跳到主要內容區
:::
  1. 首頁
  2. 其它
  3. 常見資安通報處理指引

資安預警

網路印表機 OTHER login by default password (2025 年發生次數:3;更新日期:2025/01/13)

建議措施:

1. 強化登入安全性:設定強度至少 8 碼,必須包含英文大小寫、數字及特殊符號。

2. 參考下列方式將 Public IP 移設至內部網路 Private IP。

IP:172.20.XX.201~250 

netmask:255.255.255.0

gateway:172.20.XX.254

(XX 與單位使用的第一段140.115.XX 同,請網管同仁自行記錄控管。如按指示設置完畢仍抓不到印表機,請聯繫電算中心協助排查。)

3. 僅限特定網段或 IP 存取管理介面,避免非經授權之系統存取

4. 評估系統上非必要的服務或程式建議移除或關閉。

 

對外發送垃圾郵件 (2025 年發生次數:3;更新日期:2025/03/03)

建議措施:

1. 病毒郵件、蠕蟲郵件,利用作業系統或者應用系統的漏洞,大量轉發含帶病毒的郵件,建議更新伺服器與相關應用系統至最新版本。

2. 郵件伺服器 Openrelay 漏洞被人利用進行垃圾郵件的發送,建議關閉郵件伺服器 Openrelay。

 

FTP設備疑似可使用匿名(弱密碼)登入(FTP login by weak password or anonymous) (2025 年發生次數:3;更新日期:2025/03/13)

建議措施:
1. 停用預設帳號與密碼。 
2. 停用匿名登入功能。 
3. 使用高強度的密碼。 
4. 如非必要,請將設備放置於內部網路或限制存取IP。

 

用戶資訊設備疑似存在 DNS Open Resolver 弱點 (2025 年發生次數:3;更新日期:2025/03/17)

建議措施:

1. 檢視系統上有無不明帳號。

2. 請使用外部網路,於終端機中輸入nslookup指令確認附件IP的DNS服務是否開啟DNS Open Resolver。 範例: 欲確認168.x.x.x是否開啟DNS Open Resolver,可用指令 nslookup www.google.com.tw 168.x.x.x,如果查詢有回答網路位址,表示有開啟。

3. 系統上DNS服務若非必要,建議關閉,或是調整服務設定,限制遞迴查詢功能僅提供本地網域使用者。

 

Vmware ESXi 產品疑似存在高風險漏洞 (2025 年發生次數:2;更新日期:2025/03/13)

建議措施:

1. 下載並安裝 VMware 官方發布的安全更新
2. 限制管理介面僅允許特定 IP 存取,避免將管理介面直接暴露於公網

 

Ollama AI模型網路存取(NASOC-Rule Network Access for Ollama AI Model Service) (2025 年發生次數:2;更新日期:2025/04/14)

建議措施:

建議將服務移至內網,若需要公開網路存取,可修改設定或利用防火牆設定白名單。

============ 查看目前 ollama 設定 ============
搜尋 ollama 實際路徑:
sudo find /etc /lib /usr -name "ollama.service" 2>/dev/null
輸出結果(參考):
/etc/systemd/system/ollama.service
/etc/systemd/system/default.target.wants/ollama.service
============ 修改服務設定 ============
編輯服務檔案:
sudo nano /etc/systemd/system/ollama.service
在檔案中找到 [Service],通常會有以下參數:
Environment="OLLAMA_HOST=0.0.0.0:11434"
若只想接受在本機上運行,可改為127.0.0.1
ollama 目前預設只能在本機上運行。
設定完後重起服務:
sudo systemctl daemon-reload
sudo systemctl restart ollama
============ 防火牆設定 ============
若需要公開網路存取,可設定防火牆來管控
查看防火牆狀態:
sudo ufw status
開啟ufw:
sudo ufw enable
關閉ufw:
sudo ufw disable
查看目前規則:
sudo ufw status numbered
輸出結果範例:
Status: active
To                    Action   From

[ 1] 11434/tcp        ALLOW    192.168.1.0/24
[ 2] 11434/tcp        DENY     Anywhere
[ 3] 11434/tcp (v6)   DENY     Anywhere (v6)
============ 設定防火牆規則 ============
白名單規則需在 DENY 規則前面,參考以下指令:
刪除規則:
sudo ufw delete 3
允許特定網段:
sudo ufw allow from 192.168.1.0/24 to any port 11434 proto tcp
拒絕其他連線:
sudo ufw deny 11434/tcp

 

疑似對外進行BruteForce攻擊 (2025 年發生次數:2;更新日期:2025/04/23)

建議措施:

1. 檢查防火牆紀錄,查看內部是否有對外大量不同目的IP之異常連線。若暫時未發現異常行為,建議持續觀察一個星期左右。
2. 檢查個別系統上是否有異常連線、異常執行中程序、異常服務及異常開機自動執行程式等。
3. 注意個別系統之安全修補,包含作業系統與辦公室常用文書處理軟體,若僅移除惡意程式而不修補,再次受相同或類似攻擊的機率極高。
4. 儘速進行系統更新作業,修補程式須持續更新:

