江北区教育城域网学校网络安全风险重点问题通报
江北区教育城域网学校网络安全风险重点问题通报
各中小学(含中职、幼儿园):
为做好网络安全保卫工作,现将近期教育城域网学校网络安全风险重点问题通报如下,请各校高度重视,并于6月5日前将问题处理说明加盖公章后,将扫描件报送至19547152@qq.com。
联系人:李伟18580373198张洋13983011612
各校问题清单:
一、主机访问了 WannaCry 勒索病毒通信域名
1、风险主机(共148个)
(1)最近一周新增风险主机(最严重的10个)
序号 |
学校 |
主机IP |
关键风险 |
处理状态 |
1 |
重庆市第十八中学(观音桥校区) |
172.12.1.100 |
勒索病毒、WannaCry |
未处理 |
2 |
重庆十八中两江实验学校 |
172.64.16.166 |
勒索病毒、WannaCry |
未处理 |
3 |
重庆市载英实验学校 |
172.50.1.5 |
勒索病毒、WannaCry |
未处理 |
4 |
重庆市江北区寸滩实验学校 |
172.60.4.20 |
勒索病毒、WannaCry |
未处理 |
5 |
重庆市载英实验学校 |
172.50.1.16 |
勒索病毒、WannaCry |
未处理 |
6 |
重庆市江北区鸿恩实验学校 |
172.18.1.52 |
勒索病毒、WannaCry |
未处理 |
7 |
重庆江北新村同创国际小学 |
172.70.11.2 |
勒索病毒、WannaCry |
未处理 |
8 |
重庆市第十八中学(观音桥校区) |
172.12.1.50 |
勒索病毒、WannaCry |
未处理 |
9 |
重庆市载英实验学校 |
172.50.1.3 |
勒索病毒、WannaCry |
未处理 |
10 |
重庆市江北区鸿恩实验学校 |
172.18.1.104 |
勒索病毒、WannaCry |
未处理 |
(2)非核心资产风险(最严重的10个)
序号 |
学校 |
主机IP |
关键风险 |
处理状态 |
1 |
重庆市字水中学校(东区) |
172.0.6.63 |
勒索病毒、WannaCry |
未处理 |
2 |
重庆市字水中学校(东区) |
172.0.6.75 |
勒索病毒、WannaCry |
未处理 |
3 |
重庆市字水中学校(东区) |
172.0.6.11 |
勒索病毒、WannaCry |
未处理 |
4 |
重庆江北新村同创国际小学 |
172.70.11.2 |
勒索病毒、WannaCry |
未处理 |
5 |
重庆市第十八中学(观音桥校区) |
172.12.1.130 |
勒索病毒、WannaCry |
未处理 |
6 |
重庆市第十八中学(观音桥校区) |
172.12.1.74 |
勒索病毒、WannaCry |
未处理 |
7 |
重庆市第十八中学(观音桥校区) |
172.53.3.4 |
勒索病毒、WannaCry |
未处理 |
8 |
重庆市江北区寸滩实验学校 |
172.60.4.126 |
勒索病毒、WannaCry |
未处理 |
9 |
重庆市江北区寸滩实验学校 |
172.60.4.69 |
勒索病毒、WannaCry |
未处理 |
10 |
重庆十八中两江实验学校 |
172.64.16.166 |
勒索病毒、WannaCry |
未处理 |
2、事件危害;
主机很可能感染了勒索软件病毒(WannaCry),且被黑客控制,沦为肉鸡攻击互联网上的其他单位。
存在以下风险:
(1)造成直接金钱损失,WannaCry 将会加密被感染主机的几乎所有文件,并提示用户支付约 300 美元的比特币才能解锁;
(2)该病毒具有极强的感染扩散能力,无需用户任何操作,只要开机联网就能自动扩散,将严重影响内网安全;
(3)被黑客控制后攻击互联网上的其他单位,存在违反网络安全法,遭致网信办、网安等监管单位的通报处罚的风险。
3、处理建议:
(1)确认该主机是否为 DNS 服务器或域控服务器(DNS 代理),如果是请将该主机 IP 添加到失陷主机白名单即可;
(2)推荐使用深信服 EDR 专杀工具进行病毒查杀:http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
(3)如以上推荐工具查杀不出来,可使用第三方杀毒工具进行查杀;
4、加固建议:
下载安装补丁:https://docs.microsoft.com/zh-cn/securityupdates/securitybulletins/2017/ms17-010
5、日常维护:
(1)如无业务需要,建议关闭文件共享端口(139、445);
(2)及时更新系统补丁,可以使用 windows 自动更新或采用腾讯管家等进行更新;
(3)对重要数据进行定期非本地备份
二、主机多次访问疑似飞客蠕虫家族类的 C&C 域名或 URL
1、风险主机(共4个)
序号 |
学校 |
主机IP |
关键风险 |
处理状态 |
1 |
重庆市女子职业高级中学 |
172.63.156.251
|
飞客蠕虫家族类 |
未处理 |
2 |
重庆市字水中学校(东区) |
172.0.1.8
|
飞客蠕虫家族类 |
未处理 |
3 |
重庆市女子职业高级中学 |
172.63.152.251 |
飞客蠕虫家族类 |
未处理 |
4 |
重庆市女子职业高级中学 |
72.63.154.251
|
飞客蠕虫家族类 |
