資安事件:1060815全臺大停電

事件主因:815全臺大停電- 维基百科,自由的百科全书

本校處理情形:

0816 早上 8:00:

  • 將已關機的伺服器全數開機。
    • CDTower 伺服器掛點,無法開機。
  • 一一檢視每一台開好機的伺服器。
    • Web2 伺服器掛點,重新啟動,恢復正常,但其上的網站:kiddy.bhes.ntpc.edu.tw 無法正常啟用。
  • 維修 CDTower 伺服器:
    • 從機房機櫃移出至電腦維修室
    • 使用空壓機清潔機器內部。
    • 記憶體全數重新擦拭清潔(其中有一條記憶體金手指上有比較嚴重的銅鏽)
    • Reset 鍵卡住 → 故障排除
    • 主機板上有一顆電容爆漿,不是很嚴重,將其表面擦拭乾淨。
    • 重新啟動電腦 → 正常。
    • 將機殼裝好,重新啟動電腦 → 正常。
    • 關機 → 放回機房機櫃。
    • 重新啟動電腦,設定 CMOS。
    • 檢視電腦運作是否正常,網站是否正常運作 → 正常。
  • 檢視全校網路是否正常。

0815 晚上 9:30,為避免再度停電造成機房伺服器故障,緊急至校處理:

  • 打開機房冷氣機、電風扇。
  • 機櫃門全數打開,通風
  • 將非主要的伺服器全數關機。
  • 於碧華行政群組發佈相關訊息。

來自新北市教網:[緊急通知] 08/15 05:50 臺北主節點因機房電力中斷,晚間21:45分恢復正常。

因08/15 17:50 臺北主節點因機房電力中斷,冷氣無法運轉,溫度升高下,進行緊急停機處置,TANet 服務中斷。

造成新北市教育網路對外網路中斷。

對外網路中斷期間,新北市教育網路內部網路服務仍可正常使用。

TANET於晚間21:45分恢復正常。新北市教育網路對外網路恢復。

請組長針對校園網路設備進行檢測,

若有問題請電80723456-531 or 532

工程師將協助您處理問題。

檢討:

  • 機房冷氣機、電風扇,皆應採用支援自動復歸功能的機種,也就是說,斷電後來電,系統會自動啟動至機器內部設定的運轉設定。否則若機房一停電,當來電時,所有伺服器自動啟動,但冷氣機卻沒啟動,一陣子後,機房溫度將會過高,伺服器可以會因此故障。

 

資安訊息警訊:近期勒索軟體Petrwrap活動頻繁,請立即更新作業系統、Office應用程式與防毒軟體,並注意平時資料備份作業

行政院國家資通安全會報技術服務中心
漏洞/資安訊息警訊

發布編號 NCCST-ANA-2017-0070 發布時間 Wed Jun 28 16:33:06 CST 2017
事件類型 其他 發現時間 Wed Jun 28 00:00:00 CST 2017
警訊名稱 近期勒索軟體Petrwrap活動頻繁,請立即更新作業系統、Office應用程式與防毒軟體,並注意平時資料備份作業
內容說明 全球多個國家於本(106)年6月27日晚間陸續傳出遭勒索軟體Petrwrap攻擊事件,受影響範圍以烏克蘭、俄羅斯及東歐等地區災情最為嚴重。

Petrwrap為2016年勒索軟體Petya變種,攻擊者主要利用社交工程郵件誘使使用者開啟附件檔案,藉由攻擊Office RTF漏洞(CVE-2017-0199)執行惡意程式碼,以取得系統控制權,並配合微軟MS17-010漏洞、Windows遠端管理指令Psexec或WMIC(Windows Management Instrumentation Command-line)等方式進行內部擴散,受感染主機之作業系統開機磁區(MBR)與檔案配置表(MFT)將被加密,導致無法進入作業系統,只會在電腦螢幕上看到要求贖金的訊息。

影響平台 Windows XP

Windows Vista

Windows 7

Windows 8.1

Windows RT 8.1

Windows 10

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

影響等級
建議措施 1.確實持續更新電腦的作業系統、Office應用程式及防毒軟體等至最新版本。Petrwrap勒索軟體所利用之作業系統弱點與Office應用程式弱點,已分別於3月與4月釋出修復程式,請至微軟官方網頁進行更新:

(1)MS17-010:https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx 。另外已超過維護週期之作業系統,例如XP/Server 2003等,請參考連結(https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)下載後進行更新

