這就是春節假期無法進入學校網頁的原因,由於學校老師信件主機和網頁主機是同一台,有帳號密碼被破解,遭駭客放置了釣魚網站,所以被教育局封鎖了IP,沒辦法從外面(家裡)連到學校網站(伺服器)。
釣魚網站屬於一種詐騙行為,詳細說明請見此 >> 釣魚式攻擊 <<維基百科,自由的百科全書
如果有人遭詐騙,追查回來就會追查到該帳號的擁有人
由於老師擔心忘記密碼,所以密碼通常都設的比較簡單,很容易被破解
密碼複雜度越高,越不容易遭有心人破解,使用破解程式測試密碼,破解時間如下:
最簡單的數字--六位字元瞬間破解,八位348分鐘,十位163天
普通大小寫字母--六位字元33分鐘,八位62天
數字+大小寫字母--六位字元一個半小時,八位253天
數字+大小寫字母+標點--六位字元22小時,八位23年
... (以上資料參考來源:行政院資安論壇)
建議設定複雜度較高的密碼,否則容易遭到入侵,竊取電腦內儲存的帳號密碼或資料
小弟提供比較簡單的設定密碼的方法:例如學校帳號,您可以利用您平常的輸入法變成密碼,如"建國",變成"ru04jei6"(注音輸入法)
加上符號的方式比較常見的有:a換成@ s換成$等......
一般建議密碼最好8位元以上橫跨英文(大小寫不同)、數字、符號,並且不要利用英文單字當密碼,破解程式是可以套用字典的
關於被入侵的帳號與空間皆已在28日刪除並留下該駭客的所有在主機的所有記錄以備查案,並通知"國家資訊安全應變通報網站"處理完畢,但是因為教育局沒上班,被封鎖的ip要等2/2打電話給教育局才有辦法解除
ps:校內看是正常的,連出去也會正常,只有從外面(如家裡),連來學校才會有問題
以下為紀錄供自己與將來接任資訊組的老師備查:
1/26(大年初一)早上>> 發現學校網站無法連接
1 21 ms 21 ms 20 ms 59-112-216-254.dynamic.hinet.net [59.112.216.254]
2 20 ms 20 ms 20 ms ty-fo-c76r1.router.hinet.net [168.95.96.18]
3 20 ms 20 ms 20 ms 220-128-8-234.HINET-IP.hinet.net [220.128.8.234]
4 20 ms 20 ms 20 ms ty-fo-tanet-gw01.router.hinet.net [211.22.39.249]
5 20 ms 20 ms 20 ms 61-222-83-117.HINET-IP.hinet.net [61.222.83.117]
6 22 ms 22 ms * bb-MOE-TWAREN.TANet.edu.tw [192.83.196.111] <===這之後就斷線了
7 * * * Request timed out.
8 * * * Request timed out.
遠端連線至區網內電腦,從該主機網外連線亦然,除了這台主機以外的主機皆正常,但是因為這台主機也是DNS,所以從外面連進來就沒辦法使用DOMAIN NAME,雖然除了首頁以外服務都正常,對老師來說沒有首頁跟全部掛了沒兩樣,學校網頁提供的服務是由6台主機架構的,出問題的就是學校首頁的主機
由於沒有連接至縣網防火牆,當時雖懷疑遭封鎖但是縣網的封鎖清單中沒有學校名子
1/27(大年初二)下午>> 請較為要好的同事前往機房查看是否線路或機器有問題,因為小弟人在屏東無能為力檢視硬體部分
1/28(大年初三)凌晨3:00>> 終於在封鎖清單中發現,遠端登入主機調查LOG紀錄並發信給縣網MIS莊先生說明狀況
1/28(大年初三)早上5:40>> 收到縣網系統的簡訊與縣網MIS莊先生回信信件內容如下
桃園縣政府教育處 資安聯絡人您好:
1. 貴單位遭檢舉網站有詐騙 (Phishing)網頁(檢舉信件如附件)如下:
IP: (被封鎖的該主機IP)
2. 目前已經限制該IP對學術網路外的連線
3. 因詐騙(Phishing)網頁嚴重性極大,請貴單位進行以下事宜:
(1)請依「國家資通安全會報通報與應變作業流程」最晚應於24小時內向
「國家資通安全通報應變網站」進行通報(https://www.ncert.nat.gov.tw)。
事件影響等級建議填寫D級。
(2)請於3日內將問題處理完成後於「國家資通安全通報應變網站」進行通報結案。
(3)本中心經測試通過後 ,立即為您解除限制。
4. 一般來說, 網頁被置換時,入侵者通常會留下其他的後門,或者會修改您系統其他的
設定檔,造成其他的損害, 即使是專家也不一定可以清除乾淨.所以我們建議您:
(1)備份這台主機上的資料檔案.
(2)將系統OS及全部的東西全部清乾淨重新安裝.
(3)更新所有的OS及service的patch.
(4)關閉系統不必要的 service 及 port.
(5)放回備份的資料檔案. 恢復服務.
當然可以再安裝簡易式的firewall會更好.
最後記得定期檢查system log.
這樣安全性可以提高許多. 也避免被當成攻擊的跳板.
教育部資訊安全處理小組敬上
TEL:(02)77129008
--
教育部電算中心 台灣學術網路管理
就是學校被放了一個假的國外銀行網站 叫做 ABBEY PERSONAL BANK 駭客作了一個一模一樣的網站放在我們學校,準備利用各種方式欺騙不知情的人到這假網站輸入他的帳號密碼。
這就是駭客放的網頁檔案內容
檔案與駭客在主機活動的紀錄(幾日幾時幾分幾秒 從哪個ip來,放了什麼東西等等的所有記錄)已經寄給縣網mis做處理,希望能抓到這個害我浪費3天年假的傢伙。
最後,前往「國家資通安全通報應變網站」豋入學校的oid,並通報主機遭放置釣魚網站
1/29(大年初四) 下午>> 接到「國家資通安全通報應變網站」人員電話詢問是否需要幫助,看來是對基層單位的資訊能力較為懷疑,不過早上5點多通報,下午就打電話給我了,效率很好,其實已經處理完畢,只差開通ip‧
1/30(大年初五) 中午>> 「國家資通安全通報應變網站」人員通知,他們沒有開通ip的權限,還是要找教育局,看來要等2/2打電話連絡以後,等教育局開通ip,老師小朋友們才能從家中看見學校網站了。
2/2早上9點 接到教育局電話,IP已經開通了,學校網頁可以從家裡連上了
0 意見:
張貼留言