なるべく早く
ハッキング被害者です Logを見て今安全か教えてください。
FALCON KNIGHT
初めまして、まったくの初心者のためここで書くところが間違っていないか不安なのですが、被害深刻なため書き込ませていただきました。
簡単では有りますが時系列で説明致します。
20195月頃から携帯で登録していたFacebookに不審な動き(一瞬メッセージのやり取りのみたいなもの?)があり、色々設定から確認してみると、数台のパソコンやスマホが接続されていました(場所は奈良県や福島、東京町田などいろんな場所から。)この時点でハッキングされた事を自覚し、パソコン等も確認してみると、リモートディスクトップ(後から判明)などで管理者権限を奪われ、パソコン内のあるデータを削除したり、Windowsが立ち上がらない用にされたり、アカウント等も次々に乗っ取られました、そしてこちらも対策をとりつつ過去のハードディスク等のデータを保存したり、ルーターのログをとったりしていましたが、データを調査中削除されたものもあります、
また有料のアプリの認証をとってあるパソコンも攻撃され再インストール後に、通常であればとれるはずの認証がとれなくなったりと色んな被害が出ております。
また、使ったときの無い仮想ドライブというものが存在していたので、無理やりそれも保存しましたが、ロックがかかっており開けることは出来ていません。
現在はここまでひどくはないものの、マウスのコントロールができなくなったりはよくあります。
ですので現在のルーターのlogを見て安全か攻撃があるかだけでもいいので教えてくださると助かります。
以下参考までに一部載せます画像載せます。
15 件の回答
サポートアンバサダー
HUAWEI Mate 30 Pro 5G(その他)
先ずはパソコンをネットワークから切り離すのが一番最初にすることです。
ネットワークを使われるだけなら大した被害ではありませんが、NASがあるならネットワーク自体も止めるか、NASを切り離してください。
ネットワークを使われるだけなら大した被害ではありませんが、NASがあるならネットワーク自体も止めるか、NASを切り離してください。
- 1
>>1 ヨッシーセブンさん
おはようございます、お返事遅くなり申し訳ありませんでした。
よくわからないのですが取れる対策はとってみたく思いますので、
教えていただいた内容の意味を調べてやってみようと思います。
おはようございます、お返事遅くなり申し訳ありませんでした。
よくわからないのですが取れる対策はとってみたく思いますので、
教えていただいた内容の意味を調べてやってみようと思います。
- 26
まずは、添付画像のログのメッセージを日本語に訳してみたら良いんじゃないの?
それとルーターの取説やグーグルで、logの意味を確認するとかさ
取り敢えず、denied は 「拒否されました」、dropping は「落とされました」だね…
それとルーターの取説やグーグルで、logの意味を確認するとかさ
取り敢えず、denied は 「拒否されました」、dropping は「落とされました」だね…
- 2
iPhone 12 mini(mineo(docomo))
1点、教えて下さい。
利用しているルーターの内部側のアドレスは、
192.168.1/24 、192.168.11/24 の何れでしょうか。
または、利用されているLAN内のPCのIPアドレス(例えば、192.168.1.2)を教えて頂いても良いです。
利用しているルーターの内部側のアドレスは、
192.168.1/24 、192.168.11/24 の何れでしょうか。
または、利用されているLAN内のPCのIPアドレス(例えば、192.168.1.2)を教えて頂いても良いです。
- 7
>>9 大タコさん
コメントありがとうございます、ほかの方への返信にも書いたのですがログを確認する時や、ログを取るとき以外一切パソコンやスマホは現在怖いのでつないでいないんです、確認するために2~3分の間パソコンをつなげているだけです。また有料のセキュリティーソフト(Mcafee Livesafe)はすべての端末に入れてありますがまったく検知しませんw
でも私もインストールし直しを何度かして感じてるのですが、なんかあるような感じがします、実際CPUやメモリにまで書き込まれたので。
コメントありがとうございます、ほかの方への返信にも書いたのですがログを確認する時や、ログを取るとき以外一切パソコンやスマホは現在怖いのでつないでいないんです、確認するために2~3分の間パソコンをつなげているだけです。また有料のセキュリティーソフト(Mcafee Livesafe)はすべての端末に入れてありますがまったく検知しませんw
でも私もインストールし直しを何度かして感じてるのですが、なんかあるような感じがします、実際CPUやメモリにまで書き込まれたので。
- 15
BlackBerry KEY2(その他)
当該アクセスログを見るだけでは以下しか分かりません。
●アクセスしまくっているクライアントのIP→ガンガンIP出てるので分かりますよね?
