郵件伺服器遭加密攻擊
前往頁面 上一頁  1, 2
 
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server)
上一篇文章 :: 下一篇文章  
發表人 內容
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13009
來自: TAIWAN

發表發表於: 星期六 七月 09, 2022 6:29 pm    文章標題: 引言回覆

新版已經釋出。
麻煩各位更新成 4.7。
造成不便,請多包涵。

事情不一定結束,小弟會持續觀察。
駭客手段高超,抓 bug 一流,是福不是禍,是禍躲不過,沒有駭客的砥勵,我永遠都不知道有這些個漏洞。

大家有什麼須要幫助的僅管來信告知,遠端協助都成(使用軟體為 Anydesk),約個時間就可進行,不收費用。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
yuchieh
拳王
拳王


註冊時間: 2002-01-12
文章: 302
來自: 中華民國

發表發表於: 星期日 七月 10, 2022 8:24 pm    文章標題: 還好使用VMWare 架MD 引言回覆

Arnor 寫到:
新版已經釋出。
麻煩各位更新成 4.7。
造成不便,請多包涵。

事情不一定結束,小弟會持續觀察。
駭客手段高超,抓 bug 一流,是福不是禍,是禍躲不過,沒有駭客的砥勵,我永遠都不知道有這些個漏洞。

大家有什麼須要幫助的僅管來信告知,遠端協助都成(使用軟體為 Anydesk),約個時間就可進行,不收費用。


小弟公司,使用 VMware 架MailD 還好有定時使用,快照功能!
目前還原到上星期五的快照!不然公司的網站,都停擺!

不管用什麼方法,大家一定要養成定時備份!…
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13009
來自: TAIWAN

發表發表於: 星期日 七月 10, 2022 11:26 pm    文章標題: Re: 還好使用VMWare 架MD 引言回覆

yuchieh 寫到:
Arnor 寫到:
新版已經釋出。
麻煩各位更新成 4.7。
造成不便,請多包涵。

事情不一定結束,小弟會持續觀察。
駭客手段高超,抓 bug 一流,是福不是禍,是禍躲不過,沒有駭客的砥勵,我永遠都不知道有這些個漏洞。

大家有什麼須要幫助的僅管來信告知,遠端協助都成(使用軟體為 Anydesk),約個時間就可進行,不收費用。


小弟公司,使用 VMware 架MailD 還好有定時使用,快照功能!
目前還原到上星期五的快照!不然公司的網站,都停擺!

不管用什麼方法,大家一定要養成定時備份!…


給你一個讚!
我自己是遵循 3-2-1 的備份思維,至少備3份,要2個不同媒體(異地),至少1個在線下,定期按表操課在做。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
asec
五段
五段


註冊時間: 2003-12-19
文章: 103
來自: 台灣 , 中華民國

發表發表於: 星期一 七月 11, 2022 12:23 am    文章標題: 引言回覆

小弟我這邊也中獎了
追縱了兩天
發現是 7LOCK,舊7LOCK查到的是用 java 模式
此次是用 一個壓縮自解檔 indexer.exe或calc.exe或calc_.exe
出現的位置是 maild 主資料夾及 inboxes 資料夾
可能是 webmail 漏同去觸發 自解檔

的確追縱紀錄,在近期有少數日期有在 半夜1點多時 觸發不明改使用者密碼的狀況 (最近兩次 1次是7/4,另一次就是7/9 然後就 案發)
可能是漏洞傳入並讓系統執行
自解檔含 node.exe、aaa.js 等
解出 後含執行命令 ( node.exe aaa.js )
然後掃 A-Z存在的磁碟
並產生一個bat 不斷強制關閉 raidenmaild.exe、taskmgr、mysqld.exe …等等
並透過 node.exe叫用 aaa.js 的 javascript 函數去 加密
密碼還是隨機英數組成的 32碼 密碼

若發現有問題時…請趕快 用工作管理員去關閉 node.exe
可以避免繼續加密

個人是建議後續 webmail或後台管理 相關觸發 執行檔等 運作時,要小心避免可能的漏洞被利用
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件 MSN Messenger
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13009
來自: TAIWAN

發表發表於: 星期一 七月 11, 2022 1:03 am    文章標題: 引言回覆

asec 寫到:
小弟我這邊也中獎了
追縱了兩天
發現是 7LOCK,舊7LOCK查到的是用 java 模式
此次是用 一個壓縮自解檔 indexer.exe或calc.exe或calc_.exe
出現的位置是 maild 主資料夾及 inboxes 資料夾
可能是 webmail 漏同去觸發 自解檔

的確追縱紀錄,在近期有少數日期有在 半夜1點多時 觸發不明改使用者密碼的狀況 (最近兩次 1次是7/4,另一次就是7/9 然後就 案發)
可能是漏洞傳入並讓系統執行
自解檔含 node.exe、aaa.js 等
解出 後含執行命令 ( node.exe aaa.js )
然後掃 A-Z存在的磁碟
並產生一個bat 不斷強制關閉 raidenmaild.exe、taskmgr、mysqld.exe …等等
並透過 node.exe叫用 aaa.js 的 javascript 函數去 加密
密碼還是隨機英數組成的 32碼 密碼

若發現有問題時…請趕快 用工作管理員去關閉 node.exe
可以避免繼續加密

個人是建議後續 webmail或後台管理 相關觸發 執行檔等 運作時,要小心避免可能的漏洞被利用


謝謝您提供寶貴的資訊。

沒錯的,這次的事件讓我了解到輔助檔案的重要性。
我會在下個版本加上輔助檔案的 FileMD5,由程式在執行前先行確認檔案是否被竄改,正確才會執行。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
ingolf
三段
三段


註冊時間: 2003-06-10
文章: 56
來自: TAIWAN

發表發表於: 星期一 七月 11, 2022 3:19 pm    文章標題: 引言回覆

另外想請教素大,為何我分散在各地的客戶都是這個週末被入侵加密?
連在蘇州的伺服器也是?
都在同一個週末會不會太巧了?
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13009
來自: TAIWAN

發表發表於: 星期一 七月 11, 2022 3:23 pm    文章標題: 引言回覆

ingolf 寫到:
另外想請教素大,為何我分散在各地的客戶都是這個週末被入侵加密?
連在蘇州的伺服器也是?
都在同一個週末會不會太巧了?



這就是駭客恐佈之處。
有高明網友告知 shodan 這種物聯網的搜尋引擎,
可以做裝置的搜尋,我一開始也納悶這個,怎麼可能這麼巧?!

下版本會有選項把 greeting 關鍵字 MARK 掉,不給這種搜尋引擎做索引了
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server) 所有的時間均為 台北時間 (GMT + 8 小時)
前往頁面 上一頁  1, 2
2頁(共2頁)

 
前往:  
無法 在這個版面發表文章
無法 在這個版面回覆文章
無法 在這個版面編輯文章
無法 在這個版面刪除文章
無法 在這個版面進行投票


Powered by phpBB © 2001-2007 phpBB Group