| 上一篇文章 :: 下一篇文章 |
| 發表人 |
內容 |
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN
|
 發表於: 星期六 七月 09, 2022 6:29 pm 文章標題: |
 |
|
新版已經釋出。
麻煩各位更新成 4.7。
造成不便,請多包涵。
事情不一定結束,小弟會持續觀察。
駭客手段高超,抓 bug 一流,是福不是禍,是禍躲不過,沒有駭客的砥勵,我永遠都不知道有這些個漏洞。
大家有什麼須要幫助的僅管來信告知,遠端協助都成(使用軟體為 Anydesk),約個時間就可進行,不收費用。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
 |
yuchieh
拳王
註冊時間: 2002-01-12
文章: 302
來自: 中華民國
|
| 發表於: 星期日 七月 10, 2022 8:24 pm 文章標題: 還好使用VMWare 架MD |
|
|
| Arnor 寫到: | 新版已經釋出。
麻煩各位更新成 4.7。
造成不便,請多包涵。
事情不一定結束,小弟會持續觀察。
駭客手段高超,抓 bug 一流,是福不是禍,是禍躲不過,沒有駭客的砥勵,我永遠都不知道有這些個漏洞。
大家有什麼須要幫助的僅管來信告知,遠端協助都成(使用軟體為 Anydesk),約個時間就可進行,不收費用。 |
小弟公司,使用 VMware 架MailD 還好有定時使用,快照功能!
目前還原到上星期五的快照!不然公司的網站,都停擺!
不管用什麼方法,大家一定要養成定時備份!… |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN
|
| 發表於: 星期日 七月 10, 2022 11:26 pm 文章標題: Re: 還好使用VMWare 架MD |
|
|
| yuchieh 寫到: | | Arnor 寫到: | 新版已經釋出。
麻煩各位更新成 4.7。
造成不便,請多包涵。
事情不一定結束,小弟會持續觀察。
駭客手段高超,抓 bug 一流,是福不是禍,是禍躲不過,沒有駭客的砥勵,我永遠都不知道有這些個漏洞。
大家有什麼須要幫助的僅管來信告知,遠端協助都成(使用軟體為 Anydesk),約個時間就可進行,不收費用。 |
小弟公司,使用 VMware 架MailD 還好有定時使用,快照功能!
目前還原到上星期五的快照!不然公司的網站,都停擺!
不管用什麼方法,大家一定要養成定時備份!… |
給你一個讚!
我自己是遵循 3-2-1 的備份思維,至少備3份,要2個不同媒體(異地),至少1個在線下,定期按表操課在做。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
asec
五段
註冊時間: 2003-12-19
文章: 103
來自: 台灣 , 中華民國
|
| 發表於: 星期一 七月 11, 2022 12:23 am 文章標題: |
|
|
小弟我這邊也中獎了
追縱了兩天
發現是 7LOCK,舊7LOCK查到的是用 java 模式
此次是用 一個壓縮自解檔 indexer.exe或calc.exe或calc_.exe
出現的位置是 maild 主資料夾及 inboxes 資料夾
可能是 webmail 漏同去觸發 自解檔
的確追縱紀錄,在近期有少數日期有在 半夜1點多時 觸發不明改使用者密碼的狀況 (最近兩次 1次是7/4,另一次就是7/9 然後就 案發)
可能是漏洞傳入並讓系統執行
自解檔含 node.exe、aaa.js 等
解出 後含執行命令 ( node.exe aaa.js )
然後掃 A-Z存在的磁碟
並產生一個bat 不斷強制關閉 raidenmaild.exe、taskmgr、mysqld.exe …等等
並透過 node.exe叫用 aaa.js 的 javascript 函數去 加密
密碼還是隨機英數組成的 32碼 密碼
若發現有問題時…請趕快 用工作管理員去關閉 node.exe
可以避免繼續加密
個人是建議後續 webmail或後台管理 相關觸發 執行檔等 運作時,要小心避免可能的漏洞被利用 |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN
|
| 發表於: 星期一 七月 11, 2022 1:03 am 文章標題: |
|
|
| asec 寫到: | 小弟我這邊也中獎了
追縱了兩天
發現是 7LOCK,舊7LOCK查到的是用 java 模式
此次是用 一個壓縮自解檔 indexer.exe或calc.exe或calc_.exe
出現的位置是 maild 主資料夾及 inboxes 資料夾
可能是 webmail 漏同去觸發 自解檔
的確追縱紀錄,在近期有少數日期有在 半夜1點多時 觸發不明改使用者密碼的狀況 (最近兩次 1次是7/4,另一次就是7/9 然後就 案發)
可能是漏洞傳入並讓系統執行
自解檔含 node.exe、aaa.js 等
解出 後含執行命令 ( node.exe aaa.js )
然後掃 A-Z存在的磁碟
並產生一個bat 不斷強制關閉 raidenmaild.exe、taskmgr、mysqld.exe …等等
並透過 node.exe叫用 aaa.js 的 javascript 函數去 加密
密碼還是隨機英數組成的 32碼 密碼
若發現有問題時…請趕快 用工作管理員去關閉 node.exe
可以避免繼續加密
個人是建議後續 webmail或後台管理 相關觸發 執行檔等 運作時,要小心避免可能的漏洞被利用 |
謝謝您提供寶貴的資訊。
沒錯的,這次的事件讓我了解到輔助檔案的重要性。
我會在下個版本加上輔助檔案的 FileMD5,由程式在執行前先行確認檔案是否被竄改,正確才會執行。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
ingolf
三段
註冊時間: 2003-06-10
文章: 56
來自: TAIWAN
|
| 發表於: 星期一 七月 11, 2022 3:19 pm 文章標題: |
|
|
另外想請教素大,為何我分散在各地的客戶都是這個週末被入侵加密?
連在蘇州的伺服器也是?
都在同一個週末會不會太巧了? |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN
|
| 發表於: 星期一 七月 11, 2022 3:23 pm 文章標題: |
|
|
| ingolf 寫到: | 另外想請教素大,為何我分散在各地的客戶都是這個週末被入侵加密?
連在蘇州的伺服器也是?
都在同一個週末會不會太巧了? |
這就是駭客恐佈之處。
有高明網友告知 shodan 這種物聯網的搜尋引擎,
可以做裝置的搜尋,我一開始也納悶這個,怎麼可能這麼巧?!
下版本會有選項把 greeting 關鍵字 MARK 掉,不給這種搜尋引擎做索引了
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
|
|
您 無法 在這個版面發表文章
您 無法 在這個版面回覆文章
您 無法 在這個版面編輯文章
您 無法 在這個版面刪除文章
您 無法 在這個版面進行投票
|
Powered by phpBB © 2001-2007 phpBB Group
 |