●WLAN(無線LAN)側からのアクセスに対し、MACアドレスベースで無効なアクセスが発生していること
●アクセスリクエストを投げる先が不特定
すでにコメントがありますけど、まず以下の対策が必要だと考えます。
1.『アクセスしまくっているクライアントのIP』を持っている機器を確認し、
当該機をネットワークから隔離する。
2.再度ルータのログを確認し、アクセスログに変化が見られるかを確認。
3.『意図しない不規則なアクセスが確認されなくなる』まで、ネットワーク隔離をすすめる
これが完了していないと、現状提示されているアクセスログだけでは安全か否かも分かりません。
追伸:
アクセスログからそのままのネットワーク構成を考えるに、見た目で現状は
LAN内部:192.168.1.0/24
WAN側 :192.168.11.3 ※ルータ側の WANポート
のネットワークで運用しているように見えます。
●アクセスしまくっているクライアントのIP→ガンガンIP出てるので分かりますよね?
●WLAN(無線LAN)側からのアクセスに対し、MACアドレスベースで無効なアクセスが発生していること
●アクセスリクエストを投げる先が不特定
すでにコメントがありますけど、まず以下の対策が必要だと考えます。
1.『アクセスしまくっているクライアントのIP』を持っている機器を確認し、
当該機をネットワークから隔離する。
2.再度ルータのログを確認し、アクセスログに変化が見られるかを確認。
3.『意図しない不規則なアクセスが確認されなくなる』まで、ネットワーク隔離をすすめる
これが完了していないと、現状提示されているアクセスログだけでは安全か否かも分かりません。
追伸:
アクセスログからそのままのネットワーク構成を考えるに、見た目で現状は
LAN内部:192.168.1.0/24
WAN側 :192.168.11.3 ※ルータ側の WANポート
のネットワークで運用しているように見えます。
- 10
>>10 ばななめろんさん
すみません本当にまったくの素人なのでよくわからないのですが、現在20:10分なので、20:20分から~夜中1時~2時目安ですべて完全シャットアウト(光テレビ、光電話、スマホは電源も切り待ちって接続しないようにする)の対策を取りlog自体貼りたいのですが貼れないようなので、その部分のスクショを撮って添付いたします。
またお返事しきれていない方々にもあとで返信させていただきます。
本当に皆様貴重な週末のお時間裂いていただき心より感謝しています、ありがとうございます★
すみません本当にまったくの素人なのでよくわからないのですが、現在20:10分なので、20:20分から~夜中1時~2時目安ですべて完全シャットアウト(光テレビ、光電話、スマホは電源も切り待ちって接続しないようにする)の対策を取りlog自体貼りたいのですが貼れないようなので、その部分のスクショを撮って添付いたします。
またお返事しきれていない方々にもあとで返信させていただきます。
本当に皆様貴重な週末のお時間裂いていただき心より感謝しています、ありがとうございます★
- 17
おはようございます、友人らとも相談し朝までなにもつながず検証してみました、いつもよりはだいぶ少なく感じますが私では全く分かりませんのでコメントいただけますと助かります。
確かに警察にも捜査をお願いしていますが、警察の技術は都道府県に寄り切りで警視庁サイバーほどの能力はないらしく、順次サイバー対策に人を導入、新規採用している最中であり民間レベルに到底及ばない状態らしいのです、ですので自分で調べたり多方面で調べて分かったことなどあれば随時警察も情報が欲しいということなので差支えはない行為ですのでその辺のご心配はなされないでください。
昨日の投稿から本日にかけてたくさんのアドバイスをいただき感謝しております、本来であれば 警察に丸投げ、放っておく あきらめる ネットを使わない、等の方法もありうるのですが、そうはできない事情がございます。
それは本当は公表するつもりはありませんでしたが、皆様の誠意を思いやりを文字を通じてたくさんいただきましたので、少しだけ事情をお話しします。
