とあるクラウドでWindows Server 2019 を利用していたのですが、外部から不正に侵入されました。今回はその時の記録を残しておきたいと思います。
気づいたきっかけ
Administrator でリモートデスクトップ接続しようとすると以下の画面が出て接続できなくなった。
原因
クラウドサービス上に作成したサーバーにファイアウォールを設定できておらず、インターネットからアクセスできる状態になっていた。ここで言うファイアウォールとは「Windows ファイアウォール」ではなく、AWSの場合は「セキュリティグループ」、Azureの場合は「ネットワークセキュリティグループ」に該当するものです。
※Windows Server やクラウドの脆弱性ではなく、完全に筆者のミスです。
様々な設定が変更されていた
コンソール(リモート接続ではなく直接接続する機能)からログオンしして確認したところ、下記の設定が変更されていました。
- Windows ファイアウォールが無効化されていた
- Administrators グループがリモートデスクトップ接続できないようになっていた
- Windows Defender が無効化されていた
他にどういう変更がされているのか、マルウェアなどが埋め込まれていないか、すべてを確認するのは不可能なので、VMを削除し作成し直しました。
皆さんもお気をつけください。
コメント