有關最近勒索病毒的問題,目前建議大家若還沒有被侵入且沒有立即要更新,那就先關閉 Webmail 功能。
前往頁面 上一頁  1, 2
 
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server)
上一篇文章 :: 下一篇文章  
發表人 內容
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期日 七月 10, 2022 11:32 pm    文章標題: 引言回覆

licheer 寫到:
加密的資料夾中,另外發現這兩個檔案,檔案時間也是07/02
C:\RaidenServer\RaidenMAILD
ZipDllOrg.dll
ZipDll.dll

但是這個檔被刪掉
Indexer.exe

這三個檔沒變動
spamlistmaker.exe, timeout.exe, MultiPOP.exe


這個 Dll 的發現很重要,不管它是不是,我馬上再把安裝程式確認 dll 都必須覆蓋,並把 dll 也放進更新包給大家更新檔案。主要是怕駭客反組譯函式庫,可以將介面弄成一樣,讓程式載入呼叫介面,但函式裡卻是病毒程序,就等於呼叫到病毒程式。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
ingolf
三段
三段


註冊時間: 2003-06-10
文章: 56
來自: TAIWAN

發表發表於: 星期三 七月 13, 2022 12:59 am    文章標題: 引言回覆

Arnor 寫到:


還有個發現,有中毒的用戶,請問您們的 Webmail 是不是 80 或 443 port ,亦或是預設的 81 port?
有人Webmail 設特定埠號遭到盯上侵入的嗎?


我管理的伺服器有幾個客戶不是用預設的81 port也是被侵入。
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期三 七月 13, 2022 8:01 am    文章標題: 引言回覆

ingolf 寫到:
Arnor 寫到:


還有個發現,有中毒的用戶,請問您們的 Webmail 是不是 80 或 443 port ,亦或是預設的 81 port?
有人Webmail 設特定埠號遭到盯上侵入的嗎?


我管理的伺服器有幾個客戶不是用預設的81 port也是被侵入。


80, 443?

這幾天有經手幾台沒事,發現都是特定埠號。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
ingolf
三段
三段


註冊時間: 2003-06-10
文章: 56
來自: TAIWAN

發表發表於: 星期三 七月 13, 2022 9:10 am    文章標題: 引言回覆

Arnor 寫到:
ingolf 寫到:
Arnor 寫到:


還有個發現,有中毒的用戶,請問您們的 Webmail 是不是 80 或 443 port ,亦或是預設的 81 port?
有人Webmail 設特定埠號遭到盯上侵入的嗎?


我管理的伺服器有幾個客戶不是用預設的81 port也是被侵入。


80, 443?

這幾天有經手幾台沒事,發現都是特定埠號。


也不是80, 443
我開的是 8025 port
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期三 七月 13, 2022 9:19 am    文章標題: 引言回覆

ingolf 寫到:
Arnor 寫到:
ingolf 寫到:
Arnor 寫到:


還有個發現,有中毒的用戶,請問您們的 Webmail 是不是 80 或 443 port ,亦或是預設的 81 port?
有人Webmail 設特定埠號遭到盯上侵入的嗎?


我管理的伺服器有幾個客戶不是用預設的81 port也是被侵入。


80, 443?

這幾天有經手幾台沒事,發現都是特定埠號。


也不是80, 443
我開的是 8025 port


這已經很特定埠號了。
該不會其實駭客有掃瞄埠號。

差別在我看到沒事的特定埠號在 1023 以下,屬系統保留。也有可能是這關係。

1--1023 系統保留,只能由root使用者使用。1024---4999 由客戶端程式自由分配。5000---65535 由伺服器端程式自由分配。

資料來源:
https://zh.m.wikipedia.org/zh-tw/%E9%80%9A%E8%A8%8A%E5%9F%A0
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
ingolf
三段
三段


註冊時間: 2003-06-10
文章: 56
來自: TAIWAN

發表發表於: 星期三 七月 13, 2022 9:40 am    文章標題: 引言回覆

Arnor 寫到:


