主機受到Rustock殭屍電腦控制程式感染。

1.檢查防火牆紀錄，查看內部是否有開啟異常的連接埠，並查看內部是否有對外大量不同目的IP之異常連線。

2.注意個別系統之安全修補，若僅移除惡意程式而不修補，再次受相同或類似攻擊的機率極高。

注入攻擊SQL Injection

1.利用正規表示式檢查網頁所傳入參數之型態，若參數型態不符時便導回原頁面或網站首頁。

2.過濾SQL語法常用之關鍵字，如：user、select及from等關鍵字。

3.過濾SQL語法之注釋符號及特殊規則，如：單引號(‘)等符號。

4.以參數化查詢執行資料庫查詢動作，資料庫伺服器便不會將參數的內容視為SQL指令的一部份來處理。

5.以專業弱點掃描程式進行系統弱點掃描。

6.詳細漏洞訊們於佐證資料中詳述。

7.佐證資料已隨事件單匯入教育機構資安通報平台，煩請登入後於左側「事件附檔下載」中依發佈編號查詢即可下載佐證資料。

主機 xxx.xxx.xx.xxx 疑似對外進行 MS.RDP.Connection.Brute.Force 攻擊

1.檢查防火牆紀錄：查看內部是否有開啟異常或未經許可的連接埠，並查看記錄是否有外界對貴單位內部IP之異常連線。

2.如發現為非授權的連線，建議將該IP於防火牆阻擋。

3.建議針對被攻擊的主機做好相關主機系統服務檢查及弱點修補確認的工作，並關閉不需要的服務。

4.將所使用的密碼複雜度提高。

教師之BLOG網站，架設WORDPRESS系統，因為已沒有使用，但因未做更新，導致被入侵。

處理

建議

1.因主機已不須提供blog服務，將目前使用功能轉移到其它主機，把主機直接關機不再使用。

以 XML 為基礎的網路應用程式沒有做好管控權限，直接讀取外部資源提供的 XML 檔案。故攻擊者可以利用 XML 為基礎，讓系統讀取後，進行文件的共享、監聽內部網路、執行遠端城市，進而導致資料外洩，或系統被駭客接管。

修補或升級有引用的套件，並將 XML 升級到最新。

驗證 XML 或 XSL 文件是否經 SCD 驗證會類似方法傳入。

禁止外部實體引用。

事

件

描

述

網頁後台系統使用弱密碼(Weak Passwords)，造成後台資料存在外洩可能性

處

理

建

議

1. 修改該網頁後台管理密碼，並建議使用強密碼。
2. 檢查該網站後台是否有可疑帳號，進行相關處理。
3. 限制存取該頁後台來源。

事

件

描

述

處

理

建

議

事

件

描

述

微軟Windows遠端桌面服務存在安全漏洞(CVE-2019-0708)，允許攻擊者遠端執行任意程式碼

處

理

建

議

1.Windows XP與Windows Server 2003作業系統雖已停止支
援安全性更新，但微軟仍針對此漏洞釋出更新程式，請至下列
連結進行更新：https://support.microsoft.com/en-us/
help/4500705/customer-guidance-for-cve-2019-0708
2.作業系統如為Windows 7、Windows Server 2008及Windows
Server 2008 R2，請至下列連結進行更新：https://portal.
msrc.microsoft.com/en-US/security-guidance/advisory
/CVE-2019-0708

主機xxx.xx.x.xxx存在XSS跨網站指令碼漏洞。

1.取代或過濾出現於輸入內容中的特殊字元，如：’、”、?、*、_、%、&、||、/、\、:、;、<、>、(、)等。

2.取代或過濾出現於輸入內容中的特殊html標籤，如：  < script > 、 < iframe >、"等。

3.取代或過濾出現於輸入內容中的JavaScript事件標籤，如：onload、onclick、onfocus、onblur、onmouseover等。

4.以專業弱點掃描程式進行系統弱點掃描，若發現有其他弱點建議同時進行修補。

1.如果您所管理的主機為目的IP，請參考以下步驟：

a.請檢視您的伺服器是否已安裝最新修補程式。

b.若您的伺服器未進行相關安全性設定，且未安裝或不確定是否已安裝最新修補程式，建議儘速升級到較新版本。

2.如果您所管理的主機為來源IP，請參考以下步驟：

a.請確認此連線動作是否為正常已知行為。

b.建議關閉瀏覽器的動態網頁內容執行，以避免這類跨網頁程式的執行。

c.如您沒有連線到該伺服器，您的電腦疑似中毒或被安裝後門程式，請使用病毒掃描軟體進行掃描，並檢查電腦有無異常動作(如：新增帳號、開啟不明Port、執行不明程式)。

