台灣學術網路危機處理中心(TACERT) 對本校發佈資安通報-入侵事件警訊:
| 發佈編號 | ASOC-INT-201704-3984 | 發佈時間 | 2017-04-25 11:50:19 |
| 事件類型 | 系統被入侵 | 發現時間 | 2017-04-25 11:34:49 |
| 事件主旨 | 通報:[新北市三重區碧華國民小學]163.20.169.39 MS.RDP.Connection.Brute.Force | ||
| 事件描述 | ASOC發現貴單位(新北市三重區碧華國民小學)所屬 163.20.169.39 疑似對外進行 MS.RDP.Connection.Brute.Force 攻擊 | ||
| 手法研判 | 貴單位疑似對外進行非法攻擊行為,遠端攻擊者對Microsoft RDP(Remote Desktop Protocol)進行暴力的密碼猜測攻擊,攻擊者在10秒內進行200次的登入請求,如成功利用將可以連入未經授權的系統,進行非法的存取。 | ||
| 處理建議 | 惠請貴單位:
|
||
| 參考資料 | 無 | ||
本校處理情形:
- 登入「教育機構資通安全應變網站」,了解事件發生情形。
- 登入「新北市校園網路管理平台」檢視 163.20.169.39 連線狀況。
- 確認 163.20.169.39 電腦連線異常,連線數超過 7000。
- 查明 163.20.169.39 為文書組長行政電腦,電話告知電腦遭入侵事件,情況嚴重,台灣學術網路危機處理中心(TACERT) 已對本校發佈資安通報-人侵事件警訊,請其將暫將電腦關機或拔除網路線。
- 將本校電腦遭入侵事件應變情形,回報教育機構資通安全應變網站。
電腦檢查結果:
- 防毒軟體遭停用,但無法啟用。
- 有不明帳戶建置於系統中。
- guest 帳戶被啟用。
- 系統安裝了一些不明的軟體。
- 電腦防火牆開了一些後門,但移除不掉。
電腦處理過程:
- 重開機,並以安全模式登入系統。
- 打開 regedit.exe 程式將自動啟動的不明程式移除。
- 移除不明軟體。
- 移除不明帳戶。
- 停用guest 帳戶。
- 電腦防火牆恢復成系統預設值。
- 移除所有系統、使用者及各網路瀏覽器暫存檔、移除不必要的擴充程式。
- 安裝並執行系統優化並移除惡意程式的工具程式。
- 打開系統服務程式,重新設定防毒軟體為自動啟動狀態,並予以啟動。
- 防毒軟體手動線上更新,更新後,進行全機硬碟掃描,移除多項惡意威脅程式。
- 重開機,以正常啟動模式登入系統。
- 再次以防毒軟體進行全機硬碟掃描,確認不再有任何中毒現象。
- 再次登入「新北市校園網路管理平台」檢視 163.20.169.39 連線狀況,連線數已降至 20 以下。檢視其連線中,有無不正常的連線。
- 更新軟體、系統。
- 設定 admin 密碼為複雜度較高的密碼。