですが・・・ >それと、ひとつ気になるのが、P2Pソフト(ShareとかWinnyとか)を使用していないですね?ということです。 P2Pは使った事はありません。 でも、例の知り合いのチャットや作って頂いたHP、掲示板は見ていますので、そこでIPが 抜かれた可能性はあると思います。 または、定期的にDLするデータがあるのですが・・・ 一応、IPがどんなものか知りたくてIP確認ページなども訪れました。 何度かクリーンインストールを繰返しているのですが、やはりインストール後1日目程で 同じような症状がでてしまいます。 セキュリティ初心者なので、よく判らないのですが グローバルIPアドレスはルーターを 切断して再接続すると変わるのはわかるのですが、パーソナルIP(ルーターで割り振られるもの?) は変わらないのでしょうか? 調べるといつも同じなので、これが知られているとすると勝手にネットワークとかを組まれてしまうのでしょうか? 私なりに想像すると、なにかネットワークに組み込まれてしまっているように感じるのですが・・・ 以前の侵入の時は(98、SE、XPでADSLモデムからハブで繋いでいた時)、ネットワークは 作っていなかったのですが、警察の方に来て頂いた時、 ハブで繋いであるのでネットワークは構築になっていると言われました。 98のセキュリティホールからの侵入だと言われました。 その時は、わたしもメダパニ状態でしたので、どんな状態だったか説明してくださいと 言われても、なにがなにやら全然判らずうまく説明できませんでした。 その時、XPのログに変な部分があるから、次に変だなと思ったときはログを保存したり 画面を保存しておくように言われました。 ひとつ教えていただきたいのですが、家庭内ランとかを組んでおくと侵入を防げるのでしょうか? と、言いますか、私のXPにエクスプロラで見ると下のほうにマイネットワークと言うのは あるのですが、スタートから開くとマイコンピュータとかマイドキュメントはあるのですが マイネットワークがありません。 また、コントロールパネルからシステムでコンピュータ名のところの変更で 以前はコンピュータ名とワークグループ名は変更出来たのですが、 今はワークグループネイムは薄くなっていて、変更できなくなっています。 以前も相手側のネットワークにこちらのコンピュータが登録されていたように感じるのですが・・・ ネットワークとかランと言う物に疎いのであまり良く理解できていませんので もし見当違いなら、お許しください。 一応、ネットワークとかランと言うのを勉強してみようと思いますので 申し訳ありませんが どこか初心者にもわかるHPなど教えて頂ければ幸いです。 今、考えると多分、98が踏み台(言葉は知っていますがどういうものかは判りませんが) になって、他の方にもご迷惑をお掛けしていた可能性も考えられます。 ブログなどで訪問させて頂いていた方達も侵入をされていたようなのです。 わたしのセキュリティに対する意識の低さが他の方達にも迷惑をかけていたと考えると 居た堪れない気持ちです。 また、わたしのデータ類なども流出しているとすれば、嫌な気持ちです。 警察の方にはそれが証拠になるので、見つかったら連絡してくださいと言われました。 | |||
| 422161 | Re:不正侵入について | ひよこ | 2007/09/16-23:27 |
記事番号422100へのコメント クリーンインストールの手順は覚えています? PC内部のデータを全てフォーマットして、OSからドライバから入れなおしてますか? あと、その、以前パスワード等を教えた方やその関係者ががひよこ2世さんの家に入ったことはないですね? あと、使っているセキュリティソフトの名前とバージョンは? セキュリティソフトが入っていても、古いソフトだと更新期限が切れていて意味がないとか、物によっては、情報を盗み出すタイプのスパイウェアに対応していなくて、全然検出しないケースもあります。 セキュリティソフトを騙ったスパイウェアソフトなんていうものもありますし。 症状から見ますと、バックドアやらキーロガーやらRATやら、すごくキケンなものが大量に仕込まれている感じがするんですが・・・。 スパイウェアについては http://www.ahkun.jp/researchcenter/about_malware.html こちらの一覧がわかりやすいかと。 マイネットワークに関しては、複数台の自分のPCでファイルとかプリンタとかを共有しないなら不要ですが、表示されないのは明らかにおかしいです。 外部のハッカーの方から設定されちゃっているのではないかしら。 ネットワークについては、それをキーワードにGoogleで検索し、チュートリアルのあるようなサイトさんを順に見て回れば、ご自分に合ったところがあると思いますよ。 