| 上一篇文章 :: 下一篇文章 |
| 發表人 |
內容 |
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN
|
 發表於: 星期日 七月 10, 2022 11:32 pm 文章標題: |
 |
|
| licheer 寫到: | 加密的資料夾中,另外發現這兩個檔案,檔案時間也是07/02
C:\RaidenServer\RaidenMAILD
ZipDllOrg.dll
ZipDll.dll
但是這個檔被刪掉
Indexer.exe
這三個檔沒變動
spamlistmaker.exe, timeout.exe, MultiPOP.exe |
這個 Dll 的發現很重要,不管它是不是,我馬上再把安裝程式確認 dll 都必須覆蓋,並把 dll 也放進更新包給大家更新檔案。主要是怕駭客反組譯函式庫,可以將介面弄成一樣,讓程式載入呼叫介面,但函式裡卻是病毒程序,就等於呼叫到病毒程式。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
 |
ingolf
三段
註冊時間: 2003-06-10
文章: 56
來自: TAIWAN
|
| 發表於: 星期三 七月 13, 2022 12:59 am 文章標題: |
|
|
| Arnor 寫到: |
還有個發現,有中毒的用戶,請問您們的 Webmail 是不是 80 或 443 port ,亦或是預設的 81 port?
有人Webmail 設特定埠號遭到盯上侵入的嗎? |
我管理的伺服器有幾個客戶不是用預設的81 port也是被侵入。 |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN
|
| 發表於: 星期三 七月 13, 2022 8:01 am 文章標題: |
|
|
| ingolf 寫到: | | Arnor 寫到: |
還有個發現,有中毒的用戶,請問您們的 Webmail 是不是 80 或 443 port ,亦或是預設的 81 port?
有人Webmail 設特定埠號遭到盯上侵入的嗎? |
我管理的伺服器有幾個客戶不是用預設的81 port也是被侵入。 |
80, 443?
這幾天有經手幾台沒事,發現都是特定埠號。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
ingolf
三段
註冊時間: 2003-06-10
文章: 56
來自: TAIWAN
|
| 發表於: 星期三 七月 13, 2022 9:10 am 文章標題: |
|
|
| Arnor 寫到: | | ingolf 寫到: | | Arnor 寫到: |
還有個發現,有中毒的用戶,請問您們的 Webmail 是不是 80 或 443 port ,亦或是預設的 81 port?
有人Webmail 設特定埠號遭到盯上侵入的嗎? |
我管理的伺服器有幾個客戶不是用預設的81 port也是被侵入。 |
80, 443?
這幾天有經手幾台沒事,發現都是特定埠號。 |
也不是80, 443
我開的是 8025 port |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN
|
| 發表於: 星期三 七月 13, 2022 9:19 am 文章標題: |
|
|
| ingolf 寫到: | | Arnor 寫到: | | ingolf 寫到: | | Arnor 寫到: |
還有個發現,有中毒的用戶,請問您們的 Webmail 是不是 80 或 443 port ,亦或是預設的 81 port?
有人Webmail 設特定埠號遭到盯上侵入的嗎? |
我管理的伺服器有幾個客戶不是用預設的81 port也是被侵入。 |
80, 443?
這幾天有經手幾台沒事,發現都是特定埠號。 |
也不是80, 443
我開的是 8025 port |
這已經很特定埠號了。
該不會其實駭客有掃瞄埠號。
差別在我看到沒事的特定埠號在 1023 以下,屬系統保留。也有可能是這關係。
1--1023 系統保留,只能由root使用者使用。1024---4999 由客戶端程式自由分配。5000---65535 由伺服器端程式自由分配。
資料來源:
https://zh.m.wikipedia.org/zh-tw/%E9%80%9A%E8%A8%8A%E5%9F%A0
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
ingolf
三段
註冊時間: 2003-06-10
文章: 56
來自: TAIWAN
|
| 發表於: 星期三 七月 13, 2022 9:40 am 文章標題: |
|
|
我查了兩個用8025的RaidenMAILD的log,從7月1日到7月10日都沒有"變更密碼"的紀錄出現。 |
|
| 回頂端 |
|
|
Zefram
三段
註冊時間: 2005-05-21
文章: 65
來自: 中華民國
|
| 發表於: 星期三 七月 13, 2022 12:42 pm 文章標題: |
|
|
我電腦檔案已經被7z加密了
原來是經由maild....
他的bat執行檔 放在temp的目錄裡面 我就覺得奇怪 為啥要寫執行檔關sql 跟maild...
原來是這樣... |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN
|
| 發表於: 星期三 七月 13, 2022 4:21 pm 文章標題: |
|
|
| Zefram 寫到: | 我電腦檔案已經被7z加密了
原來是經由maild....
他的bat執行檔 放在temp的目錄裡面 我就覺得奇怪 為啥要寫執行檔關sql 跟maild...
原來是這樣... |
今天有聽到有使用者說,這個加密所留下的文字檔拷到硬碟就會被pc-cillin 阻擋表示有偵測到有ransom 的行為,不知有無人用pc-cillin 阻擋勒索病毒的成功案例?
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
evolution6612
一級
註冊時間: 2022-07-29
文章: 2
來自: TAIWAN
|
| 發表於: 星期五 七月 29, 2022 3:45 pm 文章標題: |
|
|
分享一下小弟遇到的狀況,
我是在log中發現10筆 "變更密碼要求",是從帳號字母A開始try的,
這10筆只有三筆變更密碼成功,其餘都失敗,
而這三筆的密碼是使用MAILD的密碼系統,其餘變更失敗的為AD帳號。
因為被變更成功的這三筆都只是用來轉寄用的帳號,
所以沒有開啟webmail的權限,但其中有兩筆設定的轉寄信箱設定被清掉了。
密碼被改這件事不知是否用AD帳號就不會?還是只是剛好沒被try到?
而又因為沒有webmail權限,所以駭客就此作罷?
但轉寄信箱被改掉也代表除了密碼外也被改動了些東西。
目前看來只有被改掉轉寄信箱這個狀況,並沒有中毒或被加密的跡象。 |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN
|
| 發表於: 星期五 七月 29, 2022 3:53 pm 文章標題: |
|
|
| evolution6612 寫到: | 分享一下小弟遇到的狀況,
我是在log中發現10筆 "變更密碼要求",是從帳號字母A開始try的,
這10筆只有三筆變更密碼成功,其餘都失敗,
而這三筆的密碼是使用MAILD的密碼系統,其餘變更失敗的為AD帳號。
因為被變更成功的這三筆都只是用來轉寄用的帳號,
所以沒有開啟webmail的權限,但其中有兩筆設定的轉寄信箱設定被清掉了。
密碼被改這件事不知是否用AD帳號就不會?還是只是剛好沒被try到?
而又因為沒有webmail權限,所以駭客就此作罷?
但轉寄信箱被改掉也代表除了密碼外也被改動了些東西。
目前看來只有被改掉轉寄信箱這個狀況,並沒有中毒或被加密的跡象。 |
謝謝您的分享。
maild 的 AD 帳號驗證只有驗證,沒有變更密碼的功能。
所以這部份的確不會有問題的。
您在介面上可看到當帳號為AD user 時,原本的密碼欄會切換成該AD 帳號所屬的AD網域或主機 IP。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
|
|
您 無法 在這個版面發表文章
您 無法 在這個版面回覆文章
您 無法 在這個版面編輯文章
您 無法 在這個版面刪除文章
您 無法 在這個版面進行投票
|
Powered by phpBB © 2001-2007 phpBB Group
 |
