不明なアクセス通信について

Question

Windows Server2008 R2のサーバにいおいて、全NWセグメントに対して、137番ポートでのアクセスがある場合、どういった通信になりますか？

ウイルス感染しているのではないかと考えていますが、どうでしょうか？

Answer 1

Windows Server2008 R2のサーバにいおいて、全NWセグメントに対して、137番ポートでのアクセスがある

この書き方がそもそも不明瞭で不正確で意味不明です。

どこに（誰に）質問されるにせよ、正しい用語で理解可能な内容の質問をしてください。

Answer 2

ここ、Microsoft コミュニティは、コンシューマー向けの話題を扱う事を目的としたサイトです。Windows Server の話題は、Technet フォーラム が担当です。今後は、Technet フォーラム - Windows Server 2008 に投稿するようにしてください。なお、Technet フォーラム は、ユーザー登録後、24 時間が経過しないと投稿できないはずです。

　Windows Server 2008 R2 は、2020/1/14 にサポート終了となっています。

Windows Server 2008 R2 - Microsoft Lifecycle | Microsoft Learn

　ESU（拡張セキュリティ更新プログラム）を契約していないなら、新しいパッチが提供されなくなって結構な時間が経っているので、セキュリティ上のリスクが高くなっています。早急にサポート中の OS への移行を検討すべきと思います。

　137 番ポートでのアクセスというだけでは、情報が足りません。普通に PC を使っているならば、使われているポートなので。もし、使用者がいなくて、かつ、スケジュールされたタスクも無いはずの時間帯にも関わらず、大量の通信があるとかなら、マルウェアを疑った方が良さそうに思います。

Answer 3

Windows Server2008 R2のサーバにいおいて、全NWセグメントに対して、137番ポートでのアクセスがある場合、どういった通信になりますか？

「全NWセグメントに対して」という聞きなれない用語が何のことを言っているのか、それが今回の質問とどの様な関係があるのかが理解できませんが、それはさておき、TCP 137番ポートは、検索してみればすぐ分かる通り、古くからWindowsの一般的なファイル共有等で使用する NetBIOS用のポートです。

気になるのであれば、ご自身で Windows ファイアウォールを設定する等して、動作確認されることをお勧めします。私はローカルネット内の通信に関しては、TCP 137が有効なWindowsのデフォルトのファイアウォールの設定で特に問題を感じたことはありません。

なお当然のことですが、TCP 137等のNetBIOSポートはインターネットの外部接続では入力（着信）も出力（送信）もDMZから外ではファイアウォールで遮断して運用しています。

ウイルス感染しているのではないかと考えていますが、どうでしょうか？

ポート番号とウィルスやマルウェア感染は直接的な関係はありませんが、今回の質問のケースで、これだけの情報だけだと、私はウイルス感染していると思われる証拠は一つも無いと思います。

「絶対にウイルス感染ではありません」とは断定していない点にご注意ください。