郵件伺服器遭加密攻擊

[drinktea]

這兩天自架郵件伺服器有多台都受到攻擊
半夜一到兩點鐘
mail server log內都出現
185.213.152.176 收到 XXX 的變更密碼要求，變更密碼成功
XXX 從 185.213.152.176 登入 WEBMAIL 服務
然後RAIDENMAILD資料夾內相關設定檔就都被加密了
隔天當然郵件服務就全停了
win系統重作重架以後
隔天又遇到一樣問題
當然有可能因為XXX帳號的密碼過於簡單造成被變更
但想請教是否在 webmail 套件內有漏洞
只要能登入就能上傳惡意檔案造成主機被加密病毒攻破的可能
因為三台都一樣的訊息
一樣的狀況
目前已重作伺服器並關閉webmail登入功能觀察

[jones]

我也是被攻擊~_~
[2022/7/8 上午 01:59:07] 185.65.135.168 收到 XXX 的變更密碼要求, 變更密碼成功
[2022/7/8 上午 01:59:08] XXX 從 185.65.135.168 登入 WEBMAIL 服務

結果郵件伺服器全部的郵件都被刪光了
_________________
win10
dnsd+maild+firewall
So-net固定IP
網域:wbh.com.tw

[sonet995]

[2022/7/2 上午 07:17:03] 141.98.255.148 收到 AAA 的變更密碼要求, 變更密碼成功
[2022/7/7 上午 12:09:44] 185.213.152.176 收到 BBB 的變更密碼要求, 變更密碼成功
[2022/7/8 上午 12:40:50] 185.65.135.168 收到 AAA 的變更密碼要求, 變更密碼成功

都是 RIPE NCC 的 IP，除了擋 IP 外，請問雷電的設置還有哪邊可以設定防止這個攻擊? 謝謝。

[drinktea]

[licheer]

和我一樣,是不是MAILD有漏洞被發現了
http://www.raidenhttpd.com/jlbb/viewtopic.php?t=20094

前幾天是被改密碼,剛剛發現C:\RaidenServer\RaidenMAILD\Inboxes
郵件都被改成加密的壓縮檔

最近這幾天,dgb log檔中都有很奇怪的紀錄

2022/07/08:11:10:50 POP3 101.251.238.51 [Invalid command] - 




2022/07/08:11:10:50 POP3 101.251.238.51 [Invalid command] - ??鮹ae3?G*?瘁掛普h|蹉2荁? 卅5M藣_Y? ?U2衣%[r抿>??? >
?? 怫依社+? $? k?? g?
2022/07/08:11:10:50 POP3 101.251.238.51 [Invalid command] - 
? ?鬥?鰆'?<陸鷶焍 薀_塋\-#:?2 8?? 怫依社+? $? k?? g?
2022/07/08:11:10:50 POP3 101.251.238.51 [Invalid command] - ? 9?? 3 ? ? = < 5 / 
X  

2022/07/08:11:10:51 POP3 101.251.238.51 [Invalid command] - 
c
_獠v???+痝?p?Cmw斀玗p ?
2022/07/08:11:10:51 POP3 101.251.238.51 [Invalid command] - ? 9?? 3 5 / 
$  

2022/07/08:11:10:51 POP3 101.251.238.51 [Invalid command] - 
2022/07/08:11:10:51 POP3 101.251.238.51 [Invalid command] - 
c
_
褑?rUG溯嬋?#姱扢滂R31 ?
2022/07/08:11:10:51 POP3 101.251.238.51 [Invalid command] - ? 9?? 3 5 / 
$  


[jones]

現在才發現 inbox 裡面的郵件沒被刪掉 郵件檔名 .eml後面再被加上.7z
導致郵件讀不到
改回檔名 就可以讀該郵件 幸好我們公司人不多,不然
_________________
win10
dnsd+maild+firewall
So-net固定IP
網域:wbh.com.tw

[licheer]

[drinktea]

[jones]

[Arnor]

這些情況都是中勒索病毒引起的。


安全的電腦使用習慣，相信都是老生常談，但就是這麼中肯:
1. 不要使用坊間非官方的系統ISO 來安裝系統，你不會知道裡面藏了多少東西。
2. 不要開啟來路不明的信件，信件中的連結和附檔也要小心，比如: 點此領取iphone ，payment 要你領取之類的，
好奇心去驅使，看一個做一個，人為恣意操作，再強的防毒也沒用，當下中毒時都不會有徵兆也沒有馬上進行破壞，
但它就像種子一樣伺機而動，讓受害者在未來發作時不知道何時中標的。
3.勒索病毒大部份算不上是病毒，因為它就是個執行程式針對檔案壓縮，防毒軟體很有可能抓不到也擋不住
4. 伺服器是提供服務的機器，基本上不是個人電腦，所以請不要在伺服器上進行個人操作。
5. maild 今年也都有推出實驗性功能來阻擋釣魚假冒信件，都有更新來使用嗎? 廣告信防治機制又是如何設定，是嚴還是鬆?
這些都有影響，有興趣多了解防治機制，歡迎來信提供貴司設定一同討論。


如果 maild 現在正在運作中，那麼表示您的使用者資料來源 raidenmaild.mdb 可能還在，
馬上去 RaidenMAILD 目錄看看 Raidenmaild.mdb 是否可備份起來，若 RaidenMAILD.ini 也可備份，
那麼這兩個檔再加上註冊碼檔 reg.cert ，這三個檔就可讓您迅速回復正常。
信件的話可能都不行，當天能收的趕快收(因為病毒不是隨時加密你的檔案，它挑時間工作的)。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

[Arnor]

[licheer]

1.使用者被改密碼
2.檔案被加密

我看1和2的時間很接近
請問時間順序是12或是21
a.使用者的電腦中木馬->密碼被改->進來MailD Server加密檔案
b.MailD Server重木馬->導致使用者被改密碼->MailD Server檔案被加密

[deltamax]

昨晚好悲惨~
晚上11点多 同仁发现无法收信
登入主机后发现 所有 .INI .CFG .DB .EML档等等都被加密成 *.7z
且 工作管理员中可以看到 7z 一直在运行中(SID会变换）.
无法中断. 他会一直找目标加密 .....
所以 雷电 找不到 原本USER设定档（自动生成空白的） 全面停工了.

这台主机我没有私人使用.
就是单纯的 MAILSERVER 跟备用 SQL SERVER.
回想了一下可能关联的问题：
1.2年前装过 7z 解压缩软体没有更新过
2.7.3 发现USER被改密码并登入 WEBMAIL成功
《登入的IP是透过VPN跳板进来 没有登入记录......》
3.7.8 晚上11点发现是7zLOCKER 勒索病毒将 所有设定档与邮件 加密成 *.7z
相关资料：https://www.jianshu.com/p/ddcacc868d9a

这个毒我都不知道怎进来的. SERVER 内网 NAT 对外只开启了 25.110.81.85 PORT.
上来看到不止我一个碰到这问题. 上来取经看看.
目前是关闭了WEBMAIL功能. 移除了 7z 且扫不到毒！ ORZ

[tsengmbk]

我公司早上 maild 也中勒索了
專用mail伺服器 也不會在上面操作
不過系統老舊了點 2008 R2
防火牆也轉 25 110 81 port 這幾個port到伺服器上
難不成是用漏洞就近來的

[Arnor]