勝手にftp.angelfire .comへアクセスプログラムについて

Post2003

未読、

2003/12/24 8:19:592003/12/24

To:

今、次のことで困っています。
情報提供お願いします。

Windows2000を起動すると、ftp.exeを使って、
ftp.angelfire.comへ勝手にアクセスするプロセスが
あるのですが、そのプログラムを解除することが
できません。

netstat.exeを使って、確認すると、
ftp.angelfire.comにESTABLISHEDしているのを発見しました。

一回も、ftp.angelfire.comを使ったことがないし、
そんなサイトがあるのすら、知りませんでした。
どのプログラムがそれを使っているのかがわかりません。

LavasoftのAd-ware 6.0をインストールして、
ADWAREの検索をしたり、
Norton Anti Virus 2003をインストールして、
ウイルスチェックをしているのですが、
それらしいものが発見できませんでした。

解決方法をご存知の方は、情報提供お願いします。
--
Post2003<new...@hotmail.com>

Yoshida Kazuhito

未読、

2003/12/28 10:31:482003/12/28

To:

In article <2003122422151...@hotmail.com>, new...@hotmail.com
says...

>
>Windows2000を起動すると、ftp.exeを使って、
>ftp.angelfire.comへ勝手にアクセスするプロセスが
>あるのですが、そのプログラムを解除することが
>できません。

Windows2000 Professionalのほうであれば、
Norton Internet Securityのような
Personal Firewallを導入されてはいかが
でしょうか？

Norton Internet Securityの場合、設定次第で
プログラムがネットワークへアクセスしに行く度に
アクセス許可を求めるようにすることができます。
このとき、プログラム名とローカルとリモートの
IP address/portが表示されます。

----
Yoshida Kazuhito E-mail:kazu...@super.win.ne.jp

Ken Kato

未読、

2003/12/29 7:59:212003/12/29

To:

Yoshida Kazuhito wrote on Mon, 29 Dec 2003 00:31:48 +0900
in article <41tmsb....@kazu4.kazuhito.net>:

>In article <2003122422151...@hotmail.com>, new...@hotmail.com
>says...
>>
>>Windows2000を起動すると、ftp.exeを使って、
>>ftp.angelfire.comへ勝手にアクセスするプロセスが
>>あるのですが、そのプログラムを解除することが
>>できません。
>
>Windows2000 Professionalのほうであれば、
>Norton Internet Securityのような
>Personal Firewallを導入されてはいかが
>でしょうか？
>
>Norton Internet Securityの場合、設定次第で
>プログラムがネットワークへアクセスしに行く度に
>アクセス許可を求めるようにすることができます。
>このとき、プログラム名とローカルとリモートの
>IP address/portが表示されます。

実際にアクセスに行くプログラムは ftp.exe だと分かっているよう
ですので、ファイアウォールだけではアクセスの阻止はできますが
問題の ftp.exe を起動しているプログラムの発見は無理かもしれません。

システムセキュリティ系のアプリケーションにはプロセスが他の
プログラムを勝手に起動するのを阻止できるようなものもあります。

私が知っているのは Kerio Personal Firewall (http://www.kerio.com/)
だけですが、最近のファイアウォール系アプリケーションなら他にも
けっこうあるのではないでしょうか。

--
Ken Kato (kato....@cij.co.jp)

Y,Watanabe

未読、

2004/01/01 6:35:542004/01/01

To:

Y,Watanabe@松山です。
Post2003さんの<2003122422151...@hotmail.com>から

>今、次のことで困っています。
>情報提供お願いします。
>
>Windows2000を起動すると、ftp.exeを使って、
>ftp.angelfire.comへ勝手にアクセスするプロセスが
>あるのですが、そのプログラムを解除することが
>できません。

IEのセキュリティホール突いたパターンではないかと思われるんですけど
インターネットオプションの[全般]-[インターネット一時ファイル]-[設定]-
[オブジェクトの表示]でおかしな物がないか確認すれば良いでしょう。

で、実際現在の所IEを使うのは自殺行為です。

以下のサイトに詳しく書いています。
>IEのサイト偽装問題で被害をこうむらないために
http://www.zdnet.co.jp/enterprise/0312/24/epn14.html

面倒だがこっちの方がいいと思う。
>URLを偽装できるIEのセキュリティ・ホールは危険，「プロパティ」情報も
>信用できない。
>IEのセキュリティ設定では回避不能
>IE の8種類のセキュリティ・ホールが未修正(ITPRO無料会員登録必要）
http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20031216/1/