未处理 |
2、事件危害;
(1)感染飞客蠕虫后,会对内网其他主机发起 SMB 爆破,以感染更多主机;
(2)感染飞客蠕虫后,会下载更多病毒,造成更多的危害;
3、处理建议:
(1)确认该主机是否为 DNS 服务器或域控服务器(DNS 代理),如果是请将该主机 IP 添加到失陷主机白名单即可;
(2)推荐使用卡巴斯基专杀工具:http://edr.sangfor.com.cn/tool/Kidokiller.zip
(3)如以上查杀不出来,可使用深信服 EDR 专杀工具进行病毒查杀:
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
(4)如以上推荐工具查杀不出来,可使用第三方杀毒工具进行查杀;
4、加固建议:
(1)下载安装补丁:https://docs.microsoft.com/zh-cn/securityupdates/securitybulletins/2008/ms08-067
(2)重置共享文件账号,且设置为强密码,防止弱密码爆破;
5、日常维护:
(1)如无业务需要,建议关闭文件共享端口(139、445);
(2)及时更新系统补丁,可以使用 windows 自动更新或采用腾讯管家等进行更新;
三、主机访问了 Ramnit 蠕虫通信域名
1、风险主机(共4个)
序号 |
学校 |
主机IP |
关键风险 |
处理状态 |
1 |
重庆市字水中学校(西区) |
172.37.112.197
|
Ramnit 蠕虫 |
未处理 |
2 |
重庆市字水中学校(西区) |
172.37.112.15
|
Ramnit 蠕虫 |
未处理 |
3 |
重庆市二0三中学校(高中校区) |
172.49.1.116
|
Ramnit 蠕虫 |
未处理 |
4 |
重庆市两江职业教育中心 |
172.6.50.1
|
Ramnit 蠕虫 |
未处理 |
2、事件危害;
窃取敏感信息,比如银行用户名和密码,也可以被黑客用于访问和控制被感染主机,并阻止安全软件运行。
3、处理建议:
(1)确认该主机是否为 DNS 服务器或域控服务器(DNS 代理),如果是请将该主机 IP 添加到失陷主机白名单即可;
(2)推荐使用卡巴斯基专杀工具:http://edr.sangfor.com.cn/tool/FxRamnit.exe
(3)如以上查杀不出来,可使用深信服 EDR 专杀工具进行病毒查杀:
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
(4)如以上推荐工具查杀不出来,可使用第三方杀毒工具进行查杀;
四、主机访问了暗云木马通信域名
1、风险主机(共1个)
序号 |
学校 |
主机IP |
关键风险 |
处理状态 |
1 |
重庆市江北区玉带山小学校 |
172.39.2.49
|
暗云木马 |
未处理 |
2、事件危害;
主机很可能已被黑客控制,沦为肉鸡对互联网上的其他单位发起 DDoS 攻击,存在违反网络安全法,遭致网信办、网安等监管单位的通报处罚的风险。
3、处理建议:
1、安天专杀:
(1)使用 PE 镜像方式启动操作系统(推荐使用大白菜作 PE 工具,此处不再赘述);
(2)在 WinPE 启动环境下,运行安天 RainbowDay(暗云Ⅲ)专杀工具,并点击“开始排查”按钮。当显示发现 MBR 被“暗云Ⅲ”修改后,提示是否修复,点击“确定”按钮开始修复;
(3)扫描完毕后点击“威胁清除”按钮,清除检测到的“暗云Ⅲ”恶意代码;
(4)重新启动操作系统,结束修复
对应下载地址:
http://down.laomaotao.net:90/LaoMaoTao_v9.5_1808.zip
http://edr.sangfor.com.cn/tool/rainbowday.zip
2、深度格式化后重装系统
将中毒主机硬盘拆卸下来,挂载到干净系统中,进行全盘深度格式化处理,最后才重装系统。此方法干净、彻底,记得把需要的文档资料备份出来即可。
五、终端威胁(排名前10)
序号 |
学校 |
主机IP |
关键风险 |
处理状态 |
1 |
重庆市字水中学校(东区) |
172.0.6.63 |
勒索病毒、WannaCry |
未处理 |
2 |
重庆江北新村同创国际小学 |
172.70.11.2 |
勒索病毒、WannaCry |
未处理 |
3 |
重庆市第十八中学(观音桥校区) |
172.12.1.30 |
勒索病毒、WannaCry |
未处理 |
4 |
重庆市第十八中学(铁山坪校区) |
172.53.3.4 |
勒索病毒、WannaCry |
未处理 |
5 |
重庆市字水中学校(东区) |
172.0.6.75 |
勒索病毒、WannaCry |
未处理 |
6 |
重庆市江北区寸滩实验学校 |
172.60.4.126 |
勒索病毒、WannaCry |
未处理 |
7 |
重庆市江北区寸滩实验学校 |
172.60.4.69 |
勒索病毒、WannaCry |
未处理 |
8 |
重庆市第十八中学(观音桥校区) |
172.12.1.74 |
勒索病毒、WannaCry |
未处理 |
9 |
重庆市字水中学校(东区) |
172.0.6.11 |
勒索病毒、WannaCry |
未处理 |
10 |
重庆十八中两江实验中学 |
172.64.16.166 |
勒索病毒、WannaCry |
未处理 |
通知原文下载:1622452425.docx