---

※ 引述《YummyYummy (優米平方 好想吃大腸)》之銘言：
: 標題: Re: [新聞] 快訊／中油遭「勒索病毒」攻擊！僅能使用
: 時間: Mon May  4 18:04:38 2020
:
:
: 網頁當然也是伺服器主機  從這邊開始就能知道你應該是文組
:
: : 2.因為炸掉的是中油自身的系統  所以沒有擴散到銀行
: :  (因為金管會很嚴  中油跟銀行中間都會檔好)
: :   所以信用卡跟現金能用  但是其他中油自身支付的方式全部炸裂
:
: 同1  你根本搞不懂自己在講啥
:
: 信用卡那些本來就不是中油好嗎?   JCB/VISA/MASTER又關你屁事啊

幫補充一點，刷卡機的資料是走另外一條線路，是銀行的專線

資料交換刷卡金額等等，都是在刷卡機上做，POS機上面不會有資料
當然後臺也會有，但只是卡號而已、金額而已
現在刷卡機，是完全不能拆的，一拆就鎖，早期可以在刷卡機上動手腳
側錄卡號，現在完全不行，二來側錄也只能用磁條，用晶片沒辦法


: 1.中油伺服器居然WIN平台90%以上  這是很匪夷所思
:
: 你說用戶端就算了  伺服器要開WIN是幹三小?

不與置評，這個要看火炬股份有限公司的資料庫是什麼


: 2.一條龍的總公司管理
:
: 所以這次是總公司被當成突破口   然後被攻破後  居然變成GPO
:
: 稍微了解皮毛的都知道  企業組織上層直接派發命令給大家電腦
:
: 那要怎麼檔?

用GPO派送我是有點質疑啦，不過我還是比較等幾個星期後資安報告出來一樣

就跟之前醫療院所中勒索病毒一樣

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

有時候也不能怪資訊人員，身為業內日企資訊社畜的切身經驗

去年就發生過社畜公司中了病毒，還好不是勒索病毒

只是單純的USB病毒，不過中獎之後，電腦對外連C&C　惡意伺服器

被我方防火牆擋下來，瞬間鎖定三臺電腦中獎去排除

不過後續也是將所有電腦掃毒過一遍。

2018年年底已經提出資安報告給上頭，說這一些設備都要更新

第一：Windows XP須全面更新
第二：AD Server、File Server 都是Server 2003 要更新
第三：Core Switch　還在用幾千塊非網管Switch，樓下只要不小心對插網路線
　　　直接loop全掛
第四：對外伺服器前面要加防火牆，Web、App Server都沒防火牆

2018年年底提出這一些報告跟需求，需要花費約一千萬，結果上頭已讀不回
因為公司的Exchange 2000 在2018年底領便當了，用了十八年以上


: → bamama56: 還好我都用卡巴斯基                                    05/04 18:05

防毒軟體老實講都是事後補救，如果特徵碼正好沒更新，掃毒引擎沒偵測到
什麼拖拉庫司機都一樣



: 推 NCUking: windows server 錯了嗎？                                05/04 18:08
: 推 orze04: 效率問題                                                05/04 18:08

另外一個是軟體支援問題，一個能找廠商排除故障，資源也比較多
一個google到死還不見得找的到原因，結果是kernel問題之類的


: 推 KotoriCute: 伺服器用 windows server 沒有很少見                  05/04 18:09

Windows Server就是資源多，支援也多，願意砸錢下去，基本上都找的到解決方法
像小弟公司的app就是用Windows 2012 裝PHP+Apache


: 推 CharleneTsai: windows server很常見啊 公家單位愛用               05/04 18:11

不只公家機關愛用，私人企業也愛用，只是又愛又恨而已


: 推 ruokcnn: 卡一個 伺服器搞不好win server2016啊超屌                05/04 18:12
: 推 Mellissa: 用win server的一堆阿 2008到2016都還在RUN              05/04 18:12

2008該退了啦，這點就是讓企業又愛又恨，如果服務不是很重要就撐著點
如果是完全不太能Downtime的服務就.....



: 對  中獎防毒會擋  但是你如果讓權限高的人中獎呢?
:
: 那麼會變成權限高的人送大獎給大家喔
:
: 總公司的資訊窗口真的有點.......
:
: 感覺繳不少錢  維護的卻不知道幹嘛?

