- ベストアンサー
自宅の自家製サーバーがゾンビ・ボット化した場合の対処法は?
もし自宅の自家製WEBサーバーがゾンビやボット化された場合、PC・サーバ内部のすべてのパーテーションやディスクを初期SETUP画面から削除し、完全フォーマットを行い、OSの再インストールをすればゾンビ・ボットされたPCは正常動作にもどりますか?それとも一度ゾンビ・ボットされたPCはIPアドレスやポートなどが知られているためリカバリや再インストール等をしようとも再度かんたんにゾンビもしくはボットされますか?ゾンビ・ボット化された場合の最善策はどうされていますか?
- skyhigh213
- お礼率50% (7/14)
- ウィルス・マルウェア
- 回答数4
- ありがとう数2
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
当方、自宅サーバを立ち上げた経験がないので、参考程度に。 >もし自宅の自家製WEBサーバーがゾンビやボット化された場合、PC・サーバ内部のすべてのパーテーションやディスクを初期SETUP画面から削除し、完全フォーマットを行い、OSの再インストールをすればゾンビ・ボットされたPCは正常動作にもどりますか? 一先ず正常動作に戻ると考えられます。 >一度ゾンビ・ボットされたPCはIPアドレスやポートなどが知られているためリカバリや再インストール等をしようとも再度かんたんにゾンビもしくはボットされますか? 不正侵入を受けたり悪質な感染にあった結果ゾンビ化したり、ボットに乗っ取られたりするのは、単にIPアドレスや開いているポートが把握されているからではありません。感染や不正侵入に遭いやすい要因となる弱点が存在しているためです。ですので、 >ゾンビ・ボット化された場合の最善策はどうされていますか? 一旦ゾンビ・ボット化されたら、というのではなく、まだされていない場合でも何でも、感染や不正侵入に遭いにくい設定をサーバに施す、ということが大切なのです。それさえ出来ていれば、必ずしもIPアドレスを別のものに変えたりプロバイダを変更したりすることは必須ではないと思います。例えて言うなら…一度泥棒に入られたら、その家は売り払って転居しなくてはいけないでしょうか?違いますよね。 転居することで、同じ泥棒に簡単に目を付けられて繰り返し被害に遭うことはなくなるかも知れませんが…防犯対策が出来ていない状態では同様な被害に程なく遭う可能性は高いと考えることが出来るでしょう。 では、どうすればよいか?だいたいこんな感じだと思います。 1)サーバとして公開するPCには、必要最低限のアプリケーション以外は入れない。また、不要なサービスは極力停止すること。 2)サーバプログラムやWebアプリケーションの脆弱性情報に注意し、必要に応じて最新のプログラムに更新することを怠らない。 3)クライアントPC同様に、ウイルス対策ソフトやファイアウォールはやはり必要です。もちろん、ウイルス対策ソフトはサーバ対応の専用品が必要でしょうし、ファイアウォールはクライアントPC向けのパーソナルファイアウォールタイプではなく、パケットフィルタタイプのものをチョイスしなくてはいけないだろうとは思います。 http://eazyfox.homelinux.org/ 不要なサービスを停止させ、不必要なプログラムが動作しない状態に下上で、ファイアウォールを使ってサーバ公開に不必要なポートを塞ぐようにしておくことがサーバ向けセキュリティの骨子になるのではないかと思われます。パスワード漏洩も不正侵入などの一因にはなると思いますが…注意すべきなのはそれだけじゃないでしょうね。 総務省が公開している情報ページをリンクしておきます。 http://www.soumu.go.jp/joho_tsusin/security/homepage/server00.htm http://www.soumu.go.jp/joho_tsusin/security/j_homepage/server00.htm
その他の回答 (3)
- waros99
- ベストアンサー率29% (162/544)
こんにちは。 ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。 まあ、ボクが思うに自宅鯖を公開するような人がそもそもこんな質問をしてる時点でどうかなと。 例えば、要求に対して静的なページを返すだけならOSやWEBサーバーを最新の状態に保つ+Endpoint Protectionでなんとかなるでしょうけど、動的ページ生成がある場合は簡単ではないでしょうね。WEB Auditingとか勉強しないと駄目でしょうし。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
