ちまちまのつれづれ

メインの猫日記はLoveLogにて。ここはそれの残りかす。
1234567
891011121314
15161718192021
22232425262728
2930     
<< September 2019 >>
このブログを書いている人
たつもとちまき
愛知県でサムライをやっています。
お仕事くださいm(_ _)m

猫の話題は黒猫ヤマトと福猫日記へどうぞ。
新着記事
カテゴリー別
月別
コメント新着
トラックバック新着
ちまきのホームページ

RSS1.0  Atom0.3

ブログのレンタルサービス JUGEM
paperboy&co.

スポンサーサイト

一定期間更新がないため広告を表示しています


author : スポンサードリンク | - | - | -
続報 クラッカー騒動 勝利宣言?
以前「クラッカーに攻撃食らって環境放棄する事を決めた友人のPC」の続報です。
はたして勝利宣言していいものかどうか自信はないんだけど、一応「障害なく軽快に動作してるよ」と報告があったので…

結局この機体は、
新規インストール
 ↓
 攻撃
 ↓
再インストール
 ↓
 攻撃
 ↓
再インストール
 ↓
 攻撃
 ↓
再インストール
 ↓
ようやく安定
と言う経過を経る事となり、全くもってちまきは未熟者です。もっと精進します。
まずわからなかったのが、進入口。
数年前に同じ家で(別のPC〜現在は正常稼働中)、メッセンジャー経由で攻撃を食らった経験から、メッセンジャーを根こそぎ削除してみたのですが、それでも攻撃はやって来るし。
ブートセクターが汚染されているのかとも思ったものの、Windowsのセットアッププログラムがどの程度のディスクのセットアップをやっているのか、よくわからないし。

結論から言うと、進入口はWindowsのリモートログオンでした。進入も何も「まんま管理者権限を取られとるがな」と言うオチですよ。

なるほど、どうりてセットアップしてから数時間で、攻撃をして来るわけですよ。ログイン名とパスワードが割れていたんですねぇ。IPはちょくちょく変更していたのですが「この通信会社のこの地域のIPを」と総当たりされれば、数時間でログインされてしまうと言うわけですよ。
で、次によくわからないのが、クラッカーの目的。
数年前の攻撃では、spamメールの発信元にされた事がはっきりわかったんですが、今回はとんと相手の目的がわからないんです。

ちなみに、攻撃の内容なんですが…
  • 1回目は、あちこちのフォルダのexeファイルを手当たり次第に消去してくれました。(それで、Windowsのシステム保護が働いた)この時にタスクマネージャーを起動しようとしたら、Windowsが強制終了してしまいました。
  • 2回目は、windows¥system32フォルダ内の主要なexeファイルの拡張子をcomにリネームされ、そのcomファイルも「実行>即終了」になる様に書き換えられました。なるほどこの方法ならWindowsのシステム保護を上手に抑止出来る(って、それってWindowsにとってはぜい弱性なのと違うか?)。この状態ではタスクマネージャーが起動できないです。
  • 3回目は、メールによる伝聞では「デスクトップのアイコンが2つずつになった」「どのアイコンをクリックしてもIEのエラーメッセージ『ご迷惑をおかけします。Microsoftに報告しますか?』が出る」→ちまきの想像では…"個人¥デスクトップ"フォルダの内容が"All Users¥デスクトップ"フォルダにコピーされた? その上で、Windowsを操作不能にするために、ダブルクリックの動作に変更が加えられた?

いずれの攻撃でも、PC内で何が起こっているのか探る事が出来なくなる工夫がされているので、何か知られたくない事(情報を抜く or 踏み台にする)をしていたのだろうかとも思うのだけれど、その割には見た目の障害があまりにも派手なので、単なる愉快犯 or 何かの実験台にされただけなのかなとも思えてしまうんですよね。
で、ちまきは最終的にはどんな手段を講じたのかと言うと…
3回目の攻撃で、どうやらリモートログインされているっぽい気がした事と、これまで3回のOSインストール作業がどれも攻撃を食らってしまっているので、それまでのやり方を変えて、いつもちまきが自宅で自分のPCでやっているのと同じ環境構築をしてしまおう(ちまき家では攻撃など1度も食らった事がない)と考えました。友人が使っているログイン名やパスワードやセキュリティソフト類を一切使わずに、ちまきのPCとして環境構築してしまった訳です。

まず最初に、第0セクターを確実に上書きしてしまうために、MS-DOSのフロッピーで起動して、FDISK → FORMAT → SYS を実行。その後、WindowsインストールCDでディスクのセットアップをやり直してXP Homeをインストールしました。
セキュリティはavast!とTiny Personal FirewallとAd-Aware2009(Free版)で構築。特に、ファイアーウォールを非常に低レベルなものを使用する事によって、通信の全てが把握出来る様にしました(その代わり、設定がとても煩雑。友人に使いこなせるかどうかが、不安)
次いで、XP Homeの盲点であるAdministratorアカウントにパスワードを設定。
ネットにつないでしばらくすると、リモートログオンを許可するかどうかファイアーウォールが聞いて来たので、これを拒否。今まで見当もつかずに対策に苦労していた進入口が、この時点でようやく確定させる事が出来ました。
しばらくの間、あちこちのサイトを閲覧しながら様子を見て、大丈夫そうだと思ったので、友人のアカウントを作成、新たに決めてもらったパスワードを設定し、引き渡しました。
結局どれだけの情報を抜かれたのかはわからないので、友人には「メールデータから、あちこちのアカウント情報(のパスワード)を握られた可能性もあるからね」と忠告はしておきましたが…
それから、パスワードの作り方も指導しておきました。彼は「だって、文字数とても多かったんだよ」と言っていたけど「そんなパスワードじゃ辞書攻撃であっけなく破られる。文字数は関係ない」つまり普通にその辺にある単語をパスワードにしていたみたいなんですよね。それを今回は文字&数字&記号の羅列にしてもらいました。
Windows共有の関係から、その家にあった全てのPCも、パスワードを変更。
ちなみに、友人が使用していたのは、ルーターがNTTのフレッツaDSLのレンタルモデムで、セキュリティソフトは、ウイルスセキュリティZERO&Windowsファイアーウォールでした。
ちゃんと抜かりなくセキュリティソフトをインストール&設定してあったのに、こいつらは全くの無力で、クラッカーに好きな様にシステムをいじられてしまいました。
特にウイルスセキュリティZEROは、モジュールのヴァージョンアップの時に、一旦自身をアンインストールしてからインストール作業に入るので、セキュリティがない状態が数分間出来てしまうんですよね。

それよりも、都合3回、名阪間を往復する事になったのが、一番大変だったよ。
何かあった時のためにも、近所にもお友達を作っておこうね。
JUGEMテーマ:セキュリティ

author : たつもとちまき | IT・ネット | comments(0) | trackbacks(0)
スポンサーサイト

author : スポンサードリンク | - | - | -
コメント
コメントする
  • 日本語が含まれないコメントは拒絶されます。









この記事のトラックバックURL
http://chimaki-t.jugem.jp/trackback/804
  • 言及リンクがないトラックバック元からのトラックバックは拒絶されます。
  • 形式的なものでよいので、この記事へのリンクを貼ってから、トラックバックを送って下さい。
にくきうくらぶ , ちまき亭 , 吉田社会保険労務士事務所 , 黒猫ヤマトとバカ親日記 , ちまちまのつれづれ