2010年09月19日
Tweet
※2009/9/11 に書いた記事ですがなぜか公開していなかったので、本日分として掲載いたします。
お客様のところで、ウイルス騒ぎがありました。もともとウイルス対策ソフトを入れていないのに、外部に公開しているという、なんとも恐ろしい状態でした。僕としては、そのサーバーを構築・納品した、開発メーカーが悪いと思うのですが、信頼を損ねたことに関する保証はしてくれるのでしょうか。。。
さて、まだ状況がはっきりとは見えてきませんが、今の段階で分かっていることを。
・mal_pclient に感染し、他サーバーに対してアタックをかけたみたい。
その会社から警告が出て気づいたようです。
・進入経路がまだはっきりとしていない。
ただし、IIS経由だろうと思っていますし、かなり確度の高い証拠も出ていると思います。(脆弱性をスキャンした形跡があります)
・ウイルス検知ソフトで、検出・駆除を行う。
・ルーターで、ネットワークの隔離を行う。
ということで現在は落ち着いているようです。今後は snort などを提案してみたいと思います。
参考
cNotes

お客様のところで、ウイルス騒ぎがありました。もともとウイルス対策ソフトを入れていないのに、外部に公開しているという、なんとも恐ろしい状態でした。僕としては、そのサーバーを構築・納品した、開発メーカーが悪いと思うのですが、信頼を損ねたことに関する保証はしてくれるのでしょうか。。。
さて、まだ状況がはっきりとは見えてきませんが、今の段階で分かっていることを。
・mal_pclient に感染し、他サーバーに対してアタックをかけたみたい。
その会社から警告が出て気づいたようです。
・進入経路がまだはっきりとしていない。
ただし、IIS経由だろうと思っていますし、かなり確度の高い証拠も出ていると思います。(脆弱性をスキャンした形跡があります)
・ウイルス検知ソフトで、検出・駆除を行う。
・ルーターで、ネットワークの隔離を行う。
ということで現在は落ち着いているようです。今後は snort などを提案してみたいと思います。
参考
cNotes