上一篇文章 :: 下一篇文章 |
發表人 |
內容 |
drinktea 一級
註冊時間: 2020-03-29 文章: 4 來自: TAIWAN
|
發表於: 星期四 七月 07, 2022 7:47 pm 文章標題: 郵件伺服器遭加密攻擊 |
|
|
這兩天自架郵件伺服器有多台都受到攻擊
半夜一到兩點鐘
mail server log內都出現
185.213.152.176 收到 XXX 的變更密碼要求,變更密碼成功
XXX 從 185.213.152.176 登入 WEBMAIL 服務
然後RAIDENMAILD資料夾內相關設定檔就都被加密了
隔天當然郵件服務就全停了
win系統重作重架以後
隔天又遇到一樣問題
當然有可能因為XXX帳號的密碼過於簡單造成被變更
但想請教是否在 webmail 套件內有漏洞
只要能登入就能上傳惡意檔案造成主機被加密病毒攻破的可能
因為三台都一樣的訊息
一樣的狀況
目前已重作伺服器並關閉webmail登入功能觀察 |
|
回頂端 |
|
|
jones 七段
註冊時間: 2002-11-04 文章: 149 來自: TAIWAN
|
發表於: 星期五 七月 08, 2022 9:52 am 文章標題: |
|
|
我也是被攻擊~_~
[2022/7/8 上午 01:59:07] 185.65.135.168 收到 XXX 的變更密碼要求, 變更密碼成功
[2022/7/8 上午 01:59:08] XXX 從 185.65.135.168 登入 WEBMAIL 服務
結果郵件伺服器全部的郵件都被刪光了 _________________ win10
dnsd+maild+firewall
So-net固定IP
網域:wbh.com.tw |
|
回頂端 |
|
|
sonet995 一級
註冊時間: 2006-08-15 文章: 2 來自: TAIWAN
|
發表於: 星期五 七月 08, 2022 10:18 am 文章標題: |
|
|
[2022/7/2 上午 07:17:03] 141.98.255.148 收到 AAA 的變更密碼要求, 變更密碼成功
[2022/7/7 上午 12:09:44] 185.213.152.176 收到 BBB 的變更密碼要求, 變更密碼成功
[2022/7/8 上午 12:40:50] 185.65.135.168 收到 AAA 的變更密碼要求, 變更密碼成功
都是 RIPE NCC 的 IP,除了擋 IP 外,請問雷電的設置還有哪邊可以設定防止這個攻擊? 謝謝。 |
|
回頂端 |
|
|
drinktea 一級
註冊時間: 2020-03-29 文章: 4 來自: TAIWAN
|
發表於: 星期五 七月 08, 2022 2:26 pm 文章標題: |
|
|
sonet995 寫到: | [2022/7/2 上午 07:17:03] 141.98.255.148 收到 AAA 的變更密碼要求, 變更密碼成功
[2022/7/7 上午 12:09:44] 185.213.152.176 收到 BBB 的變更密碼要求, 變更密碼成功
[2022/7/8 上午 12:40:50] 185.65.135.168 收到 AAA 的變更密碼要求, 變更密碼成功
都是 RIPE NCC 的 IP,除了擋 IP 外,請問雷電的設置還有哪邊可以設定防止這個攻擊? 謝謝。 |
不知道對方怎麼變更成功的....
密碼有改過
我也是直接把185.*.*.*就加黑名單(我的也是來自這裡攻擊)
目前也不開放webmail
目前觀察中還正常
但就算變更成功理論上也不應該能夠上傳檔案到郵件伺服器主機還執行
也只能等雷電官方有空看看了
不然這問題有點可怕 |
|
回頂端 |
|
|
licheer 一級
註冊時間: 2013-12-16 文章: 39 來自: TAIWAN
|
發表於: 星期五 七月 08, 2022 4:43 pm 文章標題: |
|
|
和我一樣,是不是MAILD有漏洞被發現了
http://www.raidenhttpd.com/jlbb/viewtopic.php?t=20094
前幾天是被改密碼,剛剛發現C:\RaidenServer\RaidenMAILD\Inboxes
郵件都被改成加密的壓縮檔
最近這幾天,dgb log檔中都有很奇怪的紀錄
2022/07/08:11:10:50 POP3 101.251.238.51 [Invalid command] -
2022/07/08:11:10:50 POP3 101.251.238.51 [Invalid command] - ??鮹ae3?G*?瘁掛普h|蹉2荁? 卅5M藣_Y? ?U2衣%[r抿>??? >?? 怫依社+? $? k?? g?
2022/07/08:11:10:50 POP3 101.251.238.51 [Invalid command] - ? ?鬥?鰆'?<陸鷶焍 薀_塋\-#:?2 8?? 怫依社+? $? k?? g?
2022/07/08:11:10:50 POP3 101.251.238.51 [Invalid command] - ? 9?? 3 ? ? = < 5 / X
2022/07/08:11:10:51 POP3 101.251.238.51 [Invalid command] - c _獠v???+痝?p?Cmw斀玗p ?
