ハードウェアはDellPowerEdge、OSはWindows2000ServerでWEBサーバはIISです。
原因を究明のために調査していますが、調べ切れていません。
調査方法等を解説しているサイトをご教示ください。私がやったのは以下の3つです。
1.IISが応答していなかったのでダウンに気がついた。
2.ネットワーク機器に異常が無く、同一ネットワーク上のホストと通信は出来ていたため、ホストの問題と推測
3.シスログを確認し、本来行われているはずのタスクが行われていなかったことから、OSがダウンしたものと推測
4.DELLのハードウェア診断ツールでハードウェアの異常は調査済、結果は異常無。
5.シスログ、IISのログからダウンした時間を推定
6.再起動後1週間運用するも異常は見受けられない。
1時的な問題?
不正アクセスを受けてダウンした?
この時間に何が起きていたのか調べる術を探しています。
宜しくお願いいたします。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2004/10.html
セキュリティホール memo - 2004.10
IISは既知のセキュリティホールがたくさんありますよって不正アクセスを受けてダウンした可能性が濃厚です
わたしが、顧客先で導入した独自のNT用のWebサーバシステムには9月にNETBIOS経由で不正アクセスを受けてダウンしてしまったので、NETBIOSのサービス自体を停止しました
またMessengerサービスにもセキュリティホールが見つかっています、これも必ず停止させてください
使わないサービスは全て停止させましょう
それだけで、セキュリティ向上になります
Windows2000はデフォルトでセキュリティの監査が有効になっていないので、イベントログに不正アクセスがあっても記録されません
ちゃんと有効になってるか確認してください
でないと全くログが残らないので調べ様がありません
また、必ず、WindowsUpdateは行っていますか? IISは特に、サーバーを完全に乗っ取られるようなセキュリティホールが幾つもあります、常に最新のセキュリティアップデートをしましょう
ファイアーウォールソフトを導入しているのならば、不正アクセスのログが残ってる可能性があります
Webサーバを立ち上げているのならFireWallソフトは必須ですよ
一般的には、監視ツールを導入して
メモリーやCPU、帯域の使用率、負荷の
高いサービスのアラートを検出して
記録を取っています。
監視ツールを導入していない前提すと
各ログ内のアラート類から調査すると
同時に、別途下記の確認を行って対策
とする方法が適切だと思います。
・最新のパッチが当たっているか
・ルータやF/W等で不要ポートを
閉じているか
差し支えなければ、該当時間前後の
ログのアラートを教えていただけると
原因の特定が可能かもしれませんね。
日常的にサーバの振る舞いを見ておくことが大事と身をもって知りました。
ログをひとつずつ遡っていったところ、通常と違う振る舞いをしているところがありました。
ここが原因箇所と思われます。
ここからはまた別の各論になると思いますので、いったん質問を終了させていただきます。
ありがとうございました。
調査について質問していますので、参考になりません。このレベルの回答は結構です。
不正アクセスが濃厚と考えられるならばその場合何を調査して、不正アクセスだと突き止めるかが知りたいのです。
http://www.seshop.com/detail.asp?pid=4449
この本を参考にセットアップしました。
もちろんすべててはありません。
WEBサーバを立てていますので、NetBIOS関連のポートを開くほど愚かではないです。
修正プログラムの適用は最低限行っていました。
私も、はてなの質問の字通内で現状すべてを説明できるとは考えていません。
いろいろ考えられることはあると思いますが、早合点した回答ではなく、何を根拠にどう考え、原因を究明するのかを学びたいと考えています。
宜しくお願いします。