ちなみに心配されているIPからは、たいしたことはわかりません。 サイトオーナーなら解析ソフトを設置していれば、来た人のIPはわかります。 せいぜい使用しているプロバイダとか、ブラウザ、接続している県や最寄のプロバイダのサーバの設置してある市がわかる程度です。 ただし固定IPだと、特定されてしまいますけれど、これはサーバなどに使う場合などに、特に申し出て設定してもらうことが多いと思います。 それよりもひよこ2世さんのPCが相手のPCに情報が筒抜けになるようなマルウェアを仕込まれてしまっている可能性のほうが高いと思います。 こういうケースは、「Higaitaisaku.com」さん(http://www.higaitaisaku.com/)に専門知識のある方々が多数いらっしゃいますので、こちらで紹介されたことをきちんと申し上げて、改めて質問されたら良いと思います。 今までの経過と、私が前回と今回した質問の答え、それと、問題のサイトさんからダウンロードしているもの。これについてもおそらく聞かれますからきちんと書いてくださいね。 (マルチポストは許可されていませんので、こちらと平行しないよう、こちらは閉めてください) http://www.higaitaisaku.com/hijackthis.html まず、こちらをお読みになり、Hijackthisのログを取得された上で、あちらの規約にのっとってご質問なさってください。 早く解決すると良いですね。 | |||
| 422220 | Re:不正侵入について | hime | 2007/09/17-10:51 |
記事番号422161へのコメント ひよこさんは No.422161「Re:不正侵入について」で書きました。 ハブ接続と有るのでルータは使っているらしいですが、ルータのセキュリティ設定はどうなっているのかな? | |||
| 422227 | Re:不正侵入について | ひよこ2世 | 2007/09/17-11:47 |
記事番号422220へのコメント himeさんは No.422220「Re:不正侵入について」で書きました。 こんにちわhimeさん >ハブ接続と有るのでルータは使っているらしいですが、ルータのセキュリティ設定はどうなっているのかな? 私もひよこさんに書いて頂いた事などを参考に検索ページを調べながら書いているような状態ですので、 スキル的にはネットができて、CDRが書き込める程度の普通のPCユーザーレベルですので、 ルーターのセキュリティ設定を変えることができるなら調べてみたいと思います。 最初の設定はプロバイダーの方にして頂いたので、設定方法がわからない状態なのですが・・・ 最初に頂いたプロバイダ資料を見て調べてみます。 もし、お時間が許すようであれば、ルーターのセキュリティ設定方法を教えて頂けたらうれしいのですが プロバイダーによって、それぞれ違うと思いますので調べてみます。 | |||
| 422223 | Re:不正侵入について | ひよこ2世 | 2007/09/17-11:03 |
記事番号422161へのコメント ひよこさんは No.422161「Re:不正侵入について」で書きました。 ひよこ様、本当にありがとうございます。 パソコンを楽しんで使用している人に、悪意を持って攻撃をする方達もいれば ひよこさん達のように好意的に教えてくださる方もいると思うとなぜか感激してしまいました。 今、ログやプリントをCDRに保存して、再インストしていました。 >クリーンインストールの手順は覚えています? 全部のパーティションをフォーマットせず、リカバリーディスクでパーティションを切り直して OSをインストールしていました。 (OSがインストールされるパーティションは、インストール前にフォーマットします) >以前パスワード等を教えた方やその関係者ががひよこ2世さんの家に入ったことはないですね? ありません。 >使っているセキュリティソフトの名前とバージョンは? ノートン360です。 期限は切れていません。 >症状から見ますと、バックドアやらキーロガーやらRATやら、 すごくキケンなものが大量に仕込まれている感じがするんですが・・・。 わたしもクリンインストールしているつもりなので、なぜ同じ症状が現れるのか 不思議です。 