發生時間

2007年10月11日

資安事件

本校IP 140.127.211.213於2007/10/11 19:50~20:20左右對外進行攻擊行為。該電腦透過TCP Port 22(SSH服務)嘗試猜測系統帳號密碼。

處理流程

1. 中斷西洋語文學系該IP網路服務

2. 通知西洋語文學系發生資通安全事件，請依照建議措施，處理該單位伺服器。

3. 通報國家資通安全通報應變網站

4. 俟西洋語文學系回報處理完畢，恢復該伺服器網路服務。

建議措施

1. 請備份該電腦相關記錄檔，已備日後查核所需。

2. 檢查防火牆記錄，查看內部是否有對外大量不同目的 IP 之異常連線，特別注意但不限於 TCP Port 22。

3. 檢查個別系統上是否有異常連線、異常執行中程序、異常服務及異常開機自動執行程式等，特別注意但不限於正對外開啟 TCP Port 22連線之程式。

4. 注意個別系統之安全修補，若僅移除惡意程式而不修補，再次受相同或類似攻擊的機率極高。修補程式須持續更新，Windows 自動安裝更新程式機制可參考微軟保護電腦三步驟。

5. 系統上所有帳號需設定強健的密碼，非必要使用的帳號請將其刪除。

6. 安裝防毒軟體並更新至最新病毒碼。

7. 檢驗防火牆規則，確認個別系統僅開放所需對外提供服務之通訊埠。

8. 若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/2003 內建之 Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩選。Linux 平台可考慮使用 iptables 等內建防火牆。