當攻擊者提供竄改後的惡意物件進行反序列化，可能導致應用程式或 API 出現不安全的風險，例如：注入攻擊（Injection）、跨站腳本攻擊（XSS）、遠端程式碼執行。

1. 不接受來自不信任來源的序列化物件。

2. 只允許原始資料型態進行反序列化。

3. 將序列化的物件加上數位簽章或進行加密，防止新增惡意物件或資料竄改。

4. 記錄反序列化所發生的例外情況與失敗訊息。

5. 監控反序列化，當用戶持續進行反序列化時，應啟動警告機制。

資訊設備之Citrix伺服器存在弱點，攻擊者可能利用該弱點而進到組織的內部網路，進而發起惡意活動。網路公開平台已有弱點利用程式碼可被用於惡意活動。

1.依下列指令檢查Citrix伺服器設定，如果不是回應「403 Forbidden」，表示可能存在漏洞。 curl -k -I https://Citrix伺服器網路位址/logon/LogonPoint/vpns/ curl -k -I https://Citrix伺服器網路位址/logon/vpns/ curl -k -I https://Citrix伺服器網路位址/vpn/vpns/ curl -k -I https://Citrix伺服器網路位址/epa/vpns/

2.依Citrix原廠發布建議措施，進行防護設定。 https://support.citrix.com/article/CTX267679

3.檢查Citrix伺服器紀錄是否有異常登入或異常連線。 4.檢查資安防護設備紀錄是否有異常連線。

事

件

描

述

1xx.1xx.2xx.xxx主機 疑似對外進行ISC.DHCP.Server.Malformed.Packet.Handling.DoS 攻擊

處

理

建

議

1.檢查防火牆紀錄：查看內部是否有開啟異常的連接埠。
2.利用工具程式(如:TCPview、procexp)於來源主機觀察，

找出實際執行連線的程式，確認該程式是否為惡意程式。
3.若連線並非預期行為，則來源主機可能已遭植入惡意程式，

建議利用木馬或後門清除程式掃瞄該主機，並手動檢測是否有

惡意程式執行。
4.檢視及執行各系統之安全修補，升級至最新版本並參閱：
https://www.isc.org/software/dhcp/advisories/cve-2011

-2748

5.攻擊名稱相關參考資料網站：
fortiguard
http://www.fortiguard.com/encyclopedia/vulnerability/#id

=28822

CVE IDs
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011

-2748
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011

-2749"

事件

描述

處

理

建議

1. 確保登錄、存取失敗、驗證失敗的訊息都能被完整記錄，並保留足夠的用戶資訊，以辨別可疑或惡意行為。

2. 確保高額交易能有完整的審計訊息（audit trail），以防被竄改或刪除。

3.建立有效的監控與警告機制，使可疑活動在短時間內能夠被發現及應對。

網路印表機管理介面遭置入文字。

1.網站伺服器疑因程式開發存有漏洞，導致遭人入侵修改網頁內容，建議受駭單位立即修復受駭網頁或更新軟體，並瞭解受駭原因及手法，避免再度遭受網頁攻擊。

2.注意個別系統之安全修補，若僅移除惡意程式而不修補，再次受相同或類似攻擊的機率極高。

2.

事件

描述

處

理建議

2.注意個別系統之安全修補，若僅移除惡意程式而不修補，再次受相同或類似攻擊的機率極高。

1.確認此網頁是否為正常網頁，若為未經授權放置之網頁應立即 移除，避免網頁瀏覽者受害。

2.檢查網頁主機的作業系統及應用軟體是否已安裝最新的修補程式。

3.檢視主機是否被安裝後門程式。

1.檢查防火牆紀錄：查看內部是否有開啟異常的連接埠。

2.利用工具程式(如:TCPview、procexp)於來源主機觀察，找出實際執行連線的程式，確認該程式是否為惡意程式。

3.若連線並非預期行為，則來源主機可能已遭植入惡意程式，建議利用木馬或後門清除程式掃瞄該主機，並手動檢測是否有惡意程式執行。

4.確實安裝修補程式並且更新系統。

5.攻擊名稱相關參考資料網站： https://fortiguard.com/appcontrol/44016 https://github.com/fireice-uk/xmr-stak-cpu https://en.wikipedia.org/wiki/Monero_(cryptocurrency)

1.使用防火牆及防毒軟體並升級至最新版本。

2.勿輕易點擊來路不明的連結，不要閱讀並刪除可疑的電子郵件。

3.避免下載使用未經授權的軟體。

4.提高自身對社交工程攻擊的敏感度。