hit counter for blogger

黑暗執行緒

 黑暗執行緒搬新家囉!! http://www.darkthread.net

11/04/2006

網路如虎口

沒有做Windows更新的電腦直接曝露在Internet中,可以撐多久?

答案是: 不到四個小時...

以前有幾次經驗,檢查對外IIS的Log時,發現幾乎每天凌晨都有一大串嘗試IIS漏洞的Request,依其頻率及連貫性,判斷應是程式自動發的,而且還分別來自不同的IP,表示不只一個人在網路上用程式尋找犠牲品。我這才第一次發現,看似平靜的深夜,其實卻暗潮凶湧! 即使你不是Yahoo, PCHome等大站,只是給三五好友用,沒註冊DNS的小Web,還是有可能被一群無聊的Cracker(恕我不"尊"稱他們為Hacker,因為有些只是抓了現成程式用用的國中生,不用動啥腦筋,甚至連一行程式都不會寫)以掃瞄IP的方式盯上。

一位朋友基於成本、網路連線速度的考量,打算把原本放在國外虛擬伺服器上的論壇牽回家中,改走ADSL。新Server剛灌好,晚上12點MSN問了我Terminal Service連不通的問題,我跟他說可能是Windows內建的防火牆設定阻攔,請他先關掉試試。不過也提醒他,關掉防火牆很危險的,但得試試才能排除是否為防火牆的問題。由於他要換Monitor才能試,沒等結果我就去睡了。

隔天一大早,朋友跟我說昨天調了PPPoE的防火牆設定後Terminal Service就通了,但Server在凌晨出現"LSA Shell 遇到問題必須關閉"的錯誤訊息,還自動重新開機,我Google了一下,不妙!! 看來像是被Sassar蠕蟲攻擊的結果,電腦剛裝好,沒上Windows Update的機率很高,所以被Worm攻擊的可能性也很大。只是才僅僅數小時就中鏢,速度之快超乎我的想像。我建議朋友快點上Windows Update並加裝防毒軟體,心想幸好是新裝的機器,頂多重灌OS,損害有限。沒想到不久之後,朋友再跟我說他被ISP警告了:

敬啟者 X先生 您好:

貴客戶租用之中華電信ADSL帳號HN12345678,遭其他網際網路客戶email檢舉,於2006年某月某日上線期間內,寄發主旨為『Service Deletion Impending donna mason 』之廣告信,為保障您的權益,煩請查證下列可能狀況並參考建議事項:

 1.若該廣告信確為貴客戶所為,請立即終止寄發行動。
 2.若該廣告信非貴客戶所為(疑似電腦中毒或中後門程式被駭客當跳板發送廣告信時),

我不確定是否因為機器上開了允許Relay的SMTP Service還是被稙入程式當成跳板,但推論前者的機率較低(因為即使裝了SMTP Service,預設值是不接受Mail Relay的),若是後者就令人心驚,被稙入程式後,任何事情都有可能發生,說不定還會變成某宗犯罪行動的基地!

由這次事件,我也學到不少,隨手整理出幾條防駭守則:
1.裝好OS,請盡快做完Windows Update並裝上防毒軟體,之後再放上Internet。
2.防火牆功能請保持啟用狀況,永遠只開放必要的Port。
3.網路上的Cracker比你想像的多,不安全的狀態一分鐘都嫌久。

1 Comments:

  • 我的紀錄是
    在Nimda橫行的時候
    重灌的時候沒有把網路線拔掉
    灌完第一次重開機就掛了
    秒殺......
    連裝防毒跟Windows Update的機會都沒有

    By Anonymous steve, at 11/04/2006 3:51 pm  

Post a Comment

<< Home