[19280]
NT4.0にアタックされてしまいました
投稿者:も さん
2001-11-11 17:52:45
今日、サーバーにしているNb7にNT4(その時点spいっさい無し、ほぼインストール直後状態)をリストアしている最中、ちょっとSPのアップデートをしなければとネットにつながったままほっといていました。(その間別のWin98マシンでDLしていた)
気がつくとスイッチングハブなのにNb7にアクセスが・・・
初めはIP拾ってるのかな?くらいで、気にして無かったんですが、あまりにアクセスが在るので、チェックしたらHDD(A,B)ドライブ、Winntフォルダがリモートアクセスで共有されていました。(不覚です。トホホ
再インストール中だったため、とくに困るファイルもなく、問題の出るほどソフトも無かったのは幸いしたのか被害はそれくらいだったみたいなので今回はラッキーしてあきらめます。
DL中のWin98にはいじられた痕がなかったのが不思議なくらいです。<おそらくこっちはNetBEUIでネットワークを作ってTCP/IPのバインドすべてをを切っておいたのが幸いしたんだと思います。<SPのセットアップ終わったらNb7もそうする予定だったのに・・・・
セキュリティがほとんど全くない状態(一応ルーターはかまして、ポートはほとんどすべて殺してはいたが、それくらい)でやられたのでこれはあきらめるしか無いのですが、
今後このNb7を使ってセキュリティをたてようと再インストール中だったので、今後のために教えていただけると幸いです。
こういったことが起こった場合(起きないようにするのが前提ですが)、何らかのツール(バックドア、リモート系ツールとか)が残ってる可能性があると思うのですが、探すのは不可能でしょうか?それとも再インストールした方がてっとり早いんでしょうか?クラック、ハックツールには疎いのでその辺の対処法を教えていただけると今後の勉強になります。
#今回は、ルーター、クライアントのWin98マシンも含めてすべて順次リストアします。(何が残ってるか判らないのは怖いので
#インストール直後の丸裸なNTというのはセットアップ後のWin98より弱いんだ。と再認識しました。みなさんも気をつけましょう<こんなミスはおまえだけだって
-
0 さん
2001-11-11 22:13:20
OSのインストール時に広域ネットに接続していたのが、そもそもの間違いですね。Windowsが特に無防備ですが(というより弱点がよく知られすぎている)、Linuxなどの他のOSでも、セキュアな状態に設定するまでは広域ネットに接続しないということは、エンジニアの間では、いまや常識となりつつあります。
A$(A:),B$(B:),ADMIN$(A:WINNT)という共有名のものは、OSインストール時に自動的に作成される隠し共有で、デフォルトでは、Administratorsグループのユーザにしかアクセスできなかったはずです。上記の共有がこれらを指しているのならば、誤解である可能性があります。Administratorのパスワード設定を省略しているのなら、その限りではありませんけどね。
現在、行われているアタックのほとんどは、横着な管理者がいる端末やサイトに残存しているNimdaなどのワームやウィルスによるスクリプトアタックです。一般的な市販のウィルスチェッカならば、バックドア、リモート系ツールについてはたいてい検出できるはずです。(決して完全ではありません。)
-
も さん
2001-11-11 23:13:22
はい、以後気をつけます。m(__)m
誤解である可能性もあるんですね。出来れば誤解であって欲しいですね。<そのまえに共有してないことを確認してるのでたぶん誤解じゃないと思いますけど・・・(トホホ
-
エクセリア さん
2001-11-12 10:48:58
この間「どるこむ仲間の掲示板」でも似たような事例を見ました(汗
一番簡単かつ効果的な防御手段は「セットアップ中はLANケーブルを抜いておく」
なんです。これさえ守れば絶対外から攻撃は受けません(ぉ
-
まくつ さん
2001-11-12 16:54:20
>一番簡単かつ効果的な防御手段は「セットアップ中はLANケーブルを抜いておく」
加えて
「必要なパッチ類は先にダウンロードしてCDRにでも焼いておく」なんてのも
過去の経験則から学びました(TーT)ノ←何やら昔あったらしい
-
も さん
2001-11-15 02:06:56
早速、私の大嫌いな常駐ソフトであるセキュリティーソフトを買ってきました。
セットアップはぎりぎりまでスタンドアローンでやります。
パッチも先に落とします。
でもだいぶかかりそうだなぁこれじゃ・・・・・