  • Windows可參考微軟資訊安全錦囊,開啟自動更新機制
  • Linux系統可使用yum或apt等更新機制
  • 若您所使用的作業系統已不再提供更新程式,建議升級至較新版本作業系統

5. 系統上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統上非必要的服務程式亦建議移除或關閉。
6. 安裝防毒軟體並更新至最新病毒碼,並注意病毒碼須持續更新,最好能採用自動更新機制。
7. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。
8. 若無防火牆可考慮安裝防火牆:

  • Windows平台可使用內建防火牆
  • Linux平台可考慮使用iptables等內建防火牆

9. 建議資訊設備更新韌體至最新版本。

 

 

 

資安事件

OpenSSH 競爭條件漏洞 (OpenSSH Vulnerability Risk (CVE-2024-6387)) (2025 年發生次數:41;更新日期:2025/03/05)

建議措施:

受影響版本

  • OpenSSH 版本 < 4.4p1

  • 8.5p1 <= OpenSSH 版本 < 9.8p1

安全版本參考

以下版本已包含修補,可視為安全版本:

  • SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.8

  • SSH-2.0-OpenSSH_8.9p1 Ubuntu-3ubuntu0.10

  • SSH-2.0-OpenSSH_9.3p1 Ubuntu-3ubuntu3.6

  • SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.3

  • SSH-2.0-OpenSSH_9.3p1 Ubuntu-1ubuntu3.6

  • SSH-2.0-OpenSSH_9.2p1 Debian-2+deb12u3

  • SSH-2.0-OpenSSH_8.4p1 Debian-5+deb11u3

  • SSH-2.0-OpenSSH_9.7p1 Debian-7

  • SSH-2.0-OpenSSH_9.6 FreeBSD-20240701

  • SSH-2.0-OpenSSH_9.7 FreeBSD-20240701

建議修補措施

  1. 立即更新至安全版本

    • 更新至 OpenSSH 9.8p1 或以上版本

    • 或更新至上述已修補的特定版本

  2. 設備相關修補

    • 如為設備內建的 OpenSSH,請聯繫設備廠商獲取更新或補丁

  3. 臨時緩解措施

    • 若暫時無法更新,可在防火牆設定 ACL,僅允許特定 IP 存取

    • 限制 SSH 服務僅接受內部網路連線

檢測方式

可透過以下命令檢查當前版本:

ssh -V

或觀察 SSH 伺服器的版本橫幅(Banner)。

 

主機疑似進行挖礦程式連線 (2025 年發生次數:7;更新日期:2025/04/23)

建議措施:

1. 錄製封包確認是否有連線至未知 IP ( 可用外部情資網站 abuseipdb 或 virustotal 確認未知 IP 狀態 )

2. 檢查背景執行程式 ( 可確認名稱是否為不明、CPU 與記憶體使用率極高與異常路徑,確認該檔案是否為異常可用 virustotal、viruscheck 或 malwarebytes 等工具 )

  • Windows OS以工作管理員確認處理程序或使用 TCPView 工具
  • Linux OS使用 TOP 指令

3. 確認工作排程是否有被加入開機即啟用異常程序

4. 使用多個知名防毒軟體進行掃描

5. 確認主機內的漏洞皆已被修補

6. 確認主機內的稽核日誌是否符合正常的維運狀態 ( 如:使用者於非上班時間內使用該主機即為異常)

7. 若有其他疑慮但無法排除異常問題,建議重置整台主機

 

主機進行惡意程式連線 (2025 年發生次數:4;更新日期:2025/04/24)

建議措施:

1. 請檢視來源IP該連線行為是否已得到合法授權。 若來源IP該連線為異常行為,可先利用掃毒軟體進行全系統掃描,並利用ACL暫時阻擋該可疑IP。

2. 同時建議管理者進行以下檢查:

a. 請查看來源IP有無異常動作(如:新增帳號、開啟不明Port、執行不明程式)。

b. 確認防毒軟體的病毒碼已更新為最新版本,並進入系統安全模式下行進行全系統掃描作業、系統是否已安裝相關修正檔,或關閉不使用的應用軟體與相關通訊埠。

3. 若來源IP為DNS server、NAT主機或IP分享器等設備IP時,表示有內部主機透過這些設備向外連線時而觸發偵測規則, 則需先請設備管理者透過事件單所附之資訊(目的地IP、時間、來源port),來協助查找內部觸發偵測規則之主機,再依前述建議處理措施進行作業。

 

網頁疑似 SQL 錯誤訊息洩漏 (2025 年發生次數:1;更新日期:2025/01/02)

建議措施:

1. 建議更改為顯示一般錯誤訊息或不顯示。

2. 從資安防護設備與其他系統日誌中,確認有無其他異狀,追查有無遭駭客入侵或資料洩漏之事宜。

 

存在任意檔案下載(Arbitrary File Download)漏洞 (2025 年發生次數:1;更新日期:2025/03/26)

建議措施:

1. 在不影響運作的情況下,建議移除此程式。

 

 

登入成功