有關最近勒索病毒的問題,目前建議大家若還沒有被侵入且沒有立即要更新,那就先關閉 Webmail 功能。
前往頁面 1, 2  下一頁
 
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server)
上一篇文章 :: 下一篇文章  
發表人 內容
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期六 七月 09, 2022 11:49 am    文章標題: 有關最近勒索病毒的問題,目前建議大家若還沒有被侵入且沒有立即 引言回覆

有關最近勒索病毒的問題,目前建議大家若還沒有被侵入且沒有立即要更新,那就先關閉 Webmail 功能。


目前Webmail驗證會再加強,並鎖定在SQL Injection 方面修正各資料進來時是否有不允許字元,可能是利用 access 來進行的病毒行為。

等這兩天新版 4.7 釋出,建議都更新到 4.7 版去防止 SQL injection,還會再繼續追看看可以改進的地方。

還有兩個建議:
1. 駭客能夠在短時間知道雷電MAILD的用戶有哪些,應該是利用搜尋引擎搜尋到的,所以建議大家檢查 \templates\login.html ,在 <head> 之下最好有
<meta name="robots" content="noindex">
來讓搜尋引擎不要對你 webmail 做索引。

2. 目前從接獲的回報,只有卡巴能自動辨識此勒索病毒。(Windows Defender, 小紅傘, NOD32 目前還不行。)
小弟猜測是透過 SQL Injection 去更改檔案 Indexer.exe 把它變成病毒程式 ,駭客再從 Webmail 更改密碼成功後登入 Webmail 去製作索引(就是執行 Indexer.exe) 來執行病毒的動作或直接就從 mdb 執行外部程式 Indexer.exe,如果 access 真能這樣做,那麼請多多確認您的 RaidenMAILD 目錄下的執行檔都是從更新檔來的,不過,若真能這樣做,那表示只要防毒軟體沒作用,那麼系統中的任一個 exe 檔都有可能被竄改,並不僅限於 RaidenMAILD 旗下的檔案。

這些是目前的心得,給各位參考。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/


Arnor 在 星期一 七月 11, 2022 11:16 am 作了最後編輯, 共編輯過 3 次
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
smcwir
一級


註冊時間: 2016-05-31
文章: 1
來自: TAIWAN

發表發表於: 星期六 七月 09, 2022 1:53 pm    文章標題: 引言回覆

研判流程…參考
.登入WebMail
.寄信至WebMail,開啟附件,改URL存入../../../Indexer.exe←可查目錄\Inboxes\User\-temp-\*.NAME
.RaidenMailD搜尋動作呼叫Indexer.exe,達到伺服器端執行木馬程式
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期六 七月 09, 2022 3:31 pm    文章標題: 引言回覆

smcwir 寫到:
研判流程…參考
.登入WebMail
.寄信至WebMail,開啟附件,改URL存入../../../Indexer.exe←可查目錄\Inboxes\User\-temp-\*.NAME
.RaidenMailD搜尋動作呼叫Indexer.exe,達到伺服器端執行木馬程式


如果是把病毒檔寄到信箱,從 Webmail 打開信件時,是會把附件先暫存到 \-temp- 目錄,這點是沒錯的。

但"改URL存入../../../Indexer.exe" 存入根目錄這部份,小弟先抱持保留態度,理應做不到這件事,但駭客手段無法估量,我先查看這部份的檔案處理,把這部份的檔名多加上檢查,不允許特殊字元或格式看看。

謝謝您的意見,非常有用。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期六 七月 09, 2022 5:58 pm    文章標題: 引言回覆

新版已經釋出。
麻煩各位更新成 4.7。
造成不便,請多包涵。

事情不一定結束,小弟會持續觀察。
駭客手段高超,抓 bug 一流,是福不是禍,是禍躲不過,沒有駭客的砥勵,我永遠都不知道有這些個漏洞。

大家有什麼須要幫助的僅管來信告知,遠端協助都成(使用軟體為 Anydesk),約個時間就可進行,不收費用。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
tsengmbk
一級


註冊時間: 2015-07-14
文章: 7
來自: TAIWAN

發表發表於: 星期六 七月 09, 2022 8:07 pm    文章標題: 引言回覆

請問個回復問題
因每天都有備份RaidenMAILD 目錄
有無方法知道當天備份是乾淨的?
因為要回復RaidenMAILD 目錄不知道挑那一天回復
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期六 七月 09, 2022 8:15 pm    文章標題: 引言回覆

tsengmbk 寫到:
請問個回復問題
因每天都有備份RaidenMAILD 目錄
有無方法知道當天備份是乾淨的?
因為要回復RaidenMAILD 目錄不知道挑那一天回復


越近越好,基本上應該也不天天會改設定吧。
只要你有檔案沒被加密毀損,都能加速系統回歸正常。

我們幫用戶安裝也都會建議在一開始設好,帳號都建完後,就把這骨幹初始目錄 RaidenMAILD 備份起來到隨身碟,以後回復系統就會快速許多。給您做個參考。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期六 七月 09, 2022 10:21 pm    文章標題: 引言回覆

目前唯一知道偵測得了勒索病毒的就只有卡巴。
以後卡巴就是我的第一選擇了。
(感謝用戶提供截圖)



_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
licheer
一級


註冊時間: 2013-12-16
文章: 39
來自: TAIWAN

發表發表於: 星期六 七月 09, 2022 11:24 pm    文章標題: 引言回覆

請問更新到4.7之後
需要重灌Win10嗎?
被加密的RaidenServer資料夾,我只先改名成RaidenServer.0708,還沒刪除
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期日 七月 10, 2022 7:53 am    文章標題: 引言回覆

licheer 寫到:
請問更新到4.7之後
需要重灌Win10嗎?
被加密的RaidenServer資料夾,我只先改名成RaidenServer.0708,還沒刪除


不能只用更新檔喔。
一定要用完整安裝程式整個覆蓋!