今私は下の息子(2歳5か月の男の子)を重度の精神疾患(病名 解離性障害(いわば多重人格)と薬物依存(大麻、覚せい剤)をわずわってる元妻に下の息子を連れ去られております、そのためにいろいろな法的な措置を取っているさなかで、その証拠となる音声、動画、SNSのやり取りの残っているやり取りをUSBにコピー、DVDなどに焼き警察、弁護士などに渡せるようにコピーし、録音の会話などは反訳(音声を文字に起こす作業)が必要なのでそういうことを行っていたところ、ハッキングの被害を受けるようになり、すでに一年以上被害が続いているばかりではなく、上の息子(母は違いで すでに成人)のiPhoneやパソコンにも被害が出ていますので、愛する子供たちを守らなければならない というか守りたい、一ばっびょわい存在である下の子がお腹いっぱいご飯も食べれてなくて体重も落ちてしまったという情報もいただいていますのでいてもたってもいられないのです。
確かに警察にも捜査をお願いしていますが、警察の技術は都道府県に寄り切りで警視庁サイバーほどの能力はないらしく、順次サイバー対策に人を導入、新規採用している最中であり民間レベルに到底及ばない状態らしいのです、ですので自分で調べたり多方面で調べて分かったことなどあれば随時警察も情報が欲しいということなので差支えはない行為ですのでその辺のご心配はなされないでください。
昨日の投稿から本日にかけてたくさんのアドバイスをいただき感謝しております、本来であれば 警察に丸投げ、放っておく あきらめる ネットを使わない、等の方法もありうるのですが、そうはできない事情がございます。
それは本当は公表するつもりはありませんでしたが、皆様の誠意を思いやりを文字を通じてたくさんいただきましたので、少しだけ事情をお話しします。
今私は下の息子(2歳5か月の男の子)を重度の精神疾患(病名 解離性障害(いわば多重人格)と薬物依存(大麻、覚せい剤)をわずわってる元妻に下の息子を連れ去られております、そのためにいろいろな法的な措置を取っているさなかで、その証拠となる音声、動画、SNSのやり取りの残っているやり取りをUSBにコピー、DVDなどに焼き警察、弁護士などに渡せるようにコピーし、録音の会話などは反訳(音声を文字に起こす作業)が必要なのでそういうことを行っていたところ、ハッキングの被害を受けるようになり、すでに一年以上被害が続いているばかりではなく、上の息子(母は違いで すでに成人)のiPhoneやパソコンにも被害が出ていますので、愛する子供たちを守らなければならない というか守りたい、一ばっびょわい存在である下の子がお腹いっぱいご飯も食べれてなくて体重も落ちてしまったという情報もいただいていますのでいてもたってもいられないのです。
- 24
Redmi Note 9S(mineo(docomo)) ベストアンサー獲得数 3 件
本日投稿されたログ拝見しました。
無線LAN関係はMACアドレスフィルタリングでブロックされてますので登録されたもの以外フレームが届いても落としており問題ないようです。
昨夜と今朝のスクリーンショットを撮るためにパソコンがつながったと記録されており問題ないでしょう。
あと192.168.11.2はルーターの設定システムでしょうか?IPアドレスリリースタイムの設定通り2時間おきにルーター(DHCPサーバー)にアクセスしに行ってます。パソコンなどを同ルーターに接続しブラウザでhttp://192.168.11.2/をアクセスしログイン画面がでますか?出れば今回添付のログに問題ないと思います。出なければその192.168.11.2が割り当てられたクラアントは何か疑問です。(でも192.168.11.2はエラーが出るような通信は一切ないようです)
無線LAN関係はMACアドレスフィルタリングでブロックされてますので登録されたもの以外フレームが届いても落としており問題ないようです。
昨夜と今朝のスクリーンショットを撮るためにパソコンがつながったと記録されており問題ないでしょう。
あと192.168.11.2はルーターの設定システムでしょうか?IPアドレスリリースタイムの設定通り2時間おきにルーター(DHCPサーバー)にアクセスしに行ってます。パソコンなどを同ルーターに接続しブラウザでhttp://192.168.11.2/をアクセスしログイン画面がでますか?出れば今回添付のログに問題ないと思います。出なければその192.168.11.2が割り当てられたクラアントは何か疑問です。(でも192.168.11.2はエラーが出るような通信は一切ないようです)
- 28
おはようございます、環境等がわからないということでしたので現在の環境を図式にしてみました、
