Print server (140.113.133.7)遭殭屍(Bot)惡意程式感染,成為跳板,對外進行攻擊。強制停機進行檢修,預計週一恢復。
影響範圍:公用列印計費服務暫停。
處理記錄:
9/15: 已關閉 port 6245,尚待全機掃毒(因IP被封鎖,無法遠端控制,需至主機端操作)。
===============================
事件單編號:AISAC-5579
原發布編號:ASOC-INT-20110914-0180
原發布時間:2011-09-1411:26:28
事件類型:對外攻擊
原發現時間:2011-09-14
事件主旨:通報:[國立交通大學]140.113.133.7 遭受殭屍(Bot)惡意程式感染,對外進行攻擊
事件描述:ASOC 發現貴單位(國立交通大學)資訊設備 140.113.133.7 遭受殭屍(Bot)惡意程式感染,逕而對外散布惡意程式。 惡意程式散佈連結為: http://140.113.133.7:6245/roaofikt 惡意程式MD5: 3e9333220e76f8cc4ca27928423694a1
手法研判:透過MS08-067弱點對外進行攻擊
參考資料:1.微軟安全性公告MS08-067: http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-067.mspx 2.CVE-2008-4250 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250
影響範圍:公用列印計費服務暫停。
處理記錄:
9/15: 已關閉 port 6245,尚待全機掃毒(因IP被封鎖,無法遠端控制,需至主機端操作)。
===============================
事件單編號:AISAC-5579
原發布編號:ASOC-INT-20110914-0180
原發布時間:2011-09-1411:26:28
事件類型:對外攻擊
原發現時間:2011-09-14
事件主旨:通報:[國立交通大學]140.113.133.7 遭受殭屍(Bot)惡意程式感染,對外進行攻擊
事件描述:ASOC 發現貴單位(國立交通大學)資訊設備 140.113.133.7 遭受殭屍(Bot)惡意程式感染,逕而對外散布惡意程式。 惡意程式散佈連結為: http://140.113.133.7:6245/roaofikt 惡意程式MD5: 3e9333220e76f8cc4ca27928423694a1
手法研判:透過MS08-067弱點對外進行攻擊
參考資料:1.微軟安全性公告MS08-067: http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-067.mspx 2.CVE-2008-4250 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250
留言
張貼留言