先週、新しい家に引っ越しました。ひとつの家を6人でシェアしている家に新たなルームメイトとして参加することになりました。この家にはワイヤレスルータが設置されていてインターネットは問題なく使えるのですが、サーバを立てたかったので大家さんに聞いて管理者ログインのパスワードを聞き、管理者としてルータにログインしてみました。そこで、おびただしい数の怪しげなポートフォワーディング設定がされていることに気付きました。一部下記に貼り付けます。左からLAN開始・終了ポート、プロトコル、LAN IPアドレス、WAN開始・終了ポートです。 38450/38450UDP192.168.1.7338450/38450 38450/38450TCP192.168.1.7338450/38450 8621/8621TCP192.168.1.738627/8627 38450/38450UDP192.168.1.7938451/38451 28137/28137UDP192.168.1.6728137/28137 28137/28137TCP192.168.1.6728137/28137 22767/22767UDP192.168.1.6922767/22767 22767/22767TCP192.168.1.6922767/22767 8621/8621TCP192.168.1.798621/8621 13501/13501TCP192.168.1.8229404/29404 8126/8126UDP192.168.1.8229404/29404 8733/8733TCP192.168.1.8217678/17678 10660/10660UDP192.168.1.8217678/17678 怪しいと思う点は以下。 1.聞いたことのないようなポート番号ばかりがLANポートに設定されている 2.やたら多くのマシンにポートフォワーディングが設定されている(恐らくほとんどのマシンは個人のパソコンであり、サーバではない) 3.プロトコル以外、全く同じ設定(同一マシン、同一ポート)が重複されて登録されている箇所がある 4.Advanced Port Scannerというソフトを使ってこれらのマシンにポートスキャンをかけてみたが、これらのLANポートは現在開いていない模様 5.設定が日々増えている。2、3日ほど毎朝チェックしてみたが、どうやら毎日2行くらい増えている模様(現在36行、恐らくこのルータは長い間設置されているので、どこかのタイミングで初期化されていると思われる) といった状況なのですが、ルームメイトの誰かがこのような設定を毎日追加しているとは思い難いし、これらの設定がどのような目的で使われているのかもわかりません。ひょっとしたら怪しげな設定を勝手に追加するマルウエアがルータにインストールされてしまったのではないかとも思っています。ちなみにリモートマネージメントは無効になっているので、外部の人間がリモートでログインする可能性は低いかと思っています。 このルータに何が起こっているのか、推測できる方いらっしゃいますでしょうか?そして、もしこれが悪意のある人間の仕業だとしたらどのような対策をしたら良いでしょうか?宜しくお願いします。
↧