マイぴょん博士
サポートアンバサダー
カテゴリー
ヘルプ
なるべく早く
ハッキング被害者です Logを見て今安全か教えてください。
初めまして、まったくの初心者のためここで書くところが間違っていないか不安なのですが、被害深刻なため書き込ませていただきました。
簡単では有りますが時系列で説明致します。
20195月頃から携帯で登録していたFacebookに不審な動き(一瞬メッセージのやり取りのみたいなもの?)があり、色々設定から確認してみると、数台のパソコンやスマホが接続されていました(場所は奈良県や福島、東京町田などいろんな場所から。)この時点でハッキングされた事を自覚し、パソコン等も確認してみると、リモートディスクトップ(後から判明)などで管理者権限を奪われ、パソコン内のあるデータを削除したり、Windowsが立ち上がらない用にされたり、アカウント等も次々に乗っ取られました、そしてこちらも対策をとりつつ過去のハードディスク等のデータを保存したり、ルーターのログをとったりしていましたが、データを調査中削除されたものもあります、
また有料のアプリの認証をとってあるパソコンも攻撃され再インストール後に、通常であればとれるはずの認証がとれなくなったりと色んな被害が出ております。
また、使ったときの無い仮想ドライブというものが存在していたので、無理やりそれも保存しましたが、ロックがかかっており開けることは出来ていません。
現在はここまでひどくはないものの、マウスのコントロールができなくなったりはよくあります。
ですので現在のルーターのlogを見て安全か攻撃があるかだけでもいいので教えてくださると助かります。
以下参考までに一部載せます画像載せます。
レギュラー
もっちぃ~さんのコメント
iPhone 7 Plus SIMフリー(mineo(au))
ログとネットワーク構成を見る限り、フレッツのルータ内蔵ONUのLAN側が192.168.1.0/24を使用し、Wi-FiルータのWAN側IPとして使用されているようですね。
WXR1900はWAN側を192.168.1.2を使用していますね。
という情報しか、このログからはわかりません。
恐らく、BuffaloのFirewallのフィルタが、ブロックのみを出力する設定かと思いますので、Firewallにかからない通信は正常な通信と見なされて、ログに残らないかも知れません。
Facebookの不審な動きについては、何かしらでIDとパスワードが漏れたと考えるのが自然です。
漏れてしまったら、FALCON KNIGHTさんの家のルータのログを見ても何もわからないため、まずはパスワードを変更しましょう。その際はFacebookのみで使用するパスワードにしましょう。
Firewallでdenyされているのは、
147.92.184.189 → LINE
202.241.208.55 → 株式会社スケールアウト(広告関係の会社)
上位がIDCフロンティア(データセンター)なので、単に広告を取りに行っている。
34.107.165.5 → Google
https://www.cman.jp/network/support/ip.html を使えば、どのIPアドレスがどこのものかは簡単に調べられます。
といった感じで、特に問題無いですね。
何となく、正常な通信のため、Wi-Fiルータで時間帯などで通信制限してたりするのでは?とも思います。
192.168.11.3がどの端末かわかりませんが、もしその端末が遅いというならば、正常な通信が遮断されているためとも考えられます。
このときの、192.168.11.3の端末はWXR1900と接続している端末になります。
ちなみに、外から攻撃されているかどうかは、一番外側(フレッツのONU内蔵ルータ)のログを見ないとわからないですが、多分見たところでわからない気がします。
まずは、セキュリティソフトで全てのPCで全スキャンかけるしか無いのでは?と思います。
Wi-Fiルータからしてみたら、ウイルス感染したPCからの通信は全て「正常」な通信ですので。
WXR1900はWAN側を192.168.1.2を使用していますね。
という情報しか、このログからはわかりません。
恐らく、BuffaloのFirewallのフィルタが、ブロックのみを出力する設定かと思いますので、Firewallにかからない通信は正常な通信と見なされて、ログに残らないかも知れません。
Facebookの不審な動きについては、何かしらでIDとパスワードが漏れたと考えるのが自然です。
漏れてしまったら、FALCON KNIGHTさんの家のルータのログを見ても何もわからないため、まずはパスワードを変更しましょう。その際はFacebookのみで使用するパスワードにしましょう。
Firewallでdenyされているのは、
147.92.184.189 → LINE
202.241.208.55 → 株式会社スケールアウト(広告関係の会社)
上位がIDCフロンティア(データセンター)なので、単に広告を取りに行っている。
34.107.165.5 → Google
https://www.cman.jp/network/support/ip.html を使えば、どのIPアドレスがどこのものかは簡単に調べられます。
といった感じで、特に問題無いですね。
何となく、正常な通信のため、Wi-Fiルータで時間帯などで通信制限してたりするのでは?とも思います。
192.168.11.3がどの端末かわかりませんが、もしその端末が遅いというならば、正常な通信が遮断されているためとも考えられます。
このときの、192.168.11.3の端末はWXR1900と接続している端末になります。
ちなみに、外から攻撃されているかどうかは、一番外側(フレッツのONU内蔵ルータ)のログを見ないとわからないですが、多分見たところでわからない気がします。
まずは、セキュリティソフトで全てのPCで全スキャンかけるしか無いのでは?と思います。
Wi-Fiルータからしてみたら、ウイルス感染したPCからの通信は全て「正常」な通信ですので。
- 38