サーバー管理者の日記


by nwebjp
カレンダー
S M T W T F S
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31
お客様からパソコンが起動しないとのTEL
症状からして、HDDの故障のようだった。
お急ぎのようだったので、急遽2.5インチのHDDを購入して
HDDの交換。

DELLのLatitudeだったので、比較的簡単に交換を終了し、
OSの再インストールとドライバのインストール。

交換したHDDを確認したが、やはりクラッシュのようだった。
お客様はバックアップをとっていなかったようで、宣告するのがつらかった。
お話では、建築関係の仕事をしているので、CADの図面が入っていたようである。

そういえば、先日サポートした不動産屋さんも、HDDがクラッシュして、データを
失った。こちらもバックアップはしていなかった。

OSやソフトはインストールしなおせば、元に戻るが、自分が作成したデータは
戻せない。バックアップの大切さを改めで思い知らせてくれる案件であった。

その他、プリンタのトラブルと「サッサー」ウィルス駆除案件、無線LANの
設定の合計4件のサポートとLinuxサーバーのメンテで一日が終わる。
[PR]
# by nwebjp | 2004-05-12 22:57 | サポート日記
本日サポート案件3件。すべてサッサーを含むウィルス感染が原因でした。
これで、ゴールデンウィークから私の休日がなくなってしまいました。

ここでサッサーについてまとめておきましょう

WORM_SASSER「サッサー」ウイルスは、日本時間2004年5月1日夜、
アメリカで感染報告が確認されました。現在数種の亜種が発見されております。

これらワームはセキュリティホールを利用して攻撃対象のコンピュータをリモート
コントロールし、FTPで自身のコピーを転送後実行します。

これらワームの利用するセキュリティホールは Windows 2000/XP の
「LSASSの脆弱性 (CAN-2003-0533)」と呼ばれるセキュリティホールです。
このセキュリティホールを利用できるのはWindows 2000/XP のみであるため、
それ以外のWindows 95/98/ME/NT/Server2003 などのシステムに侵入
することはできません。


しかし、W32.Sasser.B.Worm などの亜種は、Windows 95/98/Me
コンピュータ上でも動作することに注意してください (ただし感染活動は行いま
せん)。
Windows 95/98/Me システムは、このワームに感染することはないものの、
脆弱なシステムに接続するためにワームによって利用される可能性があります。
その場合、このワームは大量のリソースを消費するため、このワームの駆除
ツールも含め、様々なプログラムが正常に動作できなくなる可能性があります。
(Windows 95/98/Me コンピュータ上で駆除ツールを使用する際には、必ず
セーフモードでツールを実行してください。)

今後、国内で非常に広範囲に感染が拡大する恐れがあります。
今後の被害防止のため、ウイルス対策ソフトの使用や脆弱性の修正プログラム
の適用を行うなど、使用されているコンピュータのセキュリティの再確認をお
勧めします。

Windows脆弱性の修正プログラムとして
マイクロソフトから配布
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

Windows 2000 用セキュリティ問題の修正プログラム (KB835732)
Windows2000-KB835732-x86-JPN.EXE

Windows XP 用セキュリティ問題の修正プログラム (KB835732)
WindowsXP-KB835732-x86-JPN.EXE

駆除ツールとして
マイクロソフトから配布
http://www.microsoft.com/downloads/details.aspx?FamilyId=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en
Sasserワームの駆除ツール
Windows-KB841720-ENU-V2.exe

シマンテックから配布
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html
W32.Sasser 駆除ツール
FxSasser.exe

トレンドマイクロから配布
http://www.trendmicro.com/jp/support/dcs-licence.htm
ダメージクリーンナップサービス
auto_tsc.com

http://www.networkassociates.com/japan/security/stinger.asp
AVERTウイルス駆除ツール
stinger.exe

などが公表されていますので、ご確認、ご利用ください。

W32.Sasser.B.Worm は、Windows をシャットダウンと再起動を繰返し行う
状態に陥らせる能力を持っています。
このような事態が発生した場合、修正プログラムのインストールや、駆除
ツールの実行ができなくなります。
このような状況下に陥った場合、システムがシャットダウンしないように
するためには、下記の手順を実行してください。
(ステップを実行するための時間的余裕は約 20 秒間しかないため、
数回実行する必要があるかもしれません。)
(Windows 2000 上では、この手順を行っても効果はありません。)

手順は、
コンピュータをネットワーク/インターネットに接続している場合は、接続を
切ります。(必要であれば、ケーブルを外してください。)

コンピュータを再起動します。
Windows が起動し、デスクトップ画面が表示されたら、すぐに
[スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。

次のコマンドを入力し、
cmd
その後、Enter キーを押します。

次のコマンドを入力し、
shutdown -i
その後、Enter キーを押します。

[リモート シャットダウン ダイアログ] が開いたら、[警告を表示する時間]
の値を、"20" 秒間から、次の値に変更し、
9999
その後、[OK] をクリックします。

これにより、修正プログラムのインストールやウイルス定義の更新などの
操作を実行する時間的余裕が 3 時間与えられます。
この間に、修正プログラムのインストールや、駆除ツールの実行を行って
ください。

よろしくお願いいたします。
[PR]
# by nwebjp | 2004-05-09 23:40 | サポート日記

スパイウェアも流行

ウィルス「サッサー」に加え、スパイウェアも流行しています。

スパイウェアとは、知らないうちにパソコンにインストールされてしまい、
様々な被害をもたらすプログラムのことです。

スパイウェアによる被害の一例
・インターネットエクスプローラーの最初に表示するページを書き換える
・広告を自動表示する
・ユーザーの情報を送信したり、特定の広告主のサイトに飛ばそうとするもの
・ダイヤルアップの接続先を勝手に作成し、変更してしまうもの

