web-dev-qa-db-ja.com

専用サーバーからの攻撃にどのように対応しますか?

ホストされている専用サーバー(OS-Windows Server 2008 R2)からの異常なアウトバウンドトラフィックのピークがありました。問題が解決しない場合、ホスティング事業者はサーバーをブロックすると脅迫しました。

サーバーには、ASP.NET MVCアプリケーションとSQL Server 2008 Expressデータベースがインストールされています。

その後、不足しているセキュリティパッチをすべてインストールし、パスワードを変更して強化し、Microsoft悪意のあるソフトウェアの削除ツールでサーバーをスキャンしました(何も見つかりませんでした)。しかし、問題が解決したとは思いません。

そのような場合、何をすべきですか?

6
rem

本当に偏執的である場合は、データのみを抽出し、サーバーを完全にリロードしてください。

ほとんどの場合、起動可能なウイルス対策レスキューディスクからサーバーを起動し、フルスキャンを実行すれば十分です。カスペルスキーの無料の起動可能で更新可能なレスキューディスクをお勧めします。

ftp://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/

ブータブルスキャナーを使用することが重要です。最近のマルウェアの中には、起動プロセス中に完全に見えなくなり、セーフモードであってもスキャナーから隠れるものがあります。 CDから起動することで、マルウェアにチャンスを与えることはありません。

10
David Schwartz

ここで本当に問題なのは何ですか?

ネットワークトラフィックの突然のピークは、一部のプロセスが実行されていること以外は何も示しません。

「突然の異常なピーク」と言ったときは、トラフィックが多く(通常は発生しません)、短時間でした。

それはバックアップルーチンになるのでしょうか?また、短時間で大量のネットワークトラフィックが発生します。

おそらく問題はあなたのサービスプロバイダーにありますか?突然のネットワークのピークが彼らを閉鎖するのに十分である場合、私は別のプロバイダーを他の場所で探すでしょう。おかしな考えは、あなたのプロバイダーがあなたにサービス拒否攻撃を実行することを効果的に脅かしていることです。

おそらく、異常なネットワークトラフィックについてさらに詳しい情報がありますか?

8

最初に行うことは、ファイアウォールを使用することです(マシン上のソフトウェアよりもハードウェアファイアウォールを優先してください)。悪意のある送信トラフィックを検出してブロックするように設定します。この設定では、帯域幅使用の不要なピークを回避するか、少なくともその発生を最小限に抑える必要があります。実際、これはあなたの活動を妨げる可能性がありますが、ISPによってブロックされるほどではありません。

さらに、ファイアウォールは警告を発し、状況を分析して問題の原因を特定するのに役立ちます。

2番目に行うことは、ウイルスとマルウェアの可能性についてマシンをスキャンすることです。これを実行したことは承知していますが、ツールがすでにウイルスに感染している可能性があるため、感染した可能性のあるシステムからではなく、オフラインモードで実行する必要があることを思い出させてください。

データをバックアップして新しいシステムを最初からセットアップする方が便利で経済的かもしれません。

3
M'vy