なんとサーバーPCが、乗っ取られかけた!
午後2時頃、iPhoneアプリ「PCモニター」から通知が・・・
「何?」と思って見てみると、
サーバーに誰か別のものがログインしたと・・・
そんなアホな!と思って、画面を見てみると、なんとサーバーのデスクトップがロックされていて、しかも別のユーザーアカウントができてログイン中になっているじゃないか!!!
信じられない!!
Unbelievable!!
もしかしたら乗っ取られるかも・・・
スゴイ恐怖だった。
とりあえず電源をOFFにしたが、後から考えたら、LANケーブルを抜けば良かった。
再起動後、Windowsにログインしようと思ったら、また先を越されてログインされている!
自分のアカウントの方でログインを試みたが、なぜか拒否されてしまう。
いったい、どーなってんだぁ~~~~!!
そしてもう一度強制的に再起動させたら、今度はうまくログインできた。
早速、コントロールパネルのユーザーアカウントで、不正に作られたアカウントを速攻で削除した。
どういった経路で入ってきたのか全くわからず、少しネットで調べて、リモートデスクトップの3389番ポートをinもoutもルータの方で遮断した。
あとでイベントビューワーを使って、いろいろ調べてみたら、あったあった。。。
ちょうど同時刻に、「TermDD」というイベントでエラーが出ている。
調べてみると、ナント「リモートデスクトップ」に関するものだった。
もちろん私がリモートデスクトップでつなげようとしたわけではない。
誰かが繋げようとしたわけだ。
今回不正アクセスされたサーバーは、メインで使っているWindows8.1マシンの中にやっとの思いで作った仮想サーバーだ。
不正アクセスがあった時刻に、母艦の画面に、2回ほど「スナップイン・・・」の表示が一瞬出て何かなと思ったら、やっぱりこれだったわけだ。
作られたユーザーアカウントの名前を調べてみたら、どうやら中国人の名前を英語表記したようなものと判明。
しかもアンドロイドからログオンされている。
TermDDでエラーになっていたクライアントIPアドレスがわかったので、早速「IPひろば」でIP検索すると。。。。
ほぇ~~~~~~
や~~~っぱり【中国】!!!
まさかこんなことが自分の身に起こるなんて全く予期していなかっただけに、怖かった。。
事務所内には、あと数台のPCが電源が入って起動中だったが、サーバーが狙われたわけだ。
重要データはサーバに貯めてあるわけだから、そこから情報を抜き取ろうとしたのだろう。
でも、いったい具体的にはどうやってWindowsにログインして勝手にAdministrator権限でアカウント作ったんだろうか???
私のアカウントのパスワードが抜かれたんだろうか??
それなら、エラーにならないはずなのに。。。
ん~、よくわからん。
ちょっと時間をかけて調べてみないと。。
とにかく、スゴイ恐怖を味わったけど、相手がログイン成功と同時に、速攻でこちらでいろいろ対応したので、事なきを得たわけだが、もし私が外出していたりして対応が遅れたら、何をされていたかわからない。。
あ~、おっそろし~。
でも、良かった。
ありがとうございます!