网路安全.ppt

網路安全 台大計資中心李美雯Email mli ccms ntu edu twPhone 3366 5010 大綱 MailSPAMBeagleWorm個人電腦保全要領全球20大安全漏洞台大資通安全服務小組網頁 MailSPAM Mailspam將一些商業廣告透過電子郵件寄發給很多人spam在internet上很不受歡迎寄件者利用其它單位的mailserver作為relay送信 MailSPAM Cont 預防方法UnixSystem請升級sendmail版本至8 9以上MicrosoftExchange請廠商更新到最新版本 並將防止SPAM的設定設上去 必須設限某些IP才可透過該server轉信 MailSPAM Cont OpenProxyProxy未限定服務對象的範圍 攻擊者會利用這些proxyserver當中繼站 建立smtp或telnet服務 以寄發大量信或攻擊內部網路 被植入後門程式主機被植入後門程式 啟動SMTP服務寄發大量廣告信 BeagleWorm 行為分析偽裝寄件者為Administration Staff support management 以Dearuserofe mailserver Edu tw 開頭使用自身的SMTP引擎透過電子郵件傳播 附件為隨機命名的 exe檔 包含在 zip檔中 或 pif檔 此zip檔設有密碼保護 BeagleWorm Cont 行為分析 Cont 在TCPport2745開啟後門程式 將自身安裝到名稱含有shar的資料夾中 透過檔案共享散播出去 例如Kazaa及iMesh 中毒者的郵件信箱被更改設定 使用者因無法正常收發信 而誤以為自己因不當使用網路資源而被設限 BeagleWorm Cont 變種繁衍快速3 1W32 Beagle A mm W32 Beagle B mm3 2W32 Beagle C mm W32 Beagle E mm3 3W32 Beagle F mm W32 Beagle G mm W32 Beagle H mm W32 Beagle I mm3 4W32 Beagle J mm W32 Beagle K mm BeagleWorm Cont 解決方案下載清除程式 BeagleWorm Cont 建議方案宣導使用者安裝防毒軟體 經常更新病毒碼 教育使用者勿輕易開啟郵件的附加檔 請使用者注意病毒通報 個人電腦保全要領 安裝台大簽訂的全校版防毒軟體http download cc ntu edu tw定期更新Windows修正程式請利用WindowsUpdate 或直接到微軟網站更新 注意系統漏洞與病毒的最新消息台大資通安全服務小組http cert ntu edu tw 個人電腦保全要領 cont 主機必須設定帳號與密碼將系統預設的Administrator帳號更改為其他名稱 以防駭客輕易破解密碼 密碼長度至少8個字元以上 其間夾雜數字為佳 設定Windows檔案共享的權限盡量不開啟檔案共享 如果一定要共用 也必須做到檢測登入者的帳號與密碼 個人電腦保全要領 cont 不隨意開啟郵件的附加檔 並且關閉郵件預覽功能 不要以郵件寄件者名稱判斷郵件的安全性病毒郵件喜好假造寄件者 查看病毒信的真正來源 可以從郵件的mailheader看出病毒信來源的IPaddress 個人電腦保全要領 cont 不安裝來歷不明有版權的軟體安裝該軟體後 很可能也被植入了後門程式 切勿安裝不信任網站 無公信力網站 的憑證安裝了該網站提供的憑證 很可能也被植入了後門程式 個人電腦保全要領 cont 檢視主機是否增加不認識的使用者帳號區域連線圖示 icon 無緣無故閃爍並且網路連線速度降低 檢查是否有不正常的process正在執行 或者自己正在發送病毒信 個人電腦保全要領 cont 檢視是否被植入後門程式利用freetool檢查是否有不正常的process正在執行ActivePortshttp www protect 個人電腦保全要領 cont 養成電腦開機好習慣 病毒發作期間的建議 先不要上網收信或瀏覽 先更新病毒碼及搜尋引擎 其次是自動連結到微軟網站更新最新程式後 重新開機一次 進行掃瞄 定期做好個人資料備份 如果不幸因中毒造成資料毀損還可補救 個人電腦保全要領 cont 妥善管理伺服器關閉不需要的服務更新server的修正程式如果架設SQLserver IIS InternetInformationServices 或其他server 必須為該service另外安裝修正程式SMTPService必須設限某些IP才可透過該server轉信 XP更新序號的方法 開始 執行 RegEdit 按下確定HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion WPAEvents將 OOBETimer 的最後兩個數值 2497 刪除 按下 確定 關閉regedit程式 在 開始 執行 輸入 oobe msoobe a 按下 確定 進入 啟動Windows 選擇第2項 是 我想打電話給客戶服務代表來啟用Windows 按下 確定 進入下一個視窗 選擇 變更產品金鑰 修改產品金鑰 改成微軟授權的序號下一個畫面出現時 選擇 稍後再提醒我 重新啟動電腦 全球20大安全漏洞 SANS FBI的網址是http www sans org top20 TopVulnerabilitiestoWindowsSystems W1InternetInformationServices IIS W2MicrosoftSQLServer MSSQL W3WindowsAuthenticationW4InternetExplorer IE W5WindowsRemoteAccessServicesW6MicrosoftDataAccessComponents MDAC W7WindowsScriptingHost WSH W8MicrosoftOutlookandOutlookExpressW9WindowsPeertoPeerFileSharing P2P W10SimpleNetworkManagementProtocol SNMP TopVulnerabilitiestoUnixSystems U1BINDDomainNameSystemU2RemoteProcedureCalls RPC U3ApacheWebServerU4GeneralUNIXAuthenticationAccountswithNoPasswordsorWeakPasswordsU5ClearTextServicesU6SendmailU7SimpleNetworkManagementProtocol SNMP U8SecureShell SSH U9MisconfigurationofEnterpriseServicesNIS NFSU10OpenSe