でも、2ヶ月間に及ぶ悪意を持ったクラッカーさん達との戦いで、少し度胸が付いてしまいまして 問題が解決するまでは大切なデータは入れない様にしていますので 『入るなら入ってよいよ、 こっちもログなり証拠なり取れれば後で酷い事になるのは そっちなんだから』 くらいの気持ちで臨んでいますので、最初の頃のメダパニ状態は解けました(微笑み 前ひよこさんのやまふみさんのサービスの停止の記載についてなのですが Telnetと RemoteRegidtryが わたしのサービスには見当たりません、 XPSP2には、上記のサービスはないのでしょうか? それと再インスト直後の状態で(ネットにも繋いでいない状態です) Remote ProcedureCall(RPC) と Remote ProcedureCall(RPC) LocatorをWクリックすると タグ画面が出て、ログオンタグを開くと アカウントにチェックが入っていて アカウント NT AUTHORITY\NetworkService パスワード *************** PW再入力 *************** と、パスワード設定してあるのを発見しました。 PW文字数は15文字で、ユーザーIDやアドミニストレーター設定もまだの状態なのに なぜPWがはいっているのか不思議です。 もし、これがクラッカーによるものなら、再インストール時にブート領域などは以前のまま 書き換えないようなワームなのでしょうか? BIOSはあまりわからないのですが、マザーボードやCPUなどに書き込まれているなどという 事もありえるのでしょうか? どちらにしても、以前ならセキュリティに関して無関心のままパソコンを使い続けていたでしょうから そう言う意味では、悪意を持ったクラック君には感謝です(笑 今までの感触では リモート関係が怪しいのでは? と思っています。 >ただし固定IPだと、特定されてしまいますけれど・・・ グローバルIPは接続の時に変わっていると思います。 もう少し、私なりに調べて見て、ひよこさんがご紹介くださいましたサイトに行ってみようと 思いますので、もう少しひよこさんにお付き合いをお願いできたら、うれしいのですが・・・ >問題のサイトさんからダウンロードしているもの これは普通の会社さんからのデータをDLしているので、問題はないと思うのですが ご紹介頂いたサイトの方に聞かれたらきちんとお話できると思います。 PS 今、調べていたらWebClient のログオンにも同じアカウント PWがありました。 実行ファイルのパスは WINDOWS\system32\svchost.exe -k LocalService です。 なぜかこの辺が怪しいような気がしますので、調べて見ます。 ひよこさんには本当に感謝の気持ちで一杯です。 ありがとうございます。 でも、もしこの辺の事が問題点だとした場合、 クリーンインストールしても問題が解決できないときは このPCは もう使えなくなってしまうのでしょうか? ブート領域やマザーボード上に入り込むマルウェアというのはあるのでしょうか? そうだとすると、かなり悪質な感じがするので わたしも犯人を突き止めたい気持ちです。 | |||
| 422226 | Re:モバイル投稿 | ぶんぶん | 2007/09/17-11:37 |
記事番号422223へのコメント 携帯からなので短めに。 パソコンの問題ばかりきにされていますが ルータとか導入されていますか パソコンもそうですがルータのパスワードとか変更してますか ルータがあるならそれも初期化して パスワードもこれまでと何も関係ないパスワードを付けてください 家に帰ったらもう一度記事を読んでみますが | |||
| 422232 | Re:モバイル投稿 | ひよこ2世 | 2007/09/17-12:37 |
記事番号422226へのコメント ぶんぶんさんは No.422226「Re:モバイル投稿」で書きました。 こんにちわ ぶんぶんさん himeさんからもルーターについてご指摘がありましたので ルーター設定について、今から調べて見ます。 ルーターについてなにか注意点などありましたら、ご意見頂けたらうれしいのですが どのあたりを注意して設定したら良いでしょうか? よろしくお願いします。 | |||
| 422244 | Re:不正侵入について | ひよこ | 2007/09/17-13:52 |
記事番号422223へのコメント 私自身もハンドルどおりの、ひよっこだと思ってますが(^^; ルーターの設定ですが、 http://sakaguch.com/LinkRouter.html 機種ごとにリンクされていますのでわかりやすいかと。 ただ、クラックツールがインストールされていると、あんまり意味がないかも。自分のPC側から開けちゃうでしょうからね。 >全部のパーティションをフォーマットせず、リカバリーディスクでパーティションを切り直して>OSをインストールしていました。 全てフォーマットをかけたほうが良いです。仕掛けられる箇所はCドライブだけとは限りません。ましてやクラックされていたとしたら・・。 普通のマルウェアでも、ものによってはつないであるUSB機器にも感染するものもあります。外付けHDDやカード類、USBメモリなどです。