自宅の自家製サーバーがゾンビ・ボット化した場合の対処法は？

もし自宅の自家製ＷＥＢサーバーがゾンビやボット化された場合、ＰＣ・サーバ内部のすべてのパーテーションやディスクを初期ＳＥＴＵＰ画面から削除し、完全フォーマットを行い、ＯＳの再インストールをすればゾンビ・ボットされたＰＣは正常動作にもどりますか？それとも一度ゾンビ・ボットされたＰＣはＩＰアドレスやポートなどが知られているためリカバリや再インストール等をしようとも再度かんたんにゾンビもしくはボットされますか？ゾンビ・ボット化された場合の最善策はどうされていますか？

No.2 ベストアンサー 回答者： ryu-fiz 回答日時： 2007/12/06 23:31

当方、自宅サーバを立ち上げた経験がないので、参考程度に。

>もし自宅の自家製ＷＥＢサーバーがゾンビやボット化された場合、ＰＣ・サーバ内部のすべてのパーテーションやディスクを初期ＳＥＴＵＰ画面から削除し、完全フォーマットを行い、ＯＳの再インストールをすればゾンビ・ボットされたＰＣは正常動作にもどりますか？

一先ず正常動作に戻ると考えられます。

>一度ゾンビ・ボットされたＰＣはＩＰアドレスやポートなどが知られているためリカバリや再インストール等をしようとも再度かんたんにゾンビもしくはボットされますか？

不正侵入を受けたり悪質な感染にあった結果ゾンビ化したり、ボットに乗っ取られたりするのは、単にIPアドレスや開いているポートが把握されているからではありません。感染や不正侵入に遭いやすい要因となる弱点が存在しているためです。ですので、

>ゾンビ・ボット化された場合の最善策はどうされていますか？

一旦ゾンビ・ボット化されたら、というのではなく、まだされていない場合でも何でも、感染や不正侵入に遭いにくい設定をサーバに施す、ということが大切なのです。それさえ出来ていれば、必ずしもIPアドレスを別のものに変えたりプロバイダを変更したりすることは必須ではないと思います。例えて言うなら…一度泥棒に入られたら、その家は売り払って転居しなくてはいけないでしょうか？違いますよね。

転居することで、同じ泥棒に簡単に目を付けられて繰り返し被害に遭うことはなくなるかも知れませんが…防犯対策が出来ていない状態では同様な被害に程なく遭う可能性は高いと考えることが出来るでしょう。

では、どうすればよいか？だいたいこんな感じだと思います。

１）サーバとして公開するPCには、必要最低限のアプリケーション以外は入れない。また、不要なサービスは極力停止すること。

２）サーバプログラムやWebアプリケーションの脆弱性情報に注意し、必要に応じて最新のプログラムに更新することを怠らない。

３）クライアントPC同様に、ウイルス対策ソフトやファイアウォールはやはり必要です。もちろん、ウイルス対策ソフトはサーバ対応の専用品が必要でしょうし、ファイアウォールはクライアントPC向けのパーソナルファイアウォールタイプではなく、パケットフィルタタイプのものをチョイスしなくてはいけないだろうとは思います。

http://eazyfox.homelinux.org/

不要なサービスを停止させ、不必要なプログラムが動作しない状態に下上で、ファイアウォールを使ってサーバ公開に不必要なポートを塞ぐようにしておくことがサーバ向けセキュリティの骨子になるのではないかと思われます。パスワード漏洩も不正侵入などの一因にはなると思いますが…注意すべきなのはそれだけじゃないでしょうね。

総務省が公開している情報ページをリンクしておきます。
http://www.soumu.go.jp/joho_tsusin/security/home …
http://www.soumu.go.jp/joho_tsusin/security/j_ho …

この回答への補足

ご回答ありがとうございます。自宅の自家製サーバにはシマンテックのEndpoint Protection を インストールしてウイルス対策やファイヤウォール対策をしていたので、通常の一般家庭のＰＣよりは良いほうだと思います。しかし、サーバレベルになるとどこまでファイヤウォール対策ならびにクラッカーもしくはハッカー対策をすれば良いのか。。。わたしの考えではEndpoint Protectionをインストールして少し長めにサーバ運用しようと思っていました、それと、対策ソフトによっては善玉のステルス技術によってＰＣもしくはサーバーのポートの部分をネット上では見つけられないようにするという善玉のステルス技術を使ってもネット上からのクラッカー・ハッカー不正侵入とボット・ゾンビ化はありえますか？マルウエアのインストールやウイルス添付ファイルの開封からではなくて。。。

補足日時：2007/12/07 00:09

No.4 回答者： waros99 回答日時： 2007/12/10 02:08

こんにちは。

ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。

まあ、ボクが思うに自宅鯖を公開するような人がそもそもこんな質問をしてる時点でどうかなと。

例えば、要求に対して静的なページを返すだけならOSやWEBサーバーを最新の状態に保つ+Endpoint Protectionでなんとかなるでしょうけど、動的ページ生成がある場合は簡単ではないでしょうね。WEB Auditingとか勉強しないと駄目でしょうし。

