電腦系統防護知己知彼

電腦系統防護 知己知彼宜蘭縣教育資訊網路中心網路組

資安記事錄 駭客攻擊手法系統防護教網中心防護機制

資安記事錄 IBM：駭客攻擊漏洞數量飆升 IBM報告，統計2010上半年，軟體中發現可能遭駭客利用的攻擊漏洞數目迅速竄升。 IBM X-Force研發團隊紀錄的新「弱點」數目較去年同期增加36%，達到4396個。其中有超過半數漏洞沒有修補的程式。該團隊表示，網路應用程式有最多的軟體漏洞。使用網頁瀏覽器操作的應用軟體，佔所有攻擊漏洞的55%。新聞來源: 中央日報2010.8.26

資安記事錄 西班牙航空墜機　電腦病毒是肇因前年8月20號，一架麥道82型飛機，搭載172人前往加納利島，飛機起飛時衝出跑道，起火燃燒，機上154人死亡，18人獲救。飛安專家還在調查墜機原因，目前初步結論，這架飛機起飛時，出現三個技術故障，依照正常操作規定，這架飛機應該放棄起飛。當天，負責監測故障的西班牙航空電腦主機，遭到電腦病毒入侵，無法正常運作，因此沒有及時提出警告，才釀成意外。新聞來源:中廣新聞2010.8.21

資安記事錄 難登龜山島女導遊駭東管處在宜蘭縣承攬登龜山島遊玩的許姓女導遊，涉嫌扮駭客入侵觀光局「東北角海岸國家風景區管理處」（簡稱東管處）網站，刪除申請登島的10團約400多名旅客。「福山植物園事件」，宜蘭縣警局離職員警及其妻充當駭客，利用派出所電腦侵入植物園網站竄改資料。新聞來源:交通部觀光局2005.6.27

資安記事錄 駭客天堂！臺灣名列前矛在198個國家的對外攻擊流量排名中，攻擊流量最大的國家是俄羅斯，已經連續3季的對外攻擊流量佔全球攻擊流量的12％；其次則為美國(10%)、中國(9.1％)和臺灣(6.1％)。根據Akamai統計，最容易遭受攻擊的連接埠是445埠，這是微軟提供目錄服務的連接埠，攻擊流量高達74％；其次為用來傳輸加密資料（SSH）的22埠，攻擊流量為6.3％；第三名則是網路芳鄰NetBIOS使用的139埠，攻擊流量為3.2％。新聞來源: ITHOME2010.9.7

資安記事錄 調查局：學校網站最容易被駭根據資安廠商TippingPoint研究數據，學校網站(edu.tw)從2000年至今被發現攻擊次數便達3013。調查局則進一步說明，其實過去所調查平均一年學校被攻擊案例有上千起。去年起更加劇，平均一年便有上千個攻擊次數，其中還包括同一個學校網站便被入侵多達八次的案例新聞來源:ITHOME2007.03.08 資料來源：資安之眼

資安記事錄 總統府網站新聞稿新聞來源: youtube2009.08.28

駭客攻擊方式(作業系統) 駭客木馬病毒漏洞蠕蟲

駭客攻擊方式(作業系統) 病毒(virus) 將本身複製到其他乾淨的檔案或開機區的惡性程式多種惡意程式的統稱目的 CIH(format) 惡作劇、好玩、炫耀、威嚇電腦當機，硬體、文件損壞

駭客攻擊方式(作業系統) 蠕蟲(worm) 自動複製自我的病毒自動感染其他與之相連的電腦造成大量網路流量的連鎖效應目的 Slammer(SQL)、Conficker(windows) 消耗記憶體或網路頻寬，進而使電腦當機

駭客攻擊方式(作業系統) 木馬(Trojan)/後門(Backdoor) 以特殊管道將程式植入使用者的電腦系統中，然後伺機執行其惡意行為將自己偽裝成一些特殊工具來吸引使用者下載並執行，或是直接入侵電腦主機將程式植入對方系統目的佔用cpu執行特殊程式竊取重要資料並傳回給入侵者進行癱瘓網路的攻擊行動

駭客攻擊方式(作業系統) 系統漏洞/弱點 (Vulnerability) 惡意使用者透過軟體程式撰寫的缺陷，將原本的程式引導到另一段外部程式，造成系統的危害 Exploit、0 day 目的 ms08-067、flash 取得系統管理者權限提高自己的權限

駭客攻擊方式(作業系統) 駭客攻擊步驟

案例分析 搜尋目標利用漏洞取得權限下載有用資料

系統防護 Windows Windows update(自動更新、Winodws網站)

系統防護 Windows 防火牆(系統內建) 控制台 => 資訊安全中心

系統防護 Windows 關閉系統預設管理帳號(administrator、guest) 「我的電腦」右鍵 => 管理 => 本機使用者群組 => 使用者

系統防護 Windows 防毒軟體、弱點掃描工具 MBSA (Microsoft Baseline Security Analyzer) Secunia PSI (Personal Software Inspector) Nessuss

系統防護 Linux 自動更新修正檔 YUM => Centos, Fedora sudo crontab -e 40 5 * * * root yum -y update; yum clean packages APT => Ubuntu, Debian sudo crontab -e 40 5 * * * root apt-get update; apt-get -y upgrade ; apt-get clean

系統防護 Linux 防火牆 (iptables、hosts.deny) iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT hosts.allow sshd:192.168.1.1 sshd:192.168.2.0/255.255.255.0 hosts.deny ALL:ALL

系統防護 Linux 避免使用root登入系統建立新帳號可透過sudo執行root權限 /etc/ssh/sshd_config 將#PermitRootLogin yes修改為 PermitRootLogin no 重新啟動sshd的服務更改ssh登入port /etc/ssh/sshd_config 將#Port 22修改為 Port 33333(可自行更改) 重新啟動sshd的服務

系統防護 Linux 防毒軟體 ClamAV、Avast、Nod32 弱點評估工具 Nessue Rootkit檢查工具 (每天檢查並寄送郵件) Chkrootkit sudo vi /etc/chkrootkit RUN_DAILY="true" rkhunter sudo vi /etc/default/rkhunter REPORT_EMAIL="xxx@ilc.edu.tw"

教網中心防護機制 入侵偵測系統 Tipping Point 防毒主機 Eset NOD32 網站應用程式防火牆 Citrix Netscaler WAF 主機連線數量偵測 L7 networks

隨身碟病毒防護 建立唯讀的autirun.inf目錄透過「檔案總管」開啟隨身碟關閉隨身碟「自動播放」功能 Windows XP/2003 : KB971029(更新檔) Windows 7 : 「開始\控制台」 => 「硬體和音效」=>「自動播放CD或其他媒體」=>取消「所有媒體與裝置都使用自動播放功能」隨身碟病毒清除程式 Efix USBcleaner

檢查電腦是否中毒 電腦效能變低，執行電腦程式或開啟網頁速度變慢防毒軟體無法更新或常駐監控無法開啟隱藏檔案無法顯示檢查是否有異常程序系統管理員、Process Explorer 檢查「啟動」內，是否有奇怪的程式 autoruns 開始 => 執行 => msconfig => 啟動檢查電腦連線狀態 Netstat、CurrPorts、TCPView

電腦系統防護 知己知彼