簡単に説明いたします、
WRX-1900接続は仕事(日報や現場の図面の確認、簡単な事務作業であり通常のUSERの使用レベルの業務程)を含め、過去にあった被害のHDDやSSDの確認、復元作業、コピー作成をLANケーブルを外しオフライン環境でのみ今は使っています。
WCR-1166DSに関しましては やられたらやられたで今は仕方ないが、外部への救援要請、友人との最低限のファイルのやり取りなどのため危険を承知で使用しています。
簡単に説明いたします、
WRX-1900接続は仕事(日報や現場の図面の確認、簡単な事務作業であり通常のUSERの使用レベルの業務程)を含め、過去にあった被害のHDDやSSDの確認、復元作業、コピー作成をLANケーブルを外しオフライン環境でのみ今は使っています。
WCR-1166DSに関しましては やられたらやられたで今は仕方ないが、外部への救援要請、友人との最低限のファイルのやり取りなどのため危険を承知で使用しています。
- 29
iPhone 7 Plus SIMフリー(mineo(au))
ログとネットワーク構成を見る限り、フレッツのルータ内蔵ONUのLAN側が192.168.1.0/24を使用し、Wi-FiルータのWAN側IPとして使用されているようですね。
WXR1900はWAN側を192.168.1.2を使用していますね。
という情報しか、このログからはわかりません。
恐らく、BuffaloのFirewallのフィルタが、ブロックのみを出力する設定かと思いますので、Firewallにかからない通信は正常な通信と見なされて、ログに残らないかも知れません。
Facebookの不審な動きについては、何かしらでIDとパスワードが漏れたと考えるのが自然です。
漏れてしまったら、FALCON KNIGHTさんの家のルータのログを見ても何もわからないため、まずはパスワードを変更しましょう。その際はFacebookのみで使用するパスワードにしましょう。
Firewallでdenyされているのは、
147.92.184.189 → LINE
202.241.208.55 → 株式会社スケールアウト(広告関係の会社)
上位がIDCフロンティア(データセンター)なので、単に広告を取りに行っている。
34.107.165.5 → Google
https://www.cman.jp/network/support/ip.html を使えば、どのIPアドレスがどこのものかは簡単に調べられます。
といった感じで、特に問題無いですね。
何となく、正常な通信のため、Wi-Fiルータで時間帯などで通信制限してたりするのでは?とも思います。
192.168.11.3がどの端末かわかりませんが、もしその端末が遅いというならば、正常な通信が遮断されているためとも考えられます。
このときの、192.168.11.3の端末はWXR1900と接続している端末になります。
ちなみに、外から攻撃されているかどうかは、一番外側(フレッツのONU内蔵ルータ)のログを見ないとわからないですが、多分見たところでわからない気がします。
まずは、セキュリティソフトで全てのPCで全スキャンかけるしか無いのでは?と思います。
Wi-Fiルータからしてみたら、ウイルス感染したPCからの通信は全て「正常」な通信ですので。
WXR1900はWAN側を192.168.1.2を使用していますね。
という情報しか、このログからはわかりません。
恐らく、BuffaloのFirewallのフィルタが、ブロックのみを出力する設定かと思いますので、Firewallにかからない通信は正常な通信と見なされて、ログに残らないかも知れません。
Facebookの不審な動きについては、何かしらでIDとパスワードが漏れたと考えるのが自然です。
漏れてしまったら、FALCON KNIGHTさんの家のルータのログを見ても何もわからないため、まずはパスワードを変更しましょう。その際はFacebookのみで使用するパスワードにしましょう。
Firewallでdenyされているのは、
147.92.184.189 → LINE
202.241.208.55 → 株式会社スケールアウト(広告関係の会社)
上位がIDCフロンティア(データセンター)なので、単に広告を取りに行っている。
34.107.165.5 → Google
https://www.cman.jp/network/support/ip.html を使えば、どのIPアドレスがどこのものかは簡単に調べられます。
