- ベストアンサー
自宅の自家製サーバーがゾンビ・ボット化した場合の対処法は?
もし自宅の自家製WEBサーバーがゾンビやボット化された場合、PC・サーバ内部のすべてのパーテーションやディスクを初期SETUP画面から削除し、完全フォーマットを行い、OSの再インストールをすればゾンビ・ボットされたPCは正常動作にもどりますか?それとも一度ゾンビ・ボットされたPCはIPアドレスやポートなどが知られているためリカバリや再インストール等をしようとも再度かんたんにゾンビもしくはボットされますか?ゾンビ・ボット化された場合の最善策はどうされていますか?
- skyhigh213
- お礼率50% (7/14)
- ウィルス・マルウェア
- 回答数4
- ありがとう数2
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (3)
- waros99
- ベストアンサー率29% (162/544)
- ryu-fiz
- ベストアンサー率63% (2705/4228)
まず…Stealthの技術はクライアントPC、つまりWebサイトを利用する側のPC向けのものです。サーバ向けには使えません。 Stealthの技術を利用すると、自機の側から相手にアクセスを要求しない限り、外部からのアクセスに対して無反応の状態になります。例えて言うなら、相手がノックして来てもそれに対して反応しない、というのがStealthです。 つまり、そちらのサーバで公開しているWebサイトにアクセスして来たPC全てに対して居留守を決め込む、という動作になってしまいます。これでは、何のためにサーバを立ててサイトを公開しているのか分からなくなりますよね? 結局…サーバを立ててサイトを公開する以上、サイトの利用に必要なポートは外部から常に見える状態にしなくてはいけない、ということです。ですから、不必要なポートを閉じると言う意味で、ファイアウォールを設定することは必要になります。まぁ、 >自宅の自家製サーバにはシマンテックのEndpoint Protection を インストールして とありますので、その辺はほぼ問題ないとは思いますが(不必要なサービスの停止などの措置は行った方が良いとは思いますけど)。 ただねぇ…『サーバがゾンビ、ボット化されている』と書かれてますが…その実体がどういうものなのか今一つ分からないんですよね。本当に空きポートから侵入されてハックされ、サーバそのものが直にゾンビなりボットなりに征圧されたのかなぁ、と。 むしろ、Webアプリケーションに関わる脆弱性が悪用された結果、公開サイトが改鋳され、埋め込まれたiframeタグなどによって、サイト利用者が悪質なマルウェアをホスティングしているサイトにアクセスさせられ、マルウェアをダウンロードさせられる…ということになっているのではないかと。 例えば、Parl、Wiki(及びそのクローン)、Php、Manboなど様々なアプリケーションに存在するセキュリティ上の弱点が悪用され、コンテンツの改鋳やサーバ上での不正コードの実行からくる各種感染が引き起こされる可能性も十分にあると考えるべきです。 次の記述もちょっと気になりましたね。 >わたしの考えではEndpoint Protectionをインストールして少し長めにサーバ運用しようと思っていました 例えば、古くなって明らかに問題のあるOSやアプリケーションなどに存在するセキュリティ上の問題点=脆弱性をセキュリティ対策ソフトで100%カバー出来るとは考えない方が良いです。そういうお考えでシマンテック製品を奮発したのであれば、やはり考え方を修正された方が良いと思います。 以上、思いつくまま書いてみました。
お礼
ご回答ありがとうございます。私自身もっと勉強しなくてはという感じがしています。それとつい先ほど、知人のPCにウイルスが感染したらしく、NOD32でスキャンしたら未知のウイルスを検知してました。。。いまはそのPCも落ち着いています。最近、未知のウイルスはたくさん出回っているんですかね?
- goottiman
- ベストアンサー率66% (2/3)
こんばんわ、 乗っ取られてしまった場合の最善策はLANケーブルを引っこ抜き、 パソコンの電源をOFFにすることです。その後、ウイルス対策ソフト で、ウイルスチェックですね。 あと、プロバイダーを一旦解約して、また、新規にプロバイダー 契約して、新しいIPアドレスでサーバーを立て直すのが良いかと思います。 乗っ取られるということは、サーバーのユーザーIDとパスワードを 解析されてしまったということですから、安易なパスワードは避けるべきです。 数字や大文字、小文字、記号等を組み合わせ10文字以上にしておくのが 良いでしょう。 あと、LINUXとかWIN2003とかだとウイルス対策ソフトは 結構高いのですが、入れておいた方がいいですね。WIN2003だったら NOD32というソフトが安価でいいですよ。
補足
ご回答ありがとうございます。ボット化されたPC・サーバーのLANケーブルと電源をOFFにしてそのあと、ウイルス対策ソフトでスキャンということですが、それでも心配の場合は、内部ハードディスクを完全フォーマットしてOSを再インストールすれば、そのマシンにハード面(例:CPU)での損傷がなければ、もとのように正常動作すると思って良いですよね?それと直ぐには現在の契約プロバイダは変えられないので、このボット化されたPCはそのまま卓上のデスクトップPCとして普通に使おうと思っていますので、完全フォーマットおよびリカバリで十分と思っていますが甘いですか?完全フォーマットの後、公開用サーバーとして使わずに普通の卓上PCとして使うにも現在の契約プロバイダは変えたほうが良いですか?もちろん、普通の卓上PCとして使うときにも高価なウイルス対策ソフトを入れて、たとえば、卓上PC のポートをステルスモードにしてネット上でそのPC のポートが見つからないようにするなどファイヤーウォール対策などもしますが、甘いですか? それとボット化されたかどうかの判断については、たとえば、NOD32でスキャンして、そのあとオンライン・スキャンを利用してノートンやカスペルスキーやウイルスバスターの3つでも徹底的にスキャンしてウイルス、マルウェア、トロイの木馬、ハックツール、スパイウェアなどが見つからなければその時点でのボット化はされていないと安心して良いのですよね?
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_2_thumbnail_img_sm.png)
補足
ご回答ありがとうございます。自宅の自家製サーバにはシマンテックのEndpoint Protection を インストールしてウイルス対策やファイヤウォール対策をしていたので、通常の一般家庭のPCよりは良いほうだと思います。しかし、サーバレベルになるとどこまでファイヤウォール対策ならびにクラッカーもしくはハッカー対策をすれば良いのか。。。わたしの考えではEndpoint Protectionをインストールして少し長めにサーバ運用しようと思っていました、それと、対策ソフトによっては善玉のステルス技術によってPCもしくはサーバーのポートの部分をネット上では見つけられないようにするという善玉のステルス技術を使ってもネット上からのクラッカー・ハッカー不正侵入とボット・ゾンビ化はありえますか?マルウエアのインストールやウイルス添付ファイルの開封からではなくて。。。