這已經很特定埠號了。
該不會其實駭客有掃瞄埠號。

差別在我看到沒事的特定埠號在 1023 以下,屬系統保留。也有可能是這關係。

1--1023 系統保留,只能由root使用者使用。1024---4999 由客戶端程式自由分配。5000---65535 由伺服器端程式自由分配。

資料來源:
https://zh.m.wikipedia.org/zh-tw/%E9%80%9A%E8%A8%8A%E5%9F%A0


我查了兩個用8025的RaidenMAILD的log,從7月1日到7月10日都沒有"變更密碼"的紀錄出現。
回頂端
檢視會員個人資料 發送私人訊息
Zefram
三段
三段


註冊時間: 2005-05-21
文章: 65
來自: 中華民國

發表發表於: 星期三 七月 13, 2022 12:42 pm    文章標題: 引言回覆

我電腦檔案已經被7z加密了

原來是經由maild....

他的bat執行檔 放在temp的目錄裡面 我就覺得奇怪 為啥要寫執行檔關sql 跟maild...

原來是這樣...
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期三 七月 13, 2022 4:21 pm    文章標題: 引言回覆

Zefram 寫到:
我電腦檔案已經被7z加密了

原來是經由maild....

他的bat執行檔 放在temp的目錄裡面 我就覺得奇怪 為啥要寫執行檔關sql 跟maild...

原來是這樣...


今天有聽到有使用者說,這個加密所留下的文字檔拷到硬碟就會被pc-cillin 阻擋表示有偵測到有ransom 的行為,不知有無人用pc-cillin 阻擋勒索病毒的成功案例?
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
evolution6612
一級


註冊時間: 2022-07-29
文章: 2
來自: TAIWAN

發表發表於: 星期五 七月 29, 2022 3:45 pm    文章標題: 引言回覆

分享一下小弟遇到的狀況,

我是在log中發現10筆 "變更密碼要求",是從帳號字母A開始try的,
這10筆只有三筆變更密碼成功,其餘都失敗,
而這三筆的密碼是使用MAILD的密碼系統,其餘變更失敗的為AD帳號。
因為被變更成功的這三筆都只是用來轉寄用的帳號,
所以沒有開啟webmail的權限,但其中有兩筆設定的轉寄信箱設定被清掉了。

密碼被改這件事不知是否用AD帳號就不會?還是只是剛好沒被try到?
而又因為沒有webmail權限,所以駭客就此作罷?
但轉寄信箱被改掉也代表除了密碼外也被改動了些東西。

目前看來只有被改掉轉寄信箱這個狀況,並沒有中毒或被加密的跡象。
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期五 七月 29, 2022 3:53 pm    文章標題: 引言回覆

evolution6612 寫到:
分享一下小弟遇到的狀況,

我是在log中發現10筆 "變更密碼要求",是從帳號字母A開始try的,
這10筆只有三筆變更密碼成功,其餘都失敗,
而這三筆的密碼是使用MAILD的密碼系統,其餘變更失敗的為AD帳號。
因為被變更成功的這三筆都只是用來轉寄用的帳號,
所以沒有開啟webmail的權限,但其中有兩筆設定的轉寄信箱設定被清掉了。

密碼被改這件事不知是否用AD帳號就不會?還是只是剛好沒被try到?
而又因為沒有webmail權限,所以駭客就此作罷?
但轉寄信箱被改掉也代表除了密碼外也被改動了些東西。

目前看來只有被改掉轉寄信箱這個狀況,並沒有中毒或被加密的跡象。


謝謝您的分享。
maild 的 AD 帳號驗證只有驗證,沒有變更密碼的功能。
所以這部份的確不會有問題的。
您在介面上可看到當帳號為AD user 時,原本的密碼欄會切換成該AD 帳號所屬的AD網域或主機 IP。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server) 所有的時間均為 台北時間 (GMT + 8 小時)
前往頁面 上一頁  1, 2
2頁(共2頁)

 
前往:  
無法 在這個版面發表文章
無法 在這個版面回覆文章
無法 在這個版面編輯文章
無法 在這個版面刪除文章
無法 在這個版面進行投票


Powered by phpBB © 2001-2007 phpBB Group