まず…Stealthの技術はクライアントPC、つまりWebサイトを利用する側のPC向けのものです。サーバ向けには使えません。 Stealthの技術を利用すると、自機の側から相手にアクセスを要求しない限り、外部からのアクセスに対して無反応の状態になります。例えて言うなら、相手がノックして来てもそれに対して反応しない、というのがStealthです。 つまり、そちらのサーバで公開しているWebサイトにアクセスして来たPC全てに対して居留守を決め込む、という動作になってしまいます。これでは、何のためにサーバを立ててサイトを公開しているのか分からなくなりますよね? 結局…サーバを立ててサイトを公開する以上、サイトの利用に必要なポートは外部から常に見える状態にしなくてはいけない、ということです。ですから、不必要なポートを閉じると言う意味で、ファイアウォールを設定することは必要になります。まぁ、 >自宅の自家製サーバにはシマンテックのEndpoint Protection を インストールして とありますので、その辺はほぼ問題ないとは思いますが(不必要なサービスの停止などの措置は行った方が良いとは思いますけど)。 ただねぇ…『サーバがゾンビ、ボット化されている』と書かれてますが…その実体がどういうものなのか今一つ分からないんですよね。本当に空きポートから侵入されてハックされ、サーバそのものが直にゾンビなりボットなりに征圧されたのかなぁ、と。 むしろ、Webアプリケーションに関わる脆弱性が悪用された結果、公開サイトが改鋳され、埋め込まれたiframeタグなどによって、サイト利用者が悪質なマルウェアをホスティングしているサイトにアクセスさせられ、マルウェアをダウンロードさせられる…ということになっているのではないかと。 例えば、Parl、Wiki(及びそのクローン)、Php、Manboなど様々なアプリケーションに存在するセキュリティ上の弱点が悪用され、コンテンツの改鋳やサーバ上での不正コードの実行からくる各種感染が引き起こされる可能性も十分にあると考えるべきです。 次の記述もちょっと気になりましたね。 >わたしの考えではEndpoint Protectionをインストールして少し長めにサーバ運用しようと思っていました 例えば、古くなって明らかに問題のあるOSやアプリケーションなどに存在するセキュリティ上の問題点=脆弱性をセキュリティ対策ソフトで100%カバー出来るとは考えない方が良いです。そういうお考えでシマンテック製品を奮発したのであれば、やはり考え方を修正された方が良いと思います。 以上、思いつくまま書いてみました。
お礼
ご回答ありがとうございます。私自身もっと勉強しなくてはという感じがしています。それとつい先ほど、知人のPCにウイルスが感染したらしく、NOD32でスキャンしたら未知のウイルスを検知してました。。。いまはそのPCも落ち着いています。最近、未知のウイルスはたくさん出回っているんですかね?
- goottiman
- ベストアンサー率66% (2/3)
こんばんわ、 乗っ取られてしまった場合の最善策はLANケーブルを引っこ抜き、 パソコンの電源をOFFにすることです。その後、ウイルス対策ソフト で、ウイルスチェックですね。 あと、プロバイダーを一旦解約して、また、新規にプロバイダー 契約して、新しいIPアドレスでサーバーを立て直すのが良いかと思います。 乗っ取られるということは、サーバーのユーザーIDとパスワードを 解析されてしまったということですから、安易なパスワードは避けるべきです。 数字や大文字、小文字、記号等を組み合わせ10文字以上にしておくのが 良いでしょう。 あと、LINUXとかWIN2003とかだとウイルス対策ソフトは 結構高いのですが、入れておいた方がいいですね。WIN2003だったら NOD32というソフトが安価でいいですよ。
補足
ご回答ありがとうございます。ボット化されたPC・サーバーのLANケーブルと電源をOFFにしてそのあと、ウイルス対策ソフトでスキャンということですが、それでも心配の場合は、内部ハードディスクを完全フォーマットしてOSを再インストールすれば、そのマシンにハード面(例:CPU)での損傷がなければ、もとのように正常動作すると思って良いですよね?それと直ぐには現在の契約プロバイダは変えられないので、このボット化されたPCはそのまま卓上のデスクトップPCとして普通に使おうと思っていますので、完全フォーマットおよびリカバリで十分と思っていますが甘いですか?完全フォーマットの後、公開用サーバーとして使わずに普通の卓上PCとして使うにも現在の契約プロバイダは変えたほうが良いですか?もちろん、普通の卓上PCとして使うときにも高価なウイルス対策ソフトを入れて、たとえば、卓上PC のポートをステルスモードにしてネット上でそのPC のポートが見つからないようにするなどファイヤーウォール対策などもしますが、甘いですか? それとボット化されたかどうかの判断については、たとえば、NOD32でスキャンして、そのあとオンライン・スキャンを利用してノートンやカスペルスキーやウイルスバスターの3つでも徹底的にスキャンしてウイルス、マルウェア、トロイの木馬、ハックツール、スパイウェアなどが見つからなければその時点でのボット化はされていないと安心して良いのですよね?
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_2_thumbnail_img_sm.png)
補足
ご回答ありがとうございます。自宅の自家製サーバにはシマンテックのEndpoint Protection を インストールしてウイルス対策やファイヤウォール対策をしていたので、通常の一般家庭のPCよりは良いほうだと思います。しかし、サーバレベルになるとどこまでファイヤウォール対策ならびにクラッカーもしくはハッカー対策をすれば良いのか。。。わたしの考えではEndpoint Protectionをインストールして少し長めにサーバ運用しようと思っていました、それと、対策ソフトによっては善玉のステルス技術によってPCもしくはサーバーのポートの部分をネット上では見つけられないようにするという善玉のステルス技術を使ってもネット上からのクラッカー・ハッカー不正侵入とボット・ゾンビ化はありえますか?マルウエアのインストールやウイルス添付ファイルの開封からではなくて。。。