iT邦幫忙

0

固定IP惡意發送廣告

請問 公司內部辦公用的IP為1組XXX.72.198.12 100M/20M
機房線路為中華電信→switch(切割為192.168.1.1的網段)→再接由各路由器至各地方。
然而最近一直收到中華電信的通知,惡意持續對其它用戶或單位發動網路攻擊行為。

不知道這情形該如何去做解決,(公司內約35台電腦)
只能每台電腦從灌了嗎?

以下為中華電信 信件

親愛的用戶您好:
本公司接獲申訴說明您的電腦(IP:XXX.72.198.12)
持續對其它用戶或單位發動網路攻擊行為(詳細攻擊紀錄資訊列於本信件最下方),並已影響對方主機。
一、可能為以下情況所致:
1.電腦中毒
2.遭受駭客入侵成為跳板
3.網域內有不法份子從事駭客行為
為避免不必要之麻煩及危害,敬請盡速予以處理。
二、建議處理措施:
藉由信件資訊(IP、時間),並透過防火牆Log 比對設備IP 及信件時間點,即可查測出被植入病毒的設備,以進行修復的作業。
三、提醒您注意以下的安全措施來預防電腦受駭:
1.更新作業系統至最新版本
2.安裝防毒軟體並保持病毒碼到最新版本
3.使用防火牆並關閉不必要之連線port
4.開啟信件附加檔請注意是否安全
5.不下載或安裝不明網站之程式

如果您未安裝任何防毒防駭軟體或是不清楚如何選購,中華電信SOC在這裡建議您前往HiNet防毒防駭網站,提供您更多的資安防護產品來強化您的網路安全:
1.一般家庭或個人用戶可以使用HiNet諾頓或是PC-cillin防毒防駭中文版來解決病毒、木馬間諜程式、廣告軟體、垃圾郵件等擾人的問題。相關網址如下:
http://hisecure.hinet.net
2.企業用戶可以使用HiNet企業防毒防駭等產品來解決病毒(包含bot病毒)、木馬間諜程式、廣告軟體等相關問題;HiNet入侵防護服務可針對駭客進行的網路攻擊、蠕蟲、駭客入侵攻擊、混合式威脅攻擊等進行防護,並可搭配企業上網內容過濾服務,避免員工誤觸惡意網站,透過以上各式防護服務可協助加強企業端點及網路安全。相關網址>如下:
http://soc365.hinet.net

註:由於受駭管道多元(如作業系統存在漏洞、點選惡意連結受駭…等),任何防護措施並不保證不會受駭,因此無法只使用單一措施免除任何威脅,須從各個環節加深縱深>防禦,降低受駭機率。

若您對本通知有任何疑問,請電洽(02)23443693,謝謝
若本通知信之被檢舉IP非貴用戶所有,敬請您回信或來電告知,以便本公司將進行更正,感謝您的協助。

詳細攻擊紀錄:

From HiNet(GMT時間,加上八小時即為台灣時間):
bots|XXX.72.198.12|3462|2016-05-13 00:59:57|srcport 53290 mwtype Conficker destaddr 104.244.14.252|HINET Data Communication Business ...

看更多先前的討論...收起先前的討論...
ayu iT邦好手 2 級 ‧ 2016-05-16 15:48:11 檢舉
建議說明正常情況下, 內網對外寄信的機制與流程為何?

如果真的內網有惡意持續對外網路攻擊行為,
在內網找一台機器跑個小工具, 應該能抓出是哪個(些)IP
danielp2 iT邦新手 4 級 ‧ 2016-05-19 10:56:30 檢舉
我公司SERVER都有類似問題, 不斷發電郵, 但目前都無能為力, 不知如何是好。
目前公司只有用 outlook 和 中華電信 SaaS CRM 這兩種做發信的動作
內網找一台機器跑個小工具 這是什麼意思呢?
ayu iT邦好手 2 級 ‧ 2016-05-19 19:16:34 檢舉
要先釐清, 是server被破解? 還是client被植木馬再轉職僵屍?
處理方向不一樣的.
樓主補充的資訊, 較可能是後者.
如果內網的路由器/防火牆是中階(含)以上的,
啟用記錄功能的話應該可以看出,
不然就需要借助一些流量統計類的工具.