スパイウェアを駆除するために"Spybot"や"Ad-aware"などといったソフトを
使用します。今回は、Spybotについてご紹介します。

ソフトのダウンロード
1.Spybotをダウンロードします
http://spybot.eon.net.au/
に接続します

2.左のメニューの"Download"をクリックします。

3."Spybot - Search & Destroy 1.2 - product description"の表示の右の
"Download here"と書いてあるボタンをクリックします。

4.ダウンロードサイトがいくつか表示されます。
"Download here"と書いてあるボタンをクリックします。
先のダウンロード方法は、サイトによって違いますが、すぐにダウンロードが
始まったり、行った先のサイトで"Download Now"の文字やボタンをクリック、
等です。
"spybotsd12.exe"をダウンロードするかの表示がでます。

5.ダウンロード終了後、ファイルをダブルクリックしてインストールします。

スパイウェアをスキャンする。
1.Spybot起動後、言語の選択でJapaneseを選択します。

2.アップデータをダウンロードすることにより、新しいスパイウェアに対応する
ことができます。
アップデータを検索→アップデータをDownload

3.左の"検索&修正/削除"を押し、下の方の"スキャン開始"をクリック。
コンピュータのスキャンが始まります。

4.スキャン終了後、スパイウェアの一覧が表示された後、"問題箇所を修正/削除"
ボタンをクリックし、駆除します。

※左のメニューの"免疫"ボタン→"免疫化"によりある程度事前にスパイウェアを
遮断することができます。
[PR]
# by nwebjp | 2004-05-07 22:54 | ウィルス・スパイ
現在、Windowsの脆弱性(MS04-011)を悪用し感染する
W32.Sasser.worm「サッサー」ウイルス及びその亜種が発生しています。
今後、国内で感染が拡大する恐れがあります。今後の被害防止のため、
ウイルス対策ソフトの使用や脆弱性の修正プログラムの適用を行うなど、
使用されているコンピュータのセキュリティの再確認をお勧めします。

「サッサー」はWindows 2000、XP の「LSASSの脆弱性
(CAN-2003-0533)」と呼ばれるセキュリティホールを利用して
ワーム活動を行います。
セキュリティホールを利用して攻撃対象のコンピュータをリモートコントロール
し、自身のコピーを転送後実行します。
このセキュリティホールへの攻撃はTCPポート445番に対して行なわれます。

マイクロソフトウィンドウズのセキュリティホールを利用することで繁殖し、
ユーザによる干渉がなくてもマシンからマシンへとウイルスを広げていきます。
メール受信などの添付ファイルを媒体として感染するものではなく、直接
コンピュータに攻撃をするものです。

ワームの被害に遭わないために、またセキュリティの観点からも以下の
マイクロソフト社の説明を参照し、セキュリティホールを修正してください。

詳しいSasser ワームについてのお知らせとSasser ワームの対策については
http://www.microsoft.com/japan/security/incident/sasser.mspx
をご覧ください。

まずは、最初にご利用のパソコンのウインドウズアップデートを
http://windowsupdate.microsoft.com/
を確認されることをお勧めします。
[PR]
# by nwebjp | 2004-05-06 23:48 | サポート日記
本日のサポート案件は3件
無線LANの設定2件とスパイウェアの駆除1件!!

無線LANは2件ともBuffalo

1件目はWin XPディスクトップ(有線)とWin Meノート(無線)の構成。
これは無難に終了。

2件目はWinXPノート(有線)とプレステ(無線・Ethernetメディアコンバータ)
との接続。最近プレステを接続してほしいとの案件が増えてきた。
こちらも難なく終了する予定が、なぜか、無線を暗号化(WEP)すると、
Ethernetメディアコンバータ経由で、ルーターのDHCPサーバー
でIPアドレスを取得できないという症状。

プレステやPCのNICに手動でIPを入力してあげると、問題なく接続できる。
原因は、多分Ethernetメディアコンバータだろう。

お客様の了解を得て、無線を暗号化せずに、無線ルーターに
プレステとPCのNICのMACアドレスを登録し、接続制限をすることで
セキュリティを確保する。

◎Ethernetメディアコンバータ
WLI-TX1-G54



3件目は、スパイウェアの案件。
怪しげなサイトを閲覧し、ブラウザをハイジャックされたらしい。
スパイウェア駆除ソフトで解決。
[PR]
# by nwebjp | 2004-05-05 23:20 | サポート日記

最近多いスパイウェア

怪しげなWebサイトを開いて、意味もわからずに「OK」をクリックしていると、
スパイウェア」などがインストールされる可能性が高い。

スパイウェアがインストールされると下記のような症状を発症します。

・無許可でシステムを調査し、統計情報を収集して第三者に送信する「スパイウェア」
・ポップアップ広告をしつこく表示する「アドウェア」
・Webブラウザを強制的に終了する「ブラウザクラッシャ」
・勝手に別のWebページを表示する「ブラウザハイジャッカー」
・Webブラウザ起動時のホームページ設定を書き換える「ホームページハイジャッカー」
・消せない「お気に入り」
・Webサイトに勝手に無関係な広告をはり付けて見せる「Scamware」
・パスワードなどのキー入力をキャプチャして第三者に送信する「キーロガー」
・ウィルスの一種である「トロイの木馬」
・国際電話などに勝手にかける「ダイヤラー」
・「Messenger」サービスを利用した第三者からのメッセージ
・オンラインカジノなどの無許可でインストールされるアプリケーション

パソコンの調子がおかしいと思ったらウィルスと同様にスパイウェアを疑って
みましょう
[PR]
# by nwebjp | 2004-05-04 23:31 | ウィルス・スパイ