出来ればIEのコンポーネントを使わないMozilla系（NetScape7.1は除く）の最
新かOperaの最新版をメインに使いIEはUpdate位にした方が無難です。
その際もJavaは最新版を単独で入手した方が無難です。確か最近問題が見つ
かって最新版になったはず。
--
--------------------------------------
Y,Watanabe E./Epsilon/Yas☆彡
mailto:nex...@yahoo.co.jp
--------------------------------------

Yasushi Shinjo

未読、

2004/01/01 13:39:192004/01/01

To:

新城＠筑波大学情報です。こんにちは。

In article <bsp8dn$2b9$1...@hawaii.ykhm.cij.co.jp>

Ken Kato <kato....@cij.co.jp> writes:
> 実際にアクセスに行くプログラムは ftp.exe だと分かっているよう
> ですので、ファイアウォールだけではアクセスの阻止はできますが
> 問題の ftp.exe を起動しているプログラムの発見は無理かもしれません。

ftp.exe を、無害で止まらないプログラムに置換えてしまって、追
跡するのはどうでしょうか。すぐ止まるプログラムだと、ps して
追跡する暇がありません。(ps は、Unix のコマンドで Windows に
はないけど。気分はそういうことです。)

Windows 2000 で、親プロセスを表示するのは、どうするんでしたっけ？

あと、ftp.angelfire.com とわかっているので、とりあえずは、パ
ケット・フィルタをかけてＰＣから ftp.angelfire.com に出てい
く方のパケットを止めてしまうとして。Windows 2000 で、どうす
るんでしたっけ？

＼＼　新城　靖　（しんじょう　やすし）　＼＼
＼＼　筑波大学　電子・情報　　　　　　　＼＼

Kenji Yamamoto [Security MVP]

未読、

2004/01/04 8:43:322004/01/04

To:

山本です。

|Subject: Re: 勝手にftp.angelfire.comへアクセスプログラムについて
|From: Yasushi Shinjo <y...@is.tsukuba.ac.jp>
|Date: 01 Jan 2004 18:39:19 GMT
|Message-Id: <YAS.04Ja...@kirk.is.tsukuba.ac.jp>

| あと、ftp.angelfire.com とわかっているので、とりあえずは、パ

| ケット・フィルタをかけてPCから ftp.angelfire.com に出てい

| く方のパケットを止めてしまうとして。Windows 2000 で、どうす

| るんでしたっけ?

Output で対向指定ってことでしょうか?

それなら、netsh コマンドで、routing ip コンテキストに入ってから
フィルタ指定するか、あるいは同様に IPSEC でもフィルタを組めます
(こちらは GUI も CLI もあったと思いますが。)ので、そちらを使うと
か。

以上

山本謙次 [MVP]

--
JWNTUG TechNote http://www.jwntug.or.jp/tech/technote/index-j.html
JWNTUG NT-FAQ-J http://www.jwntug.or.jp/tech/ntfaqj/index.html
Kenji Yamamoto, Microsoft MVP (Security; Windows Server Systems), MCP+I, MCSE (TCP/IP, IIS4, IEAK4)
TechNet ITPro Security Community: http://www.microsoft.com/technet/security/community/mvp/default.mspx
mailto:ethe...@jcom.home.ne.jp

Yasushi Shinjo

未読、

2004/01/04 9:33:462004/01/04

To:

新城＠筑波大学情報です。こんにちは。

In article <8MUJb.2210$vR3.1...@news1.rdc1.ky.home.ne.jp>

Kenji Yamamoto [Security MVP] <ethe...@mvps.org> writes:
> | あと、ftp.angelfire.com とわかっているので、とりあえずは、パ
> | ケット・フィルタをかけてPCから ftp.angelfire.com に出てい
> | く方のパケットを止めてしまうとして。Windows 2000 で、どうす
> | るんでしたっけ?
>
> Output で対向指定ってことでしょうか?

|「Output で対向指定」って用語は始めて聞きましたが、雰囲気は
そうです。普通の IP の用語だと、outgoing のパケットに対して、
destination の ip address とポート番号で指定して止めるという
ものです。DNS くらいは開けていてもいいでしょう。

> それなら、netsh コマンドで、routing ip コンテキストに入ってから
> フィルタ指定するか、あるいは同様に IPSEC でもフィルタを組めます
> (こちらは GUI も CLI もあったと思いますが。)ので、そちらを使うと
> か。

もう少し具体的に教えて下さい。パケット・フィルタがあるくらい
は、私でもわかります。Windows 2000 は普段は使っていないので。
これくらい。

------------------------------------------------------------
W32/Blaster Recovery Tips
http://www.cert.org/tech_tips/w32_blaster.html

From Microsoft Knowledge Base Article 283673: In Control
Panel, double-click Networking and Internet Connections, and
then click Network Connections.