內網電腦, 其實要包含, 使用公司wifi的任何設備喔.
幾年前有抓過某H牌手機被轉職為僵屍, 持續對外攻擊.
goodnight iT邦研究生 2 級 ‧ 2016-05-19 21:22:10 檢舉
買不起硬體防火牆, 可以架軟體防火牆, 追蹤外寄記錄就可以了, 或是檢視集線器, 哪一個PORT的燈號一直閃, 如果沒有集線器, 一定要買一個, 方便監控
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
4
cafebug
iT邦高手 1 級 ‧ 2016-05-16 16:12:40

建議如下:

  1. 首先,確認路由器(防火牆)上面的log紀錄看是否有打開
  2. 查看路由器上面的log紀錄,看內網是否有IP的老是連線到中華電信提供的受害IP: 104.244.14.252,來抓受感染電腦。(可能需要觀察一陣子)
  3. 強制公司內部的使用者更換強度更高的密碼、安裝最新微軟安全性更新來防止Conficker這個木馬。
  4. 內網各電腦使用防毒軟體更新最新病毒碼之後徹底掃描一次。
  5. Conficker是個老木馬了,不過有好幾種變種,微軟guideline : http://d.pr/19jf2/LwIzOfi2

Good Luck!

請問 目前的動作是先到我機房的switch 後台進去查看log紀錄嗎?

cafebug iT邦高手 1 級 ‧ 2016-05-30 22:57:02 檢舉

router/firewall 看紀錄,或是架一台log server,在router/firewall上把log紀錄送到log server,你再使用log reader把這些log解讀一下,這樣你會更有頭緒。

1
wfh88075
iT邦新手 4 級 ‧ 2016-05-16 17:22:45

除了cafebug所說的以外,也應該順便檢視Client端使用者的權限,如果使用者的權限是Administrator的話,除了會讓網管人員束手無策,沒有辦法管理以外,也容易因為電腦中毒,遭到植入蠕蟲、木馬,或是把使用者的電腦當作跳板來攻擊其他公司內部的電腦

因此在資訊業界常常很多高手都在說,千萬不要讓使用者的權限,使用Administarator,電腦內本身內建的Administrator的帳戶也應該關閉,這樣就能阻擋這種攻擊,同時也比較方便管理

這次還好只是中華電信找上門而已,要是驚擾到國安高層的話,恐怕還會被刑事警察局的偵九隊、或是調查局、國安局約談,了解貴公司是如何控管資訊安全的

除了權限以外,也要檢查Client端的電腦設定,不要開啟以下服務
Computer Browser、Remote Registry、Server以及網路芳鄰
這樣就比較不怕因為電腦中毒,跑去別的電腦作怪

其他,可能建議全面性的掃毒,或是委託廠商來貴公司進行資安鑑識與弱點掃描,一定可以增強資安整體防護的效能,重灌電腦那是已經抓出元兇,也就是感染殭屍病毒的電腦主機時,最後才要做的

iceberg iT邦新手 5 級 ‧ 2016-05-17 02:47:26 檢舉

請問像是不開起網路芳鄰這樣是不是也無法使用在同一個芳鄰底下的共用資料夾呢?

0
monkeyboy
iT邦新手 4 級 ‧ 2016-05-17 17:57:54
  1. 先檢查路由器/防火牆的紀錄由LAN > WAN 這部份紀錄,看看那台電腦異常
  2. 一般內部電腦中毒而且不停攻擊或猛發垃圾郵件,你應該感受到整個內部網絡很慢尤其是上網, 找到那台中毒電腦後先把網線鬆掉並檢查.
  3. 防毒軟體更新及重新掃瞄
0

方法一
Firewall/Route 開syslog 查看目地IP XXX.72.198.12

方法二
Switch Hub 開Port Mirror Wireshark 目標IP XXX.72.198.12
類似下列方法
http://www.ublink.org/index.php/download/summary/6-wireshark/1781-11wiresharkexchangeserverrelay

http://ns2.ublink.org/phpbb/viewtopic.php?t=4017

方法三
請四個小朋友幫忙

我要發表回答

立即登入回答