碧華國小資訊中心

大同公司資訊系統業務處 系統服務中心 系統支援課來信並來電

資訊事件：

上月於教研IPS上發現 貴校

10.247.17.163

主機 有疑似對外登入異常登陸行為

DB: MySQL Login Without Username

DB: MySQL Overlong Password

為免日後再出現類似事件 請協助確認該台主機是否有遭安裝病毒或木馬被當作跳板 , 如有請移除

也可先封鎖該MAC 查出後再行掃描或還原主機

煩請確認狀況後再回覆信件以便教研紀錄追蹤

IP 事件 事件數 單位 10.247.17.163 DB: MySQL Login Without Username 1673 碧華國小 10.247.17.163 DB: MySQL Overlong Password 1283 碧華國小

本校處理情形：

與教研中心大同公司駐點工程師再次做確認：

此IP為使用NTPC-Mobile 登入的行動裝置，1個多月前所配的IP，現在應該早就發給別部行動裝置了。 教研中心並未做此日誌，記錄當初此IP是發給哪個MAC位址的行動裝置，因此無法查出是哪一台行動裝置，也無法封鎖。 回信大同公司資訊系統業務處 系統服務中心 系統支援課，請其協助明日上午再重新檢核本校一次，如果這個問題還在的話，只要它還在本校上網，就可能查到原凶。 […]

教育機構資安通報

事件類型:網頁置換事件警訊

事件單編號:AISAC-85143

原發布編號 MJIB-DEF-201607-0010 原發布時間 2016-07-05 14:50:14 事件類型 網頁置換 原發現時間 2016-06-29 00:00:00 事件主旨 新北市三重區碧華國民小學網站(IP:163.20.169.1)遭駭客入侵。 事件描述 105年6月4日新北市三重區碧華國民小學網站(http://www.bhes.ntpc.edu.tw/news/20150730152451/)遭不知名駭客入侵並置入簡體字博弈廣告。 手法研判 建議措施 該網站伺服器疑因安全設定不良或軟體、系統及程式開發存有漏洞等因素，導致非特定使用者可取得管理者權限而修改網站內容，建議受駭單位立即修復受駭網頁，並瞭解受駭原因及手法，避免再度遭受網頁攻擊。 本校處理情形 於接獲簡訊通知後，立即登入資安通報應變平台了解事件內容。 與教研中心聯繫後，確認事件發生的伺服器與被駭客入侵可能的位址。 將該伺服器網頁伺服器停用。 將被駭客入侵植入的網頁及不當內容一一刪除。 調查伺服器被駭客入侵的原因與處理情形： 該伺服器網頁服務存有已知的安全漏洞。 由於該伺服器的系統核心為 iChip 晶片，原廠已不再保固，已知的安全漏洞已無法進行修補，決定將其永遠停用。 原提供的網頁服務，將移至其他伺服器，繼續提供服務。 登入資安通報應變平台回報處理情形。 […]

10月7日9:54，入侵事件警訊以「簡訊」、「電子郵件」通知。

10月7日10:50，入侵事件處理完成，並回覆通報。