Right-click the connection on which you would like to enable
ICF, and then click Properties.

On the Advanced tab, click the box to select the option to
Protect my computer or network.

If you want to enable the use of some applications and
services through the firewall, you need to enable them by
clicking the Settings button, and then selecting the
programs, protocols, and services to be enabled for the ICF
configuration.
------------------------------------------------------------

これの「Output で対向指定」の方法です。できれば日本語で。

> フィルタ指定するか、あるいは同様に IPSEC でもフィルタを組めます

IPsec は、関係ないはずです。IPsec は、相手も IPsec でないと
つながりません。

Kenji Yamamoto [Security MVP]

未読、

2004/01/04 23:31:502004/01/04

To:

山本です。

|Subject: Re: 勝手にftp.angelfire.comへアクセスプログラムについて
|From: Yasushi Shinjo <y...@is.tsukuba.ac.jp>

|Date: 04 Jan 2004 14:33:46 GMT
|Message-Id: <YAS.04Ja...@kirk.is.tsukuba.ac.jp>

| これの「Output で対向指定」の方法です。できれば日本語で。

こちらは、以下のページが参考になりますでしょうかね。
http://www.port139.co.jp/ntsec_rras.htm
http://www.ipa.go.jp/security/fy10/contents/crack/research/windows2k/b.htm

Windows 2000 Professional では GUI による操作は実施できません。
これは netsh によるパケットフィルタを管轄する「ルーティングとリ
モートアクセス」(RRAS)サービスは Server より上の版でないと GUI
がつかぬためです。

今回の要件は filtertype を output として、ルールに当てはまるもの
だけ drop するということで、

netsh routing ip set filter name="インターフェイス名" filtertype=output action=drop

を指定することになります。個別のルールの書き方については、大まか
には Linux 上の ipchains/iptables 同様ですね。(全く同じじゃない
ですけど。)

この netsh コマンドによる設定の全体像は、上に挙げた Port139 所
在の記事のほか@IT の特集がありますので、そちらをご参照ください。
この中にルールの組み立て方であったり、設定方法は記載されています。
http://www.atmarkit.co.jp/fwin2k/operation/personalsecurity2/personalsecurity1.html

また、Windows 2000 Server 上で、RRAS を用いて GUI でフィルタを設
定する場合、以下のサポート技術情報 (KB) に記載の方法が参考になる
かと思います。
http://support.microsoft.com/?id=324262

| > フィルタ指定するか、あるいは同様に IPSEC でもフィルタを組めます
| IPsec は、関係ないはずです。IPsec は、相手も IPsec でないと
| つながりません。

Windows 2000 以降の IPSec の実装を、汎用に、パケットフィルタを実
施する際に用いようというのがマイクロソフトが意図するところのよう
です。Redmond の幾つかの関連部署の人間に、現地で面談したり、
WebCast など、質問できる時に質問して、ほぼ十中八九、そのようなコ
メントが返ってくるので。パケットフィルタが関与するところでは、
RRAS よりも IPSec という姿勢が強いです。

サポート技術情報で行くと、そのようなポリシを明確に反映していそう
なのはこのへんとかでしょうかね。

IPSec を使用して特定のネットワークプロトコルとポートをブロック
する方法
http://support.microsoft.com/?scid=813878

参考まで、ですが、Windows 2000 以降での IPSec の基本操作方法は、
こちらで如何でしょうか。＜ ALL

[HOWTO] Windows 2000 で IPSec の IP フィルタ一覧を使用する方法
http://support.microsoft.com/default.aspx?id=313190

勝手にftp.angelfire .comへアクセスプログラ ムについて

Post2003

Yoshida Kazuhito

Ken Kato

Y,Watanabe

Yasushi Shinjo

Kenji Yamamoto [Security MVP]

Yasushi Shinjo

Kenji Yamamoto [Security MVP]

勝手にftp.angelfire .comへアクセスプログラムについて