おりょりょんのブログ

今日で７月も終わり…早いなぁ…

 

なんて呑気な気分での出勤後から、怒涛のトラブル報告！

 

最初は一部の部屋でネットが～という連絡が入りました。この時が１０時。

取り敢えず現場へと向かっている最中に別の部署からも同様の報告が。

既に移動中でしたのでまずは当初の部屋へ。

が、その部屋のトラブルと後から連絡がきた部署では現象が若干異なるような…

ということで２件目に連絡が入った部署へ改めて症状の確認の連絡をしてもらっているところにこれまた別の部署からも連絡が。

 

通信を切り分けて考え、どうやらトラブルの原因を特定。

内部向けのサーバー上のサービスが止まっている？→リモート接続しようと試みるもNG→サーバーの再起動

で解消しました。この時点で１１時過ぎ。

 

ところが午後に入ってまたもや通信トラブル…同じサーバーをチェックしたらまた接続できず。

当初（１１時の段階）はサーバーのトラブルの原因を調査するより現状復旧を優先したのであまり調査していなかったのですが、どうやら高負荷が掛かっている模様。

再度再起動してその後を調査したところ、大量の情報を一気に送り込まれたみたい…これって内部のPCによる攻撃ですね(笑)

内部とはいえ一応それなりの防御をしていたのですが…これが意図したアタックなのか何かに感染したマルウェアの攻撃なのか、そこまでは確認できませんでした。

 

２度目の再起動後は通信が安定して（攻撃が収まった？）サービス提供に問題が出なくなったので、隙を見てサーバーのパッケージ更新を行い、その後は静観に移動。

取り敢えず今のところは安定稼働しています。

 

さて…明日以降も起きたらどう対応しようか…悩むところです。

一般的な防御としては、必要なサービス以外は通信できないようフィルタするのですが、そのサービス自体にアタックされるとアタックの元を遮断するしかありません。

これが今回のサービスに関してはなかなか難しい…

脆弱性を突いた攻撃であるならば、取り敢えず今日のアップデートで対応できたと思いますが…

 

また別件でWeb会議の通信だけ細切れになってしまう部屋がありまして…これについても夕方に対応してきました。

結果的には機器の設定を一部変更することでOKになったのですが、他でも使用している機器で他の場所では出ていない障害なんですよね…まぁ設定を変更して（書き込みして）再起動後から事象が改善されたとのことなので、ポイントとしては設定変更というより再起動がきっかけだったのかもしれません。

先週の２度の停電で再起動は（勝手に）されていたはずなんですけどね…これも根本的な原因は不明です。

今日のトラブルは複数の要因（それぞれ別の部屋）があったのですが、どれを取っても現状はしばらく様子見という消極的な対応になってしまいました。

明日以降がちょっと怖いですね。

 

先程から今日もまた雨が降り始めました。

今のところ雷鳴は聞こえてきていませんがこのあと２時間くらいは強雨が続く予報なのでちょっと不安です。

まぁ現状職場に残っていても良いことは無さそうですので、ぼちぼち退勤します。

 

今日も適度に頑張りました。