(2)CVE-2017-0199:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

2.更新電腦防毒軟體病毒碼。

3.作業系統登入密碼應符合複雜性原則,並定期變更密碼。

4.定期備份電腦上的檔案及演練資料還原程序。

5.避免開啟來路不明郵件,包含附件與連結。

參考資料 1.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

2.https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx

Synology NAS 網站維運(1060529)

Synology NAS Server 系統更新:

版本: 6.1.1-15101-4

(2017/05/25)

問題修正

  1. 修正與 Samba 服務相關的安全性漏洞 (CVE-2017-7494)。

版本: 6.1.1-15101-3

(2017/05/23)

問題修正

  1. 修正與 Linux Kernel 相關的安全性漏洞 (CVE-2017-7308)。
  2. 提昇 DSM 建立網路連線的穩定度。
  3. 修正 DNS 伺服器在新增 IPv6 子網路可能會失敗的問題。

版本: 6.1.1-15101-2

(2017/05/09)

問題修正

  1. 修正與 Linux Kernel 相關的安全性漏洞 (CVE-2017-7184)。
  2. 修正 Virtual Machine Manager 中 Ubuntu 虛擬機器系統凍結的問題。
  3. 提升 iSCSI 服務的穩定性。

【漏洞預警】Microsoft Windows作業系統及Google Chrome瀏覽器存在處理SCF檔的弱點,導致攻擊者取得使用者帳號與密碼(1060521)

教育機構ANA通報平台

發佈編號 TACERT-ANA-2017051904050707 發佈時間 2017-05-19 16:41:35
事故類型 ANA-漏洞預警 發現時間 2017-05-18 00:00:00
影響等級
[主旨說明:]

【漏洞預警】Microsoft Windows作業系統及Google Chrome瀏覽器存在處理SCF檔的弱點,導致攻擊者取得使用者帳號與密碼

[內容說明:]

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201705-0093 介殼命令檔(Shell Command File,以下簡稱SCF)主要是用來開啟檔案總管或是顯示桌面的捷徑檔。 研究人員Bosko Stankovic發現Windows作業系統與Chrome瀏覽器在處理SCF檔時,Chrome瀏覽器預設是將SCF檔視為安全的檔案,不需提醒使用者即自動下載此類型的檔案,若攻擊者在網頁中嵌入惡意的SCF檔案,使用者透過Chrome瀏覽器造訪惡意的網頁時,就會自動下載該惡意SCF檔案至使用者電腦中,下載完成後,當使用者開啟存放此檔案之資料夾時,Windows作業系統將自動執行SCF檔案,並嘗試自動登入到攻擊者所架設之SMB伺服器,導致攻擊者可藉此取得使用者所傳送之帳號與密碼資訊。 此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

所有的Windows作業系統版本所有的Chrome瀏覽器版本

[建議措施:]

  1. 目前因Microsoft官方(https://technet.microsoft.com/en-us/security/bulletins.aspx)與Google官方(https://chromereleases.googleblog.com/)尚未釋出修復之版本,所以仍請密切注意更新之訊息
  2. 請勿瀏覽可疑網站與留意惡意SCF,若發現不預期之SCF檔案下載行為,請予以拒絕。建議啟用Chrome瀏覽器的「下載每個檔案前先詢問儲存位置」機制,以讓使用者決定是否下載,設定方式如下:(設定->進階設定->下載->勾選「下載每個檔案前先詢問儲存位置」)
  3. 請檢視防火牆設定,確認阻擋Port 139與445之對外連線,以避免不慎執行SCF檔案時,洩漏帳密資訊到攻擊者所架設之SMB伺服器。
[參考資料:]

  1. http://www.ithome.com.tw/news/114279
  2. http://thehackernews.com/2017/05/chrome-windows-password-hacking.html
  3. http://defensecode.com/news_article.php?id=21

「WanaCrypt0r 2.0 勒索病毒」解救之道

「WanaCrypt0r 2.0 攻擊系統漏洞」資安警訊

解救之道:

盡速更新 KB3150513 避免遭受 DoublePulsar 攻擊

【資安威脅】因應WannaCrypt攻擊,微軟官方公布Windows Server 2003及XP修復程式

雖然微軟已經停止支援Windows Server 2003及XP等作業系統的漏洞修補許久,但尚有許多客戶仍使用已不支援之Window版本,為了因應此次WannaCrypt勒索軟體大量攻擊之特殊狀況,微軟破例提供以下數項作業系統之修補程式,若有使用以下作業系統之使用者可至連結中下載修補程式,以免遭受病毒攻擊。
修補程式下載連結:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/