『脅威！』リモートデスクトップに対する攻撃を受けた件

リモートデスクトップに危険が

私、Windowsファイルサーバーを2台自室で稼働中♪
そこには、昔集めた音楽や様々な写真や動画などを収納し家族で共有したり
暇なときに眺めたりします。

大好きな「浜田省吾」「山下達郎」「大滝詠一」
私にとって往年のスーパースターたちの音源がいっぱい♬

それに撮りためた子供達の写真や旅行で行った観光地の風景などもたくさん。

このマシン、Core i7ながら昔Webサーバーにも使っていたもので結構古株です。
現在はファイルサーバーだけで他に何もさせていないし節電のためモニターレス
によるリモート管理としています。
今日も何気なく様子を見に行くとバスターからこんなメッセージ。

えっ、『ネットワーク脅威のブロック』って初めて見る画面…ﾋｨｰ(>ω<ﾉ)ﾉ

「詳細の表示」を押してみると。

ハッカーからリモートデスクトップに対したアタックのようです。

ハッキング調査

これは放っておけない！早速調査を！

って、私にできる事なんて知れてますが…(笑)

まずウイルス名が「CVE-2012-0002_Remote_Desktop_Protocol_Exploit-2」
ググっても英語のページばかり。
日本のものじゃありませんが、トレンドマイクロの英語ページが検索に引っ掛かったので
機械的に翻訳を…

この脆弱性は、さまざまなMicrosoft Windowsオペレーティングシステムを使用している
デスクトップおよびサーバーが、リモートデスクトッププロトコルを使用した攻撃に対して
どのように脆弱であるかを示します。
リモートデスクトッププロトコルを使用すると、ユーザーはMicrosoft Windows
オペレーティングシステムを実行しているコンピュータをリモートから制御できます。

実際に実証コードの出現を示す報告があります。トレンドマイクロは、この脆弱性に関連する
PoCコードに対する解決策を提供することができます。

なんだかよくわかりませんが、リモートデスクトップの虚弱性を狙ったハッカーからの
攻撃だったようです。

IPによる発信元の確認

では、いつものように「サーバー監視/ネットワーク監視サービス」さんで送信元IPによる
WHOIS情報検索を。
…
…

今回は「ロシア」からでした。

これってバスター入ってなかったどうなっているんでしょう？
やはり乗っ取られて悪さされていたんでしょうね・・・あ～怖っ…ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

何事も無くて良かった～バスター様様　(>人<)
皆さんも是非どうぞ～