おつかるー
今日も新ウイルス対策法案に大忙しの新人アドミンです。どうも。
レイヤ3スイッチという機械が導入されているのですが、どうやら怪しいログを発見。
あるサーバがグローバルIPアドレスに向けて、TCP135番ポートに向けたパケットを
出している模様です。
※TCP135番:Microsoft RPC。異なるプロセス間でデータをやり取りするためのプロトコル。
しかもご丁寧にインクリメント(IPアドレスを1ずつ増加させて)してるし。
※グローバルIPとは、社外(インターネット領域)で使うためのIP。
※対義語として、社内はプライベートIPアドレス。
このサーバは・・・?リモートでログインできない!?
しかも、アクティブディレクトリに登録されていない!?
でもって、管理者は構築業者さん!?
あわてて、スイッチのログとともに業者に提出。
すぐに、SEが派遣されてきました。
構築を担当したSEがバックで電話応対しながら対応してくれるとのことですが・・・
今回の作業は、デフォルトゲートウェイに関する設定を消すという暫定的な対処。
もともと、ローカルなネットワーク上で実行されるべきものだったので。
ローカルなネットワークなので、ウイルス対策ソフトの定義ファイルをネットワークから
ダウンロードできないので・・・
早速部屋に入るなり、構築SEと電話を交わす現場SEさん。
デフォルトゲートウェイを消して、DNSの明示的な設定を消して・・・
って、それウチのADサーバじゃないですか!?
※AD:アクティブディレクトリ。ネットワーク上に存在するサーバ、クライアント、プリンタなどのハードウェア資源や、それらを使用するユーザの
慌てて電話かわってもらって「そんなはずはないだろー」と、構築SEに確認。
平謝りの現場SEさん。
立ち会ってよかったー
ここで電話を代わっていなかったら危うくオイラ本人がウイルスになるところだった(笑)
この業界長いのかと聞いたところ、新卒だとか。
結論:初めて現場に来るSEには必ず立ち会いましょう~
ほんとに、誰がどんなことをするかわかりませんので。
あー明日からウイルス対策強化しないとなー
まさか対策ソフトが入っていないマシンがあるとは。
おやすむー