我不做評論，畢竟自己也是寫了報告上去反應，上面已讀不回

到去年中獎，才驚覺該換了，本來想找我們資訊單位出氣，結果報告有寫

而且早在一年前寫過了，轉向兇手算帳，當然兇手我沒講，因為這類獵巫根本沒屁用

: 當然  誰最初中的大概也會黑一輩子了
: → ruokcnn: 也不是每家都會雙棲linux跟win 兩倍維護人力              05/04 18:13

當初要把Windows 2003　AD換掉的時候，上頭還在想用LDAP來取代AD

我同事就回上頭一句話，萬一我跟他都離職了，建置LDAP的人都不在了

後續維護怎辦？



: → NTULioner: linux server對企業來說成本高很多ok？                 05/04 18:14

用Linux只是省了授權的費用，後續維護跟除錯就是一件麻煩的事情
況且Linux熟到很精的人在臺灣真的不多，版本就是個問題，更新也是個問題
更不用說Linux還是有漏洞


: → ZhouGongJin: 賽X不知道會掉多少客戶                              05/04 18:19

真的重點不在防毒軟體，重點在有沒有Vlan切割

像上次只有辦公室中獎，如果蔓延營運，可能會上新聞吧XD

因為網段不一樣，雖然還是有資料交換的地方，一中獎立馬先拔線

確保營運單位能夠營運，辦公室就慢慢來吧，中油這段可能是網段沒分好

營運跟辦公室混在起來，所以我很期待報告出來，又可以恐嚇公司至少禁掉隨身碟

建個FTP對外界做檔案交換的案子了。



: 推 YJJ: 資安真的重要                                               05/04 18:26

可是上頭覺得花太多錢很重要，前人歷史共業罪孽太深
到2014年就要開始全面更新到windows7 因為財會軟體的因素
連試都不試，全部新電腦降到XP，等到XP連降都降不了

所以中毒的時候，只要是windows xp都不能用，還好我弄了半年

至少每個單位都有一臺windows7 辦公室能夠基本運作


: 噓 zhtw: 銀行atm還不是都用win                                      05/04 19:02

atm是專線，連不到外面，因為上次一銀事件稽核的更嚴苛了



:
: 防火牆也管超嚴的
:
: 像國中國  連水管都看不得
:
: 一堆人的休閒都是用自己手機

嘿嘿嘿，我這邊也是，FB只有中午休閒可以用，LINE也擋
雲端硬碟也deny

: → king22649: 我不信隨身碟 感覺是有人開防火牆出去測東西忘了關      05/04 19:12

防火牆基本到都有UTM，這類規模的企業一定都有授權，全開也不太可能一下就中



: 推 chen0625: 是不會用red hat或AIX?                                 05/04 19:14

交給你了，寫出一個財會軟體大小企業都可以用的資料庫，server client端
都用Linux不會出問題的系統，保證賺大錢，可能比有點軟還賺得更多




: 噓 wubai1119: Win哪裡奇怪？你確定是透過GPO傳播嗎？                 05/04 19:18

: 推 king22649: 養人要養整組的 很麻煩 出事大頭還要負責               05/04 19:19

這你就太淺了，大頭不會負責，只會怪下面為何不提早講

你要中毒　你要提早講啊
你要中毒　你要提早講啊
你要中毒　你要提早講啊

: 推 king22649: 該不會是這次疫情 開vpn 防火牆沒弄好產生的漏洞?       05/04 19:30

這類VPN一定都是用商用的，不過國營企業等級的應該都是拉VPN專線
畢竟防火牆掛了不見得能即時修復，專線找ISP算帳就可以

: → wubai1119: 到底是在講異地備援還是異機還原？                     05/04 19:37

三二一法則，一種就是異地備援

異機還原就只是把不同電腦廠牌的image倒到不同型號硬體設備的主機上


: → iceyang: win只是不用下cmd而已 可以無腦維護?                     05/04 19:45

可以Call SI廠商來弄


: 實際上伺服器哪裡需要啥圖形介面?  CLI才方便啊

我都開SSH連到Linux主機上　複製貼上指令....


--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.231.221.14 (臺灣)
※ 文章代碼(AID): #1Ui278cC (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1588601288.A.98C.html