こちらのスキャンも必要でしょう。 マザーやCPUにマルウェアが入ることはないですが、ブート領域やメモリに入るタイプはあります。ただし、これに感染した場合は正常動作しなくなる可能性が高いです。こういったPCをクラッシュさせる型はあまり流行っていません。情報を盗むタイプがメインですね。だからといって大丈夫とはいえませんが。 また、すでにいろいろ感染した状態でリカバリーディスクを作成あるいはハードディスクリカバリの場合、そちらに仕込まれている可能性はありです。この場合はセキュリティソフトがインストールできなくなったり、すでに入っているマルウェアを検出できないように隠れたり出来ますから・・・。 メーカの添付品や正規のOSなら問題ないですが。この場合は、メーカーから改めてリカバリーCDを購入すると良いです。 単純な感染ではなくて、もしもクラッカーによって何かされていたとすると、ウイルススキャン、Rootkit検出ソフト等を使用しても検出できないRootkitを仕掛けられている可能性も懸念されます。 データ類で当該PCに戻すもののアーカイブ、exeやzip等で保存してある、OSのあとインストールすべきツール類などのスキャンを行ないます。これはすでにインストールしている手持ちのものではなく、オンラインスキャンが良いでしょう。 RPC等の件は私はHomeでないのでちょっとわからないです。 手順として、いまやってみられるものとしては、全てフォーマット>OSインストール>セキュリティソフト導入。 ウィンドウズ並びにセキュリティソフトのアップデートをして、そのあと、 http://www.just-kaspersky.jp/products/try/onlscan.html http://www.f-secure.co.jp/v-descs/disinfestation.html こちらなどでフルスキャンを。 スパイウェアは別途、SpybotやAD-Awareなどで検索します。 ただ、クラッカーにRootkitなどを仕掛けられている可能性が非常に懸念されますし、非常に悪質で検索しても引っかからないもの、通常の手順では削除できないものなど多数ありますので、そういった専門家のかたが多数おいでのHigaitaisaku.comさんをご紹介したのです。おそらくそちらの方がより適切に、より早く解決できると思います。 以下は、ちょっと厳しい意見になってしまいますが・・・・・・。 犯人突き止めは、警察でもないと無理でしょう。ましてやもしもクラッカーだとしたら、相手のスキルは相当高いでしょうし。手の上で踊らされるのがオチでしょう。 今回は個人のものですし、セキュリティ意識が薄かったところへ漬け込まれたわけですから、警察にもそこまで動いてもらうのは難しいでしょうね。 むしろ、今回のことを教訓として、気をつけられるのがいいと思います。 | |||
| 422267 | Re:不正侵入について | ひよこ2世 | 2007/09/17-16:27 |
記事番号422244へのコメント ひよこさんは No.422244「Re:不正侵入について」で書きました。 ひよこさん 何度もお手数をお掛けしてありがとうございました。 他の方々からも、貴重なアドバイスを頂き、ありがとうございました。 私もセキュリティ関係のサイトを調べて 当てはまる症状を考えますと ひよこさんのおっしゃる RAT キーロガー Rootkitなどが 入り込んでいると思います 一応、警察のサイバー課には通報済のため、色々とご指導は受けまして、データ等は保存して提出しています。 実際問題としては、私個人で突き止めると言う事は無理だと思いますし、クラック君のスキルも高いと思っています。 また、通常は不特定多数の中から犯人を探し当てると言う事になると相当の困難が予想されますが、 今回の場合侵入されていると言う事実のみが証明されれば、犯人特定の可能性は かなり高いと考えています。 >むしろ、今回のことを教訓として、気をつけられるのがいいと思います。 本当に今回の事でセキュリティに対する意識改革が出来たことは、良い教訓だと思いました。 本当にありがとうございました。 私自身がなんの知識も無く、レベルの高い方々のサイトに行っても、質問された事に答えられなければ 問題解決にならないと思い、セキュリティ知識を持ってからと思っていましたが 質問された事に答えられるように少しなったかな?と思いますので ひよこさんにご紹介頂いたHigaitaisaku.comさんにご相談に行ってみようと思います。 他の方々にもお世話になりありがとうございました。 こちらでの質問は終了させて頂きます。 サイト様にもお世話になり、ありがとうございました。 また、なにかありましたら、よろしくお願いします。 | |||