といった感じで、特に問題無いですね。
何となく、正常な通信のため、Wi-Fiルータで時間帯などで通信制限してたりするのでは?とも思います。
192.168.11.3がどの端末かわかりませんが、もしその端末が遅いというならば、正常な通信が遮断されているためとも考えられます。
このときの、192.168.11.3の端末はWXR1900と接続している端末になります。
ちなみに、外から攻撃されているかどうかは、一番外側(フレッツのONU内蔵ルータ)のログを見ないとわからないですが、多分見たところでわからない気がします。
まずは、セキュリティソフトで全てのPCで全スキャンかけるしか無いのでは?と思います。
Wi-Fiルータからしてみたら、ウイルス感染したPCからの通信は全て「正常」な通信ですので。
- 38
あいだの6件を表示
Redmi Note 9S(mineo(docomo)) ベストアンサー獲得数 3 件
>>47 FALCON KNIGHTさん
$Recycle.Binはシステム隠しファイルで、デフォルトでは通常のユーザからは見えないようになっているもので、その仕様は定かではないと思います。そのようなホルダー名の付け方になっているという信頼できる情報がありますか?
私からは、あまり気にされないほうが良いのではないかと申し上げます。ゴミ箱の情報って復活出来る情報でしょう。PCを起動不能にするには、そんな容易に復活出来る消し方でなく完全に削除すると思うのですが....
$Recycle.Binはシステム隠しファイルで、デフォルトでは通常のユーザからは見えないようになっているもので、その仕様は定かではないと思います。そのようなホルダー名の付け方になっているという信頼できる情報がありますか?
私からは、あまり気にされないほうが良いのではないかと申し上げます。ゴミ箱の情報って復活出来る情報でしょう。PCを起動不能にするには、そんな容易に復活出来る消し方でなく完全に削除すると思うのですが....
- 49
iPhone 7 Plus SIMフリー(mineo(au))
>>42 FALCON KNIGHTさん
Wi-Fiの検知数ですが、同じ環境でも質問者さんの家のWi-Fiルータの電源を切り入りしただけでも変わります。
※技術的な話になりますが、Wi-Fiのチャネルがルータの電源を切り入りした際に代わるため。
HUMAXやBCW710Jは、ケーブルテレビ局で使用されている、Wi-Fi内蔵のモデムになります。出てくる数が多いので、恐らく周囲にケーブルテレビのインターネット対応の集合住宅があるのかと思います。
また、電波伝搬の環境が良ければ、Wi-Fiスポットから距離が離れても「つながる」ことはありますが、受信レベル等がよくないため通信ができなかったり、速度が極端に遅いと思います。
Wi-Fiの検知数ですが、同じ環境でも質問者さんの家のWi-Fiルータの電源を切り入りしただけでも変わります。
※技術的な話になりますが、Wi-Fiのチャネルがルータの電源を切り入りした際に代わるため。
HUMAXやBCW710Jは、ケーブルテレビ局で使用されている、Wi-Fi内蔵のモデムになります。出てくる数が多いので、恐らく周囲にケーブルテレビのインターネット対応の集合住宅があるのかと思います。
また、電波伝搬の環境が良ければ、Wi-Fiスポットから距離が離れても「つながる」ことはありますが、受信レベル等がよくないため通信ができなかったり、速度が極端に遅いと思います。
- 55
これは今までここで相談させてもらった内容で実際に被害が出ていたPCを業者に出したときにいただいたスクリーンショットです、
この端末はハッキング被害をうけていたPCのSSDなどの中身を見るために購入したノートPCでしたが1週間しないうちに乗っ取られ制御不能になったため、電源が入ったまま裏ふたを開け、LANのアンテナのケーブルのみ外し、PCが立ち上がったままショップに持ち込み見ていただいた端末で、私はこの画像を着ても意味が分からないのですが、どうやら勝手にネットワークに接続しようとしている。
ということでした。
この被害判明後5~6台のノートパソコンを購入して検証しましたが、ほぼすべて端末が同じような状態になり全滅しました。
(OS入れなおし、手伝ってくれてる友人らに大半は差し上げました。)
