特定のサイトにだけアクセスできないコマンドを使ってトラブルシューティング(7)(3/3 ページ)

» 2005年04月20日 00時00分 公開
[山本洋介@IT]
前のページへ 1|2|3       

書き換えられたhostsファイルを調査せよ

 ウイルススキャナのWebサイトやセキュリティ関連のWebサイトと一緒に、英人君がアクセスできないwindowsupdate.microsoft.comも0.0.0.0となっています。

 DNSサーバにアクセスする前にhostsファイルを参照して、windowsupdate.microsoft.comのIPアドレスは0.0.0.0とされてしまっていたので、いつまでたってもアクセスできないというわけでした。

 そういえば、Pingを打ったときに、

windowsupdate.microsoft.com [0.0.0.0]  

となっていたっけ……。 律子さんは自分の注意力のなさに頭を抱えましたが仕方ありません。とにかく対策です。 すぐに律子さんは、

127.0.0.1 localhost             

以下に書かれている部分を削除しました。すると、ちゃんとアップデートサイトにアクセスできるようになりました。これでようやく英人君のOSも最新版に保たれるようになりました。

 「netstatでローカルネットワークの状態が表示されますよ」 

 そうか、英人君のマシンの状態を見れば何か解決策が見えるかもしれない。そう思った律子さんはもう一度英人君のところに行ってみることにしました。

 早速netstatを実行してみることにします。

英人君のPCのネットワーク状態を調べる

C:\Documents and Settings\eight>netstat -a
 
Active Connections
Proto Local Address Foreign Address State
TCP eight:epmap avp.ch:0 LISTENING
TCP eight:microsoft-ds avp.ch:0 LISTENING
TCP eight:2869 avp.ch:0 LISTENING
TCP eight:1025 avp.ch:0 LISTENING
TCP eight:4913 localhost:4914 ESTABLISHED
TCP eight:4914 localhost:4913 ESTABLISHED
TCP eight:netbios-ssn avp.ch:0 LISTENING
TCP eight:netbios-ssn avp.ch:0 LISTENING
TCP eight:2869 192.168.72.2:51734 CLOSE_WAIT
TCP eight:2869 192.168.72.2:51740 CLOSE_WAIT
TCP eight:netbios-ssn avp.ch:0 LISTENING
UDP eight:microsoft-ds *:*
UDP eight:isakmp *:*
UDP eight:1037 *:*
UDP eight:1063 *:*
UDP eight:1066 *:*
UDP eight:1076 *:*
UDP eight:1104 *:*
UDP eight:4249 *:*
UDP eight:4500 *:*
UDP eight:ntp *:*
UDP eight:1036 *:*
UDP eight:1046 *:*
UDP eight:1900 *:*

 なに、このavp.chってサイト。怪しい。自分の机に戻って同じコマンドを試してみます。

自分のPCのネットワーク状態を調べる

Proto Local Address Foreign Address State
TCP ritsuk:epmap ritsuk:0 LISTENING
TCP ritsuk:microsoft-ds ritsuk:0 LISTENING
TCP ritsuk:2869 ritsuk:0 LISTENING
TCP ritsuk:1025 ritsuk:0 LISTENING

 落ち着いたところで原因をもう少し追究しようと話をしていると、英人君がこんなことをいい出します。

 「そうそう、最近なんで広告が出てくるのかと思ってたんだよね」

 英人君のおおらかさに、律子はしばし沈黙してしまいましたが、気をとりなおし「それはスパイウェアだよ!」 と正体不明の広告の実態を告げてあげます。どこかのサイトを見ていたときにスパイウェアがダウンロードされ、それがhostsファイルを書き換えていたようです。

 慌ててスパイウェア対策ソフトをダウンロードして、動かすといくつかのスパイウェアが見つかりました。これを削除してようやく一件落着ですが、他の人も同じようなことになっていないか調査に忙しい律子さんです。

ちょっと解説<hostsファイル書き換えのトラブル>

 スパイウェアやウイルスなどの不正なプログラムでは、Windowsアップデートなどのアップデートサイトやウイルス対策ソフトに関連したWebサイトなど、自身にとって不利益となるサイトへアクセスできないようにするものが最近増えています。

図1:スパイウェアによるhostファイル書き換えの仕組み 図1:スパイウェアによるhostファイル書き換えの仕組み

 基本的には名前解決するレゾルバがDNSよりも優先するローカルにあるhostsファイルにウソのエントリを追加して、接続できないようにしたり、偽のサイトにアクセスさせるようにします。

 ある特定のサイトにだけアクセスできなかったり、自分の予期しないサイトに飛ばされてしまうときには、hostsファイルを確認してみましょう。なお、hostsファイルを消しても消しても上書きされるときはウイルスや悪質なスパイウェアが動いていますので、早急に対策する必要があります。(著者)


この連載は@IT Master of IP Networkフォーラムの会議室のやりとりを参考にしています。



前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。