※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2013-05-16 20:42:51
看板 Gossiping
作者 標題 Re: [爆卦] 公文e網通掛掉了
時間 Thu May 16 18:33:07 2013
自己回自己...
國家資通安全會報 技術服務中心
漏洞/資安訊息警訊
發布編號 ICST-ANA-2013-0016
發布時間 Wed May 15 18:21:17 CST 2013
事件類型 攻擊活動預警
發現時間 Wed May 15 00:00:00 CST 2013
警訊名稱 [更新]發生針對公文電子交換網路系統攻擊事故,
請各單位進行調查與注意防範
內容說明 近期發現公文電子交換網路系統用戶端軟體(eClient)更新機制
遭受攻擊事故,駭客透過eClient軟體更新方式來散播惡意程式。
目前已知受感染電腦會連線以下中繼站:
-202.51.180.58
-118.128.75.244
-210.66.74.105
-trybox.com.tw(202.39.132.242)
-115.93.4.171
-108.78.6.142
[更正中繼站IP]
-120.104.242.180
[新增中繼站IP]
-121.141.177.6
-96.44.174.225
-112.140.186.252
-112.175.245.138
-27.255.69.113
-202.41.190.245:443
-61.252.130.69:443
-211.234.117.4:443
-flash.yahoomit.com:80, 443
[更新參考文件連結]
正常eClient軟體的MD5 Hash值,請至以下網址下載比對:
https://www.ncert.nat.gov.tw/Download/publicDoc.do?file=eClient hash-update.pdf
[新增參考文件]
MD5 Hash值驗算方式,請至以下網址下載參考文件:
https://www.ncert.nat.gov.tw/Download/publicDoc.do?file=MD5instruction.pdf
惡意程式可能存放目錄:
C:\Documents and Settings\account\Local Settings\
因為本波攻擊使用現有公文電子交換網路系統軟體更新機制進行惡意程式散播,影響範圍
與衝擊不容小覷。請各機關立即清查機關內是否有往以上中繼站連線的行為,並檢視收發
人員eClient用戶端電腦的系統安全狀況。若發現中繼站連線或異常行為,請立即至通報
應變網站(https://www.ncert.nat.gov.tw)進行資安事故通報。
影響平台 公文電子交換網路系統eClient系統
影響等級 高
建議措施 1.請立即檢視收發人員eClient用戶端電腦的系統安全狀況,
並比對eClient軟體的MD5值
2.將惡意中繼站加入防火牆監控,分析是否已經被入侵
3.請登入通報應變網站後,到"資安文件下載區"點選下載”
資安預警警訊-可疑連線應變程序(V1_1)” ,
依照程序書所列方式檢查電腦的惡意連線狀況
依照程序書所列方式檢查電腦的惡意連線狀況
4.鑒於此類攻擊事故對整體社會及經濟之衝擊不容小覷,
促請各政府機關持續強化資安防護機制及人員資安意識,
並應適當限縮電腦管理者權限、落實電腦重要資料定期備份、
確實辦理通報應變及社交工程演練等,以有效控管損害。
參考資料 1.請登入通報應變網站後,到"資安文件下載區"點選下載”
資安預警警訊-可疑連線應變程序(V1_1)”;(
參考資料 1.請登入通報應變網站後,到"資安文件下載區"點選下載”
資安預警警訊-可疑連線應變程序(V1_1)”;(
https://www.ncert.nat.gov.tw/Download/
privilegedDoc.do?file=資安預警警訊-
可疑連線應變程序(V1_1).pdf)
2.最新版本的eClient主安裝程式請依照以下方式下載:
甲、http://cs.good.nat.gov.tw/→檔案下載
→eClient主安裝程式→eClientSetup-V2.0.70.57325.exe
乙、其hash值為ba7c3c06adfbcf93def25fbe9ec8570c
3.重新安裝eClient流程請參考以下網址的”
重新安裝eClient注意事項”文件:
甲、https://www.ncert.nat.gov.tw/Download/publicDoc.do?
file=InstalleClientNote_20130513.pdf
4.若對於安裝或使用eClient有任何問題,請撥打公文G2B2C中心客服
(02)2713-5770
此類通告發送對象為通報應變網站登記之資安聯絡人。若貴 單位之資安聯絡人有變更,
可逕自登入通報應變網站(https://www.ncert.nat.gov.tw)進行修改。若您仍為貴單位
之資安聯絡人但非本事件之處理人員,請協助將此通告告知相關處理人員。
如果您對此通告的內容有疑問或有關於此事件的建議,請勿直接回覆此信件,請以下述聯
絡資訊與我們連絡。國家資通安全會報 技術服務中心 (http://www.icst.org.tw/)
地 址: 台北市富陽街116號
聯絡電話: 02-27339922
傳真電話: 02-27331655
電子郵件信箱: service@icst.org.tw
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.218.159.54
→ :GSN-VPN真的被攻進來....爽了...1F 05/16 18:34
→ :看不懂其實2F 05/16 18:35
簡單說:現在有很多可以看到政府公文的電腦,裡面可能被放了一些不該放的程式,
至於程式要做什麼事? 就只有放的人知而已....※ 編輯: NotFast 來自: 61.218.159.54 (05/16 18:38)
推 :eClient被弄壞怎麼收公文阿3F 05/16 18:38
推 :不要小看公務人員的電腦~簡直就是病毒集中營!!4F 05/16 18:48
→ :曾收過一份公文~說貴單位一直攻擊XX地方~要求檢查
→ :結果先安裝掃毒軟體~掃的數量都是百位數~乾脆重灌
→ :重灌後~再打電話詢問還有沒有攻擊~結果就沒了!!
→ :曾收過一份公文~說貴單位一直攻擊XX地方~要求檢查
→ :結果先安裝掃毒軟體~掃的數量都是百位數~乾脆重灌
→ :重灌後~再打電話詢問還有沒有攻擊~結果就沒了!!
→ :wow8F 05/16 18:57
--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 1010
回列表(←)
分享