この端末はハッキング被害をうけていたPCのSSDなどの中身を見るために購入したノートPCでしたが1週間しないうちに乗っ取られ制御不能になったため、電源が入ったまま裏ふたを開け、LANのアンテナのケーブルのみ外し、PCが立ち上がったままショップに持ち込み見ていただいた端末で、私はこの画像を着ても意味が分からないのですが、どうやら勝手にネットワークに接続しようとしている。
ということでした。
この被害判明後5~6台のノートパソコンを購入して検証しましたが、ほぼすべて端末が同じような状態になり全滅しました。
(OS入れなおし、手伝ってくれてる友人らに大半は差し上げました。)
- 48
あいだの3件を表示
>>52 FALCON KNIGHTさん
説明がなんかおかしかったですねwすいません
IPoE接続環境対応の機種にWXR-1900DHP3(Ver2.60以降)が含まれており、OCNさんのほうからもRX600KIからWXR-1900DHP3を返した状態でネットを利用したほうが良いとのアドバイスをいただいているのと、
ネットから切り離した状態でプリンターなど動かしたりするためどのみちRX600だけでは事足りないのです。
説明がなんかおかしかったですねwすいません
IPoE接続環境対応の機種にWXR-1900DHP3(Ver2.60以降)が含まれており、OCNさんのほうからもRX600KIからWXR-1900DHP3を返した状態でネットを利用したほうが良いとのアドバイスをいただいているのと、
ネットから切り離した状態でプリンターなど動かしたりするためどのみちRX600だけでは事足りないのです。
- 53
Redmi Note 9S(mineo(docomo)) ベストアンサー獲得数 3 件
>>48 FALCON KNIGHTさん
IPv6は良く分かりませんが、DNS解決できないとか、DHCPからIPアドレス取れないとか、ネットワークの設定が間違っていないか、良く調べて再度確認して様子見して下さい。
また、
「プロバイダー InvProv は LocalSystem アカウントを使うために Windows Management Instrumentation 名前空間 Root\cimv2 に登録されました。このアカウントには特権があり、プロバイダーがユーザー要求を正しく偽装しない場合はセキュリティ違反が起こる可能性があります。(イベントID:63)」というメッセージが乗っ取りのように思われますが、
https://gamp-ameblo-jp.cdn.ampproject.org/v/s/gamp.ameblo.jp/ryouto-h/entry-12016617398.html?amp_js_v=a6&_gsa=1&usqp=mq331AQHKAFQArABIA==#aoh=16105314120807&referrer=https://www.google.com&_tf=ソース: %1$s
に
「…じゃ、不安なのでちょっとググってみた所、仕様、とのMicrosoftのページがヒットしました。」
と書かれていて仕様のようです。
IPv6は良く分かりませんが、DNS解決できないとか、DHCPからIPアドレス取れないとか、ネットワークの設定が間違っていないか、良く調べて再度確認して様子見して下さい。
また、
「プロバイダー InvProv は LocalSystem アカウントを使うために Windows Management Instrumentation 名前空間 Root\cimv2 に登録されました。このアカウントには特権があり、プロバイダーがユーザー要求を正しく偽装しない場合はセキュリティ違反が起こる可能性があります。(イベントID:63)」というメッセージが乗っ取りのように思われますが、
https://gamp-ameblo-jp.cdn.ampproject.org/v/s/gamp.ameblo.jp/ryouto-h/entry-12016617398.html?amp_js_v=a6&_gsa=1&usqp=mq331AQHKAFQArABIA==#aoh=16105314120807&referrer=https://www.google.com&_tf=ソース: %1$s
に
「…じゃ、不安なのでちょっとググってみた所、仕様、とのMicrosoftのページがヒットしました。」
と書かれていて仕様のようです。
- 54