2022/07/08:11:10:51 POP3 101.251.238.51 [Invalid command] - ? 9?? 3 5 / $
2022/07/08:11:10:51 POP3 101.251.238.51 [Invalid command] -
2022/07/08:11:10:51 POP3 101.251.238.51 [Invalid command] - c _褑?rUG溯嬋?#姱扢滂R31 ?
2022/07/08:11:10:51 POP3 101.251.238.51 [Invalid command] - ? 9?? 3 5 / $ |
|
回頂端 |
|
|
jones 七段
註冊時間: 2002-11-04 文章: 149 來自: TAIWAN
|
發表於: 星期五 七月 08, 2022 5:34 pm 文章標題: |
|
|
現在才發現 inbox 裡面的郵件沒被刪掉 郵件檔名 .eml後面再被加上.7z
導致郵件讀不到
改回檔名 就可以讀該郵件 幸好我們公司人不多,不然 _________________ win10
dnsd+maild+firewall
So-net固定IP
網域:wbh.com.tw |
|
回頂端 |
|
|
licheer 一級
註冊時間: 2013-12-16 文章: 39 來自: TAIWAN
|
發表於: 星期五 七月 08, 2022 5:37 pm 文章標題: |
|
|
jones 寫到: | 現在才發現 inbox 裡面的郵件沒被刪掉 郵件檔名 .eml後面再被加上.7z
導致郵件讀不到
改回檔名 就可以讀該郵件 幸好我們公司人不多,不然 |
沒有喔,你看一下,是7z加密壓縮檔,是比加密成亂七八糟的格式有良心多
改回檔名的話,還不是原郵件 |
|
回頂端 |
|
|
drinktea 一級
註冊時間: 2020-03-29 文章: 4 來自: TAIWAN
|
發表於: 星期五 七月 08, 2022 5:39 pm 文章標題: |
|
|
jones 寫到: | 現在才發現 inbox 裡面的郵件沒被刪掉 郵件檔名 .eml後面再被加上.7z
導致郵件讀不到
改回檔名 就可以讀該郵件 幸好我們公司人不多,不然 |
我的就沒這麼好運了
檔名改回來還是被加密的
是還好本來就有作定時自動備份
看起來這問題不是只有我一人遇到
目前先關閉webmail觀察 |
|
回頂端 |
|
|
jones 七段
註冊時間: 2002-11-04 文章: 149 來自: TAIWAN
|
發表於: 星期五 七月 08, 2022 5:44 pm 文章標題: |
|
|
licheer 寫到: | jones 寫到: | 現在才發現 inbox 裡面的郵件沒被刪掉 郵件檔名 .eml後面再被加上.7z
導致郵件讀不到
改回檔名 就可以讀該郵件 幸好我們公司人不多,不然 |
沒有喔,你看一下,是7z加密壓縮檔,是比加密成亂七八糟的格式有良心多
改回檔名的話,還不是原郵件 |
阿!!是歐Orz 感謝
再把記錄調出來 請同仁跟寄信方要求重寄信好了
謝謝你 _________________ win10
dnsd+maild+firewall
So-net固定IP
網域:wbh.com.tw |
|
回頂端 |
|
|
Arnor 究極の素還尊
註冊時間: 2001-11-07 文章: 13011 來自: TAIWAN
|
發表於: 星期五 七月 08, 2022 6:11 pm 文章標題: |
|
|
這些情況都是中勒索病毒引起的。
安全的電腦使用習慣,相信都是老生常談,但就是這麼中肯:
1. 不要使用坊間非官方的系統ISO 來安裝系統,你不會知道裡面藏了多少東西。
2. 不要開啟來路不明的信件,信件中的連結和附檔也要小心,比如: 點此領取iphone ,payment 要你領取之類的,
好奇心去驅使,看一個做一個,人為恣意操作,再強的防毒也沒用,當下中毒時都不會有徵兆也沒有馬上進行破壞,
但它就像種子一樣伺機而動,讓受害者在未來發作時不知道何時中標的。
3.勒索病毒大部份算不上是病毒,因為它就是個執行程式針對檔案壓縮,防毒軟體很有可能抓不到也擋不住
4. 伺服器是提供服務的機器,基本上不是個人電腦,所以請不要在伺服器上進行個人操作。
5. maild 今年也都有推出實驗性功能來阻擋釣魚假冒信件,都有更新來使用嗎? 廣告信防治機制又是如何設定,是嚴還是鬆?