所有的執行檔,除了 RaidenMAILD.exe,MAILDService.exe 是出版日期的檔案,其它RaidenMAILD 目錄內的執行檔都只能是舊日期的檔案,各位請仔細查看。

因為不會知道駭客做了什麼事,所以,才會建議系統重裝才能是最乾淨,
不然哪天執行了計算機程式或開了筆記本,都有可能是病毒檔的。

因為太多防毒軟體沒法偵測到,已經失去的辨識誰是假檔案的能力,您就必須視作這系統不會只有一個內奸檔案,甚至不會只有 RaidenMAILD 目錄內才有內奸檔案。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期日 七月 10, 2022 9:08 am    文章標題: 引言回覆

今早的新發現,由於安裝程式本來就是設置輔助程式是以新蓋舊,所以建議大家在進行完整覆蓋前,麻煩到 RaidenMAILD 目錄,把這目錄底下的 .exe 全都殺個精光,再進行完整安裝版覆蓋安裝。

這點很重要,目前已知的會被竄改檔案有可能是 Indexer.exe ,SpamlistMaker.exe,MultiPOP.exe,timeout.exe 這幾支程式。

所以麻煩各位趕緊去檢查 RaidenMAILD 目錄內的所有執行檔,
除了 RaidenMAILD.exe , MAILDService.exe 之外,
其它執行檔日期都不會是 2022 年 7 月的檔案,請各位再注意這點,
今早會重新包裝安裝程式,讓所有執行檔都會是無條件覆蓋,
在這篇 POST 前已完成完整覆蓋的,可以下載
https://www.raidenmaild.com/download/RaidenMAILD_v4_cht_update.zip

把裡頭的 .exe 都可以蓋掉您原本目錄裡的。



還有個發現,有中毒的用戶,請問您們的 Webmail 是不是 80 或 443 port ,亦或是預設的 81 port?
有人Webmail 設特定埠號遭到盯上侵入的嗎?
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
licheer
一級


註冊時間: 2013-12-16
文章: 39
來自: TAIWAN

發表發表於: 星期日 七月 10, 2022 12:52 pm    文章標題: 引言回覆

Arnor 寫到:
目前唯一知道偵測得了勒索病毒的就只有卡巴。
以後卡巴就是我的第一選擇了。
(感謝用戶提供截圖)


怪怪Indexer.exe加密完檔案,是不是自動刪除又把原Indexer.exe放回來
剛剛分別裝了NOD32和卡巴,都沒有掃到勒索病毒
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期日 七月 10, 2022 12:56 pm    文章標題: 引言回覆

licheer 寫到:
Arnor 寫到:
目前唯一知道偵測得了勒索病毒的就只有卡巴。
以後卡巴就是我的第一選擇了。
(感謝用戶提供截圖)


怪怪Indexer.exe加密完檔案,是不是自動刪除又把原Indexer.exe放回來
剛剛分別裝了NOD32和卡巴,都沒有掃到勒索病毒


你把這些檔案 Indexer.exe ,spamlistmaker.exe, timeout.exe,MultiPOP.exe 的日期都看一下,不放心就拿更新包 zip 裡的檔案取代它們。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
licheer
一級


註冊時間: 2013-12-16
文章: 39
來自: TAIWAN

發表發表於: 星期日 七月 10, 2022 2:45 pm    文章標題: 引言回覆

發現calc.exe,被放在:
C:\RaidenServer\RaidenMAILD\Inboxes
只有卡巴掃到

檔案時間剛好在07/02第一次被改密碼後沒幾秒

[2022/7/2 上午 06:09:10] 185.65.135.178 收到 rody 的變更密碼要求, 變更密碼成功
[2022/7/2 上午 06:09:11] rody 從 185.65.135.178 登入 WEBMAIL 服務

[2022/7/8 上午 01:17:14] 185.65.135.168 收到 rody 的變更密碼要求, 變更密碼成功
[2022/7/8 上午 01:17:15] rody 從 185.65.135.168 登入 WEBMAIL 服務
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期日 七月 10, 2022 3:41 pm    文章標題: 引言回覆

是的,它就是想去蓋系統的計算機這隻程式,好險蓋到奇怪路徑去了,這邊沒人會去啟動它,正是此地無銀三百兩。

4.7 版已經針對檔名路徑做了修正,不會再有這種問題了。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
licheer
一級


註冊時間: 2013-12-16
文章: 39
來自: TAIWAN

發表發表於: 星期日 七月 10, 2022 9:36 pm    文章標題: 引言回覆

加密的資料夾中,另外發現這兩個檔案,檔案時間也是07/02
C:\RaidenServer\RaidenMAILD
ZipDllOrg.dll
ZipDll.dll

但是這個檔被刪掉
Indexer.exe

這三個檔沒變動
spamlistmaker.exe, timeout.exe, MultiPOP.exe
回頂端
檢視會員個人資料 發送私人訊息
從之前的文章開始顯示:   
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server) 所有的時間均為 台北時間 (GMT + 8 小時)
前往頁面 1, 2  下一頁
1頁(共2頁)

 
前往:  
無法 在這個版面發表文章
無法 在這個版面回覆文章
無法 在這個版面編輯文章
無法 在這個版面刪除文章
無法 在這個版面進行投票


Powered by phpBB © 2001-2007 phpBB Group