73-网路安全

網路安全台大計資中心李美雯Email:mli@ccms.ntu.edu.twPhone:3366-5010大綱MailSPAMBeagleWorm個人電腦保全要領全球20大安全漏洞台大資通安全服務小組網頁MailSPAMMailspam–將一些商業廣告透過電子郵件寄發給很多人–spam在internet上很不受歡迎•寄件者利用其它單位的mailserver作為relay送信MailSPAM(Cont.)預防方法–UnixSystem•請升級sendmail版本至8.9以上–MicrosoftExchange•請廠商更新到最新版本。•並將防止SPAM的設定設上去。–必須設限某些IP才可透過該server轉信MailSPAM(Cont.)OpenProxy–Proxy未限定服務對象的範圍，攻擊者會利用這些proxyserver當中繼站，建立smtp或telnet服務，以寄發大量信或攻擊內部網路。被植入後門程式–主機被植入後門程式，啟動SMTP服務寄發大量廣告信。BeagleWorm行為分析–偽裝寄件者為Administration,Staff,support,management….•以Dearuserofe-mailserver“Edu.tw”開頭–使用自身的SMTP引擎透過電子郵件傳播。–附件為隨機命名的.exe檔(包含在.zip檔中)或.pif檔。此zip檔設有密碼保護。BeagleWorm(Cont.)行為分析(Cont.)–在TCPport2745開啟後門程式。–將自身安裝到名稱含有shar的資料夾中，透過檔案共享散播出去，例如Kazaa及iMesh。–中毒者的郵件信箱被更改設定，使用者因無法正常收發信，而誤以為自己因不當使用網路資源而被設限。BeagleWorm(Cont.)變種繁衍快速–3/1W32.Beagle.A@mm,W32.Beagle.B@mm–3/2W32.Beagle.C@mm,W32.Beagle.E@mm–3/3W32.Beagle.F@mm,W32.Beagle.G@mm,W32.Beagle.H@mm,W32.Beagle.I@mm–3/4W32.Beagle.J@mm,W32.Beagle.K@mmBeagleWorm(Cont.)解決方案–下載清除程式•–檢查郵件設定•郵件伺服器與寄件者帳號BeagleWorm(Cont.)建議方案–宣導使用者安裝防毒軟體，經常更新病毒碼。–教育使用者勿輕易開啟郵件的附加檔。–請使用者注意病毒通報。個人電腦保全要領安裝台大簽訂的全校版防毒軟體–定期更新Windows修正程式–請利用WindowsUpdate，或直接到微軟網站更新。注意系統漏洞與病毒的最新消息–台大資通安全服務小組•個人電腦保全要領(cont.)主機必須設定帳號與密碼–將系統預設的Administrator帳號更改為其他名稱，以防駭客輕易破解密碼。密碼長度至少8個字元以上，其間夾雜數字為佳。設定Windows檔案共享的權限–盡量不開啟檔案共享。如果一定要共用，也必須做到檢測登入者的帳號與密碼。個人電腦保全要領(cont.)不隨意開啟郵件的附加檔，並且關閉郵件預覽功能。不要以郵件寄件者名稱判斷郵件的安全性–病毒郵件喜好假造寄件者，查看病毒信的真正來源，可以從郵件的mailheader看出病毒信來源的IPaddress。個人電腦保全要領(cont.)不安裝來歷不明有版權的軟體–安裝該軟體後，很可能也被植入了後門程式。切勿安裝不信任網站（無公信力網站）的憑證–安裝了該網站提供的憑證，很可能也被植入了後門程式。個人電腦保全要領(cont.)檢視主機是否增加不認識的使用者帳號區域連線圖示(icon)無緣無故閃爍並且網路連線速度降低:–檢查是否有不正常的process正在執行。或者自己正在發送病毒信。個人電腦保全要領(cont.)檢視是否被植入後門程式–利用freetool檢查是否有不正常的process正在執行•ActivePorts–•Fport–=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm個人電腦保全要領(cont.)養成電腦開機好習慣(病毒發作期間的建議)–先不要上網收信或瀏覽，先更新病毒碼及搜尋引擎，其次是自動連結到微軟網站更新最新程式後，重新開機一次，進行掃瞄。定期做好個人資料備份，如果不幸因中毒造成資料毀損還可補救。個人電腦保全要領(cont.)妥善管理伺服器–關閉不需要的服務–更新server的修正程式•如果架設SQLserver，IIS(InternetInformationServices)或其他server，必須為該service另外安裝修正程式–SMTPService•必須設限某些IP才可透過該server轉信XP更新序號的方法[開始]→[執行]→[RegEdit]，按下確定HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WPAEvents–將[OOBETimer]的最後兩個數值[2497]刪除，按下[確定]，關閉regedit程式。在[開始]→[執行]，輸入[oobe/msoobe/a]，按下[確定]，進入[啟動Windows]→選擇第2項[是，我想打電話給客戶服務代表來啟用Windows]，按下[確定]，進入下一個視窗。選擇[變更產品金鑰]修改產品金鑰，改成微軟授權的序號下一個畫面出現時，選擇[稍後再提醒我]重新啟動電腦全球20大安全漏洞SANS/FBI的網址是W1InternetInformationServices(IIS)W2MicrosoftSQLServer(MSSQL)W3WindowsAuthenticationW4InternetExplorer(IE)W5WindowsRemoteAccessServicesW6MicrosoftDataAccessComponents(MDAC)W7WindowsScriptingHost(WSH)W8MicrosoftOutlookandOutlookExpressW9WindowsPeertoPeerFileSharing(P2P)W10SimpleNetworkManagementProtocol(SNMP)TopVulnerabilitiestoUnixSystemsU1BINDDomainNameSystemU2RemoteProcedureCalls(RPC)U3ApacheWebServerU4GeneralUNIXAuthenticationAccountswithNoPasswordsorWeakPasswordsU5ClearTextServicesU6SendmailU7SimpleNetworkManagementProtocol(SNMP)U8SecureShell(SSH)U9MisconfigurationofEnterpriseServicesNIS/NFSU10OpenSecureSocketsLayer(SSL)二十項相關國際認定重要弱點台大資通安全服務小組網頁網址:內容介紹:–最新消息–違規主機名單–網安精華區–下載專區–相關文件