請問 公司內部辦公用的IP為1組XXX.72.198.12 100M/20M
機房線路為中華電信→switch(切割為192.168.1.1的網段)→再接由各路由器至各地方。
然而最近一直收到中華電信的通知,惡意持續對其它用戶或單位發動網路攻擊行為。
不知道這情形該如何去做解決,(公司內約35台電腦)
只能每台電腦從灌了嗎?
以下為中華電信 信件
親愛的用戶您好:
本公司接獲申訴說明您的電腦(IP:XXX.72.198.12)
持續對其它用戶或單位發動網路攻擊行為(詳細攻擊紀錄資訊列於本信件最下方),並已影響對方主機。
一、可能為以下情況所致:
1.電腦中毒
2.遭受駭客入侵成為跳板
3.網域內有不法份子從事駭客行為
為避免不必要之麻煩及危害,敬請盡速予以處理。
二、建議處理措施:
藉由信件資訊(IP、時間),並透過防火牆Log 比對設備IP 及信件時間點,即可查測出被植入病毒的設備,以進行修復的作業。
三、提醒您注意以下的安全措施來預防電腦受駭:
1.更新作業系統至最新版本
2.安裝防毒軟體並保持病毒碼到最新版本
3.使用防火牆並關閉不必要之連線port
4.開啟信件附加檔請注意是否安全
5.不下載或安裝不明網站之程式
如果您未安裝任何防毒防駭軟體或是不清楚如何選購,中華電信SOC在這裡建議您前往HiNet防毒防駭網站,提供您更多的資安防護產品來強化您的網路安全:
1.一般家庭或個人用戶可以使用HiNet諾頓或是PC-cillin防毒防駭中文版來解決病毒、木馬間諜程式、廣告軟體、垃圾郵件等擾人的問題。相關網址如下:
http://hisecure.hinet.net
2.企業用戶可以使用HiNet企業防毒防駭等產品來解決病毒(包含bot病毒)、木馬間諜程式、廣告軟體等相關問題;HiNet入侵防護服務可針對駭客進行的網路攻擊、蠕蟲、駭客入侵攻擊、混合式威脅攻擊等進行防護,並可搭配企業上網內容過濾服務,避免員工誤觸惡意網站,透過以上各式防護服務可協助加強企業端點及網路安全。相關網址>如下:
http://soc365.hinet.net
註:由於受駭管道多元(如作業系統存在漏洞、點選惡意連結受駭…等),任何防護措施並不保證不會受駭,因此無法只使用單一措施免除任何威脅,須從各個環節加深縱深>防禦,降低受駭機率。
若您對本通知有任何疑問,請電洽(02)23443693,謝謝
若本通知信之被檢舉IP非貴用戶所有,敬請您回信或來電告知,以便本公司將進行更正,感謝您的協助。
詳細攻擊紀錄:
From HiNet(GMT時間,加上八小時即為台灣時間):
bots|XXX.72.198.12|3462|2016-05-13 00:59:57|srcport 53290 mwtype Conficker destaddr 104.244.14.252|HINET Data Communication Business ...
建議如下:
Good Luck!
除了cafebug所說的以外,也應該順便檢視Client端使用者的權限,如果使用者的權限是Administrator的話,除了會讓網管人員束手無策,沒有辦法管理以外,也容易因為電腦中毒,遭到植入蠕蟲、木馬,或是把使用者的電腦當作跳板來攻擊其他公司內部的電腦
因此在資訊業界常常很多高手都在說,千萬不要讓使用者的權限,使用Administarator,電腦內本身內建的Administrator的帳戶也應該關閉,這樣就能阻擋這種攻擊,同時也比較方便管理
這次還好只是中華電信找上門而已,要是驚擾到國安高層的話,恐怕還會被刑事警察局的偵九隊、或是調查局、國安局約談,了解貴公司是如何控管資訊安全的
除了權限以外,也要檢查Client端的電腦設定,不要開啟以下服務
Computer Browser、Remote Registry、Server以及網路芳鄰
這樣就比較不怕因為電腦中毒,跑去別的電腦作怪
其他,可能建議全面性的掃毒,或是委託廠商來貴公司進行資安鑑識與弱點掃描,一定可以增強資安整體防護的效能,重灌電腦那是已經抓出元兇,也就是感染殭屍病毒的電腦主機時,最後才要做的
方法一
Firewall/Route 開syslog 查看目地IP XXX.72.198.12
方法二
Switch Hub 開Port Mirror Wireshark 目標IP XXX.72.198.12
類似下列方法
http://www.ublink.org/index.php/download/summary/6-wireshark/1781-11wiresharkexchangeserverrelay
http://ns2.ublink.org/phpbb/viewtopic.php?t=4017
方法三
請四個小朋友幫忙