ITレポート

お問い合わせ
会社情報お問い合わせお問い合わせ

システム開発 富山 北陸ITサポート HOME » HITSレポート » ITレポート

サーバーのデータが消えた!

衝撃的な出来事です。
サーバーのデータが消えました。

11時30分過ぎ、客先から一報が入りました。
「さっきまであったはずのデータが殆ど消えているのですが...」
「はぁ?」

にわかには信じがたい、というか信じたくない出来事ですが、遠隔操作にて確認すると、いくつかある共有フォルダ配下のデータが全て無くなっています。

共有フォルダ

こういったケースでたまにあるのが、間違えてフォルダごと削除してしまったというトラブル。しかし、今回の場合は無くなっているフォルダーは一つではなく、意図的に削除しない限りあり得ない事。

ひょっとしたら「シャドウコピーリストア」で復旧する事が出来るかもしれないなと思いつつ、イベントビュアーで確認するとなにやら怪しいメッセージがありました。


「*月*日 9:33:45 Security Risk Found!Trojan.Wortrik!lnk in File: D:\***\.lnk by: Auto-Protect scan. Action: Cleaned by Deletion. Action Description: The file was deleted successfully.」

これは大変!サーバー上でマルウエアを検出しているではありませんか。
「The file was deleted successfully」って、もしかして全部消しちゃった?

アクセス元のクライアントPcが判ったので、直ぐにネットワークから切り離すようお願いして現地に向かいます。

いろいろ調べているうちに気づいたのですが、データは無くなってしまっているのに、ディスクのプロパティで見ると空き容量が変わっていないんです。
Volume

ひょっとして何処かに残ってる?

いろいろ探してついに発見!データは全て非表示のシステムフォルダ内に隠されていました。
サーバーにはシマンテックのセキュリティソフトがインストールされていますので、ファイルの改変等の致命的な被害には遭わなくて済んだようです。
しかし、短時間でこれだけのファイルを隠してしまうのはある意味凄い。

バックアップ、復旧作業、ウイルスチェック作業を行って無事復旧する事ができました。
ただし、作業には2日間を要し、客先業務はその間滞ったのでした。

クライアントPCには無料のセキュリティソフトが入っていましたが、機能していたかどうかは怪しく、ウイルスチェックにより多数のマルウエアが検出されました。

マルウエアリスト

セキュリティログによると数週間前から断続的にサーバーへの侵入を試みていた事も分かりました。マルウエアのメカニズムは巧妙化していて、よくわからない点も多いのですが、MS017-010の脆弱性を狙ったランサムウエアのような攻撃も検知されています。
このクライアントは、ウエブサイトの閲覧により感染した可能性が高いものと思います。

もう一つ付け加えますと、復旧後の検査では引っかからなかったが、サーバー上のちょっと怪しげなファイルをいくつか削除しておいたところ、数日後のウイルス検査にてマルウエアと診断され、ごみ箱から削除されていました、危ない危ない。

Windows10の恐怖

Windows10が登場して1年あまり経過、無償バージョンアップ期間が終了しました。
当社では今春導入したPCにはWindows10をインストールし、各業務ソフトのWindows10対応バージョン、およびOffice2016にて動作確認を行い、大きな問題がないと判断した上で新PCへの運用に切り替えました。
ところが、初期バージョンからバージョン1511へのアップデートが行われた際に、一部アプリケーションの認証が解除される現象が発生したため、今もバージョン1511の状態で使用しています。

2016年夏頃からバージョン1607の配布が始まりましたが、いくつかトラブルが起こりました。
Windows Updateにえらく時間がかかり、その後正常に起動しなくなったというのです。
このお客様の場合は「以前のビルドに戻す」作業をすることで回復したので、バージョン1511の状態で使用していただいています。
また、別のお客様でも同様の事態が発生しましたが、こちらは「以前のビルドに戻す」作業が出来ずWindows10の再インストールとなりました。こうなるとすべてのアプリケーションを再インストールする必要があり、元の状態に戻すにはかなりの時間と労力が必要となります。
また、バージョン1607で正常動作しているものの、セキュリティソフトがアンインストールされてしまっていたケースも発生しました。いったいどうなってるんでしょうね?

WindowsUpdateを停止することはできませんが、メジャーバージョンアップを自動で行わないようにするには、「設定」-「更新とセキュリティ」-「WindowsUpdate」-「詳細オプション」で「アップグレードを延期する」にチェックを入れて下さい。

実は、大半のお客様はこのようなリスクを避けてWindows7で使用していただいております。
この選択は結果的に正解だったということになりますね。

ちなみに、Windows7、Windows8は2016年10月末で供給停止予定だったんですが、今も出荷されています。

毎度お願いしている事ですが、OSのバージョンアップは興味本位で行うのではなく、使用しているソフトの対応状況を確認したうえで慎重に行ってください。もしトラブルが発生した場合は自己判断で修復作業を行わず、そのままの状態で連絡してください。

 

 

 

 

 

ハイブリッドRaidの実力はいかに?

次期主力開発機のR1604が届きました。

NewPc

Windows10がリリースされて間もなく一年、ソフトの移行等考えると気が遠くなりそうですが、いつまでもWindows8のままという訳にもいかないので、人柱として(笑)、移行作業を始める事にしました。

マシンスペックですが、CPUはCorei5-6500、メモリは16GB、グラフィックはオーバースペックなGTX950、AdaptecのRaidカード(これが1番高価)を搭載しています。

ポイントは360GBのSSDを1台と1TBのHDD2台でハイブリッドRaid-1を構成している事です。

処理速度を考えるとSSDは外せない訳ですが、万一の故障に備えてHDDとのペアを組みました。

ハイブリッドRaidは読込みは高速なSSDから行い、書き込みは双方同時に行うのでパフォーマンスと安全性を高めるのに有効な方法だと思います。

マシンスペックは申し分ないですが、互換性の問題が少ない事を祈りたい。

 

それから、事務所の床が傷んできたのでタイルカーペットを敷きました。

TileCarpet2

真ん中の方は敷くだけなので簡単なんですが、端はカーペットをカットするためちょっと手間と力が必要です。

 

TileCarpet

完成!

片づけと施工で3日ほどかかりました(実はまだ片づけが終わっていません)

 

PROFILE

Author:松本 慶一(まつもと けいいち)
「技術レポート」から「お出かけ日記」まで何でもありのブログです。

有限会社北陸ITサポート
〒933-0874 富山県高岡市京田566番地
TEL:0766-23-2898
PAGE TOP

システム開発 設計・管理サーバー導入・運営管理OBC奉行シリーズ販売・訪問指導介護ソフト販売・サポート
会社情報・アクセスお問い合わせHITSレポートシステム開発 富山 北陸ITサポート HOME

有限会社北陸ITサポート
〒933-0874 富山県高岡市京田566番地 TEL:0766-23-2898

COPYRIGHT © システム開発 富山 北陸ITサポート All RIGHTS RESERVED.