這些都有影響,有興趣多了解防治機制,歡迎來信提供貴司設定一同討論。
如果 maild 現在正在運作中,那麼表示您的使用者資料來源 raidenmaild.mdb 可能還在,
馬上去 RaidenMAILD 目錄看看 Raidenmaild.mdb 是否可備份起來,若 RaidenMAILD.ini 也可備份,
那麼這兩個檔再加上註冊碼檔 reg.cert ,這三個檔就可讓您迅速回復正常。
信件的話可能都不行,當天能收的趕快收(因為病毒不是隨時加密你的檔案,它挑時間工作的)。 _________________ *若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: [email protected]
公司網站 http://www.raidenmaild.com/company/ |
|
回頂端 |
|
|
Arnor 究極の素還尊
註冊時間: 2001-11-07 文章: 13011 來自: TAIWAN
|
發表於: 星期五 七月 08, 2022 6:57 pm 文章標題: Re: 郵件伺服器遭加密攻擊 |
|
|
drinktea 寫到: | 這兩天自架郵件伺服器有多台都受到攻擊
半夜一到兩點鐘
mail server log內都出現
185.213.152.176 收到 XXX 的變更密碼要求,變更密碼成功
XXX 從 185.213.152.176 登入 WEBMAIL 服務
然後RAIDENMAILD資料夾內相關設定檔就都被加密了
隔天當然郵件服務就全停了
win系統重作重架以後
隔天又遇到一樣問題
當然有可能因為XXX帳號的密碼過於簡單造成被變更
但想請教是否在 webmail 套件內有漏洞
只要能登入就能上傳惡意檔案造成主機被加密病毒攻破的可能
因為三台都一樣的訊息
一樣的狀況
目前已重作伺服器並關閉webmail登入功能觀察 |
這個問題我找到原因了,
我想應該是中毒後,系統的設定檔都被加密,
對 maild 而言就是該存在的設定不存在了,變成變更密碼的問題函的答案都成了空白,所以才有可能讓人改密碼成功。
我會針對這情況做個改善出個新版,但不可能整個避開勒索病毒對檔案的處理,
所以,目前來說,您可以到 主畫面 - WEB 設定 - WEBMAIL ,把允許自行變更密碼取消掉。
主要問題還是中毒環境就是資料全毀,maild 會建預設檔出來但沒用,東缺一塊西缺一塊,是別妄想可以正常的。maild 乍看之下能跑是能跑,因為當下 raidenmaild.mdb 是被 maild 鎖定,使用者資料是存於記憶體,感覺可以運作,但一定會有問題的,因為設定檔都不見了。 _________________ *若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: [email protected]
公司網站 http://www.raidenmaild.com/company/ |
|
回頂端 |
|
|
licheer 一級
註冊時間: 2013-12-16 文章: 39 來自: TAIWAN
|
發表於: 星期五 七月 08, 2022 9:40 pm 文章標題: |
|
|
1.使用者被改密碼
2.檔案被加密
我看1和2的時間很接近
請問時間順序是12或是21
a.使用者的電腦中木馬->密碼被改->進來MailD Server加密檔案
b.MailD Server重木馬->導致使用者被改密碼->MailD Server檔案被加密 |
|
回頂端 |
|
|
deltamax 一級
註冊時間: 2022-07-09 文章: 2 來自: TAIWAN
|
發表於: 星期六 七月 09, 2022 8:46 am 文章標題: |
|
|
昨晚好悲惨~
晚上11点多 同仁发现无法收信
登入主机后发现 所有 .INI .CFG .DB .EML档等等都被加密成 *.7z
且 工作管理员中可以看到 7z 一直在运行中(SID会变换).
无法中断. 他会一直找目标加密 .....
所以 雷电 找不到 原本USER设定档(自动生成空白的) 全面停工了.
这台主机我没有私人使用.
就是单纯的 MAILSERVER 跟备用 SQL SERVER.
回想了一下可能关联的问题:
1.2年前装过 7z 解压缩软体没有更新过
2.7.3 发现USER被改密码并登入 WEBMAIL成功
《登入的IP是透过VPN跳板进来 没有登入记录......》
3.7.8 晚上11点发现是7zLOCKER 勒索病毒将 所有设定档与邮件 加密成 *.7z
相关资料:https://www.jianshu.com/p/ddcacc868d9a
这个毒我都不知道怎进来的. SERVER 内网 NAT 对外只开启了 25.110.81.85 PORT.
上来看到不止我一个碰到这问题. 上来取经看看.
目前是关闭了WEBMAIL功能. 移除了 7z 且扫不到毒! ORZ |
|
回頂端 |
|
|
tsengmbk 一級
註冊時間: 2015-07-14 文章: 7 來自: TAIWAN
|
發表於: 星期六 七月 09, 2022 11:15 am 文章標題: |
|
|
我公司早上 maild 也中勒索了
專用mail伺服器 也不會在上面操作
不過系統老舊了點 2008 R2
防火牆也轉 25 110 81 port 這幾個port到伺服器上
難不成是用漏洞就近來的 |
|
回頂端 |
|
|
Arnor 究極の素還尊
註冊時間: 2001-11-07 文章: 13011 來自: TAIWAN
|
發表於: 星期六 七月 09, 2022 11:34 am 文章標題: |
|
|
licheer 寫到: | 1.使用者被改密碼
2.檔案被加密
我看1和2的時間很接近
請問時間順序是12或是21
a.使用者的電腦中木馬->密碼被改->進來MailD Server加密檔案
b.MailD Server重木馬->導致使用者被改密碼->MailD Server檔案被加密 |
我也想釐清先後關係。
目前建議大家到主畫面 - WEB設定 - WEBMAIL 停用"允許自行變更密碼"的功能 _________________ *若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: [email protected]
公司網站 http://www.raidenmaild.com/company/ |
|
回頂端 |
|
|
|