No.3 回答者： ryu-fiz 回答日時： 2007/12/08 00:48

まず…Stealthの技術はクライアントPC、つまりWebサイトを利用する側のPC向けのものです。

サーバ向けには使えません。

Stealthの技術を利用すると、自機の側から相手にアクセスを要求しない限り、外部からのアクセスに対して無反応の状態になります。例えて言うなら、相手がノックして来てもそれに対して反応しない、というのがStealthです。

つまり、そちらのサーバで公開しているWebサイトにアクセスして来たPC全てに対して居留守を決め込む、という動作になってしまいます。これでは、何のためにサーバを立ててサイトを公開しているのか分からなくなりますよね？

結局…サーバを立ててサイトを公開する以上、サイトの利用に必要なポートは外部から常に見える状態にしなくてはいけない、ということです。ですから、不必要なポートを閉じると言う意味で、ファイアウォールを設定することは必要になります。まぁ、

>自宅の自家製サーバにはシマンテックのEndpoint Protection を インストールして

とありますので、その辺はほぼ問題ないとは思いますが（不必要なサービスの停止などの措置は行った方が良いとは思いますけど）。

ただねぇ…『サーバがゾンビ、ボット化されている』と書かれてますが…その実体がどういうものなのか今一つ分からないんですよね。本当に空きポートから侵入されてハックされ、サーバそのものが直にゾンビなりボットなりに征圧されたのかなぁ、と。

むしろ、Webアプリケーションに関わる脆弱性が悪用された結果、公開サイトが改鋳され、埋め込まれたiframeタグなどによって、サイト利用者が悪質なマルウェアをホスティングしているサイトにアクセスさせられ、マルウェアをダウンロードさせられる…ということになっているのではないかと。

例えば、Parl、Wiki（及びそのクローン）、Php、Manboなど様々なアプリケーションに存在するセキュリティ上の弱点が悪用され、コンテンツの改鋳やサーバ上での不正コードの実行からくる各種感染が引き起こされる可能性も十分にあると考えるべきです。

次の記述もちょっと気になりましたね。

>わたしの考えではEndpoint Protectionをインストールして少し長めにサーバ運用しようと思っていました

例えば、古くなって明らかに問題のあるOSやアプリケーションなどに存在するセキュリティ上の問題点＝脆弱性をセキュリティ対策ソフトで100%カバー出来るとは考えない方が良いです。そういうお考えでシマンテック製品を奮発したのであれば、やはり考え方を修正された方が良いと思います。

以上、思いつくまま書いてみました。

この回答へのお礼

ご回答ありがとうございます。私自身もっと勉強しなくてはという感じがしています。それとつい先ほど、知人のＰＣにウイルスが感染したらしく、ＮＯＤ３２でスキャンしたら未知のウイルスを検知してました。。。いまはそのＰＣも落ち着いています。最近、未知のウイルスはたくさん出回っているんですかね？

お礼日時：2007/12/08 04:36

No.1 回答者： goottiman 回答日時： 2007/12/06 20:34

こんばんわ、

乗っ取られてしまった場合の最善策はＬＡＮケーブルを引っこ抜き、
パソコンの電源をＯＦＦにすることです。その後、ウイルス対策ソフト
で、ウイルスチェックですね。
あと、プロバイダーを一旦解約して、また、新規にプロバイダー
契約して、新しいＩＰアドレスでサーバーを立て直すのが良いかと思います。

乗っ取られるということは、サーバーのユーザーＩＤとパスワードを
解析されてしまったということですから、安易なパスワードは避けるべきです。
数字や大文字、小文字、記号等を組み合わせ１０文字以上にしておくのが
良いでしょう。
あと、ＬＩＮＵＸとかＷＩＮ２００３とかだとウイルス対策ソフトは
結構高いのですが、入れておいた方がいいですね。ＷＩＮ２００３だったら
ＮＯＤ３２というソフトが安価でいいですよ。

この回答への補足

ご回答ありがとうございます。ボット化されたＰＣ・サーバーのＬＡＮケーブルと電源をＯＦＦにしてそのあと、ウイルス対策ソフトでスキャンということですが、それでも心配の場合は、内部ハードディスクを完全フォーマットしてＯＳを再インストールすれば、そのマシンにハード面（例：ＣＰＵ）での損傷がなければ、もとのように正常動作すると思って良いですよね？それと直ぐには現在の契約プロバイダは変えられないので、このボット化されたＰＣはそのまま卓上のデスクトップＰＣとして普通に使おうと思っていますので、完全フォーマットおよびリカバリで十分と思っていますが甘いですか？完全フォーマットの後、公開用サーバーとして使わずに普通の卓上ＰＣとして使うにも現在の契約プロバイダは変えたほうが良いですか？もちろん、普通の卓上ＰＣとして使うときにも高価なウイルス対策ソフトを入れて、たとえば、卓上ＰＣ のポートをステルスモードにしてネット上でそのＰＣ のポートが見つからないようにするなどファイヤーウォール対策などもしますが、甘いですか？　それとボット化されたかどうかの判断については、たとえば、ＮＯＤ３２でスキャンして、そのあとオンライン・スキャンを利用してノートンやカスペルスキーやウイルスバスターの３つでも徹底的にスキャンしてウイルス、マルウェア、トロイの木馬、ハックツール、スパイウェアなどが見つからなければその時点でのボット化はされていないと安心して良いのですよね？

補足日時：2007/12/06 23:57