- - PR -
windows serverのウイルス対策について
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-05-05 00:34
こんにちは。
windows server初心者です。 いままで、linux系に慣れていた為、勝手が分からず手間取っています。 自社内に、windows2000serverを2台設置しています。 一つはDNSサーバ用+wwwサーバ用で、もう一つはデータベースサーバとして使っています。 自社メインサーバ及び顧客サーバは、管理含め外部に委託しており社内にあるのは全てテスト用サーバです。 昨日突然、社内のネットワークが重くなり調べてみるとデータベースサーバとしているwindows2000serverの 特定のプログラムがcpuを占有していました。これを停止させると元通りになりました。 そのプログラムはどうやらワーム型のウイルスで、これが外部に大量のパケットを送信していたようです。 テスト用という事・予算があまり無い事もあって、ウイルス対策ソフトなどはインストールしていなかった のですが、とりあえずマカフィーの、VirusScan Enterprise のトライアル版をダウンロードして対処して みました。ドライブを全てスキャンしてみると、両windows server共2つのウイルスに感染しておりました。 まだ、導入して数日しか経過してないのと、windows updateは全て対応済みなのに、もう感染していた事に びっくりです。windows2000serverって、こんな簡単に感染しちゃうんでしょうか? あと、windows server用のウイルスソフトを調べたらマカフィーもノートンも、トレンドマイクロ社のも7万円くらい するみたいですが、もっと安いのって無いのでしょうか?どなたかアドバイスありましたら、宜しくお願いします。 | ||||||||||||
|
投稿日時: 2005-05-05 07:26
FirewallがしっかりしていないとPatchを適用している過程で Virus感染というのもありえますね。 あと、WindowsUpdateで適用されないPatchとかもあるので MBSAとかでCheckされることをお勧めします。 実は、SQL Serverを利用していて、SP3aがあたってなかったりして・・・ (ちなみに、持ち込みPCを認めている現場でSlamerを目撃したことがあります・・・ Firewallでとめているのになぜ?と思ったら、どうやら休止状態で 持ち込まれたようです。) あと、感染経路は調べておいたほうがいいでしょうね。 (なんとなく、どこかに抜け穴がある可能性が大のような気がします)
Server専用のものでもなくても動作するものはありますよ。 Test用ということなので、それでもいいような気がします。 個人的な検証機には、NOD32をいれてます。 | ||||||||||||
|
投稿日時: 2005-05-05 11:28
ちゃっぴさま。ご教示ありがとうございます。
MBSAですね。さっそく試してみたいと思います。
データベースはoracle9iです。
httpdのアクセスログを調べてみると、linuxでは見た事無いものがありました。 XXXXX…というのは、linux環境でも良く見られワームのスキャンという事は分かっていたのですが、エンコードできない文字列が数十行に渡って記録されてました。しかもエンコードされた部分はexeへアクセスしてます。これでしょうか… となると、IIS経由の感染という事なんでしょうか?
NOD32早々調べてみました。 http://canon-sol.jp/product/nd/product.html ちゃんと2000server対応で、安いですね!教えてくれて、ありがとうございます。 実は、知人の会社からServerProtectを1サーバ分買ってしまったのですが、もうひとつはこれにしてみます。 | ||||||||||||
|
投稿日時: 2005-05-05 11:31
ワクチンソフトの導入はもそうですが、まずは感染経路を突き止めるのが大切です。
感染したサーバーがインターネットに公開されておらず、そのサーバーに接続する クライアントのウィルス対策がきちんとなされているなら、サーバーが不正プログラム に侵される可能性は少ないはずですから。 #もしかして、インターネットに公開しているサーバーなのでしょうか? トレンドマイクロの ウィルスバスターcorpは 公式にサーバーバージョンのOSに対応しています。 一ライセンスは7000円程度(更新の場合は半額)とクライアント対策をするのと この点では変わりがありません。 ただし、corpサーバーの準備が必要なことと、corpサーバー自身にはサーバー専用の ワクチンソフトをインストールしなくてはいけないことが難点です。 サーバー台数が今後増える予定があるなら、価格的にはメリットがあると思います。 #近頃問題を起こしたけど、それが逆に今後の安心につながる・・・・・かな? | ||||||||||||
|
投稿日時: 2005-05-05 12:50
これはSymantecでも同様です。 他のメーカでも多分同様です。 SOHO向けのラインナップを検討するのが無難だとは思いますが、 全体の台数次第なので、各メーカに問い合わせてみれば、最適な製品を選んでくれると思いますよ。
元々の体制が未熟過ぎるのが顕在化したわけですから、 まともな状態になるのにしばらく時間かかると思います。 | ||||||||||||
|
投稿日時: 2005-05-05 17:22
こんにちわ.
この場合,client/server suite という製品として購入しないと, server には導入できないのでは? virus buster corporate edition としての仕様では対応していても, license という意味では「買い方」を考慮する必要があるかと. 間違っていたらゴメンナサイ. せめて personal firewall などで護った状態で無いと, Internet に繋げた途端に攻撃に晒されるかと. これは Windows に限りませんけど, 無防備であれば攻撃を受けるのは必然ですから, 公開するなら「最低限の防御の手段」を必ず整えるべきかと. 以上,ご参考までに. | ||||||||||||
|
投稿日時: 2005-05-05 20:56
今晩は。
http://www.geocities.co.jp/SiliconValley-SanJose/3220/XP-service.htm http://gtrz.s7.xrea.com/doc/service.php 公開するならば、上記とかを見て不要なサービスは起動しない様にしましょう。 必要最小限のサービスだけを起動する様に。 今回の事象とは関係ないですが、後はきちんとログを見る様にしましょう 
| ||||||||||||
|
投稿日時: 2005-05-05 21:35
皆様、ご教示ありがとうございます。
僕の会社では、制作したサイトやプログラムを業者間でチェックし合ったりしなければならないので、一部ではありますが公開しているところもあります。ただ、今まではそれを外部委託のサーバ上で行っていたのです。それもlinuxサーバで用は足りていました。ただここのところ、windows severを使わなければならないお仕事(ASPやwindows media等)が増えてきた為に、必要となった訳です。
一応、WatchGuard社のFirebox X15を導入しています。ただ保守契約は高いので自分で設定したりしてますが、なんちゃって程度の知識しかないので肝心な所が抜けているのかもしれません。(なんたって日本語マニュアルが無いもんで…) ウイルスソフトですけど、ほとんどの製品がライセンス体系が分かりにくくて(まあ、これはウイルスソフトに限らずですが)1ライセンスとかでは売ってないんですよね。 小さな会社ですがサーバも含めて18台ほどあるのですが、全てがWindowsじゃないのでまとめてライセンスを買う事はできません。 問題のWindowsサーバですが、早々MSBAでチェックしたところ、2つばかり×が出ました。 一度、ネットワークを遮断して指摘箇所を修正して、ついでにAdministrator権限のユーザも含め全てのユーザパスワードを変更しました。NAOご紹介のサイトもチェックしてみようと思います。 皆さん本当にありがとうございます。 | ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。