システム開発 富山 北陸ITサポート HOME » HITSレポート » サーバーのデータが消えた!

サーバーのデータが消えた!

衝撃的な出来事です。
サーバーのデータが消えました。

11時30分過ぎ、客先から一報が入りました。
「さっきまであったはずのデータが殆ど消えているのですが...」
「はぁ?」

にわかには信じがたい、というか信じたくない出来事ですが、遠隔操作にて確認すると、いくつかある共有フォルダ配下のデータが全て無くなっています。

共有フォルダ

こういったケースでたまにあるのが、間違えてフォルダごと削除してしまったというトラブル。しかし、今回の場合は無くなっているフォルダーは一つではなく、意図的に削除しない限りあり得ない事。

ひょっとしたら「シャドウコピーリストア」で復旧する事が出来るかもしれないなと思いつつ、イベントビュアーで確認するとなにやら怪しいメッセージがありました。


「*月*日 9:33:45 Security Risk Found!Trojan.Wortrik!lnk in File: D:\***\.lnk by: Auto-Protect scan. Action: Cleaned by Deletion. Action Description: The file was deleted successfully.」

これは大変!サーバー上でマルウエアを検出しているではありませんか。
「The file was deleted successfully」って、もしかして全部消しちゃった?

アクセス元のクライアントPcが判ったので、直ぐにネットワークから切り離すようお願いして現地に向かいます。

いろいろ調べているうちに気づいたのですが、データは無くなってしまっているのに、ディスクのプロパティで見ると空き容量が変わっていないんです。
Volume

ひょっとして何処かに残ってる?

いろいろ探してついに発見!データは全て非表示のシステムフォルダ内に隠されていました。
サーバーにはシマンテックのセキュリティソフトがインストールされていますので、ファイルの改変等の致命的な被害には遭わなくて済んだようです。
しかし、短時間でこれだけのファイルを隠してしまうのはある意味凄い。

バックアップ、復旧作業、ウイルスチェック作業を行って無事復旧する事ができました。
ただし、作業には2日間を要し、客先業務はその間滞ったのでした。

クライアントPCには無料のセキュリティソフトが入っていましたが、機能していたかどうかは怪しく、ウイルスチェックにより多数のマルウエアが検出されました。

マルウエアリスト

セキュリティログによると数週間前から断続的にサーバーへの侵入を試みていた事も分かりました。マルウエアのメカニズムは巧妙化していて、よくわからない点も多いのですが、MS017-010の脆弱性を狙ったランサムウエアのような攻撃も検知されています。
このクライアントは、ウエブサイトの閲覧により感染した可能性が高いものと思います。

もう一つ付け加えますと、復旧後の検査では引っかからなかったが、サーバー上のちょっと怪しげなファイルをいくつか削除しておいたところ、数日後のウイルス検査にてマルウエアと診断され、ごみ箱から削除されていました、危ない危ない。

PROFILE

Author:松本 慶一(まつもと けいいち)
「技術レポート」から「お出かけ日記」まで何でもありのブログです。

有限会社北陸ITサポート
〒933-0874 富山県高岡市京田566番地
TEL:0766-23-2898

PAGE
TOP

COPYRIGHT © システム開発 富山 北陸ITサポート All RIGHTS RESERVED.