又來個駭客暴力 try 帳號密碼

這年頭要當 MIS
很麻煩的一件事就是常常遇到不明閒雜人等
用機器人來測試信箱帳號密碼


這實在是相當惱人的
尤其當郵件系統跟Micro$fot有連動關係
這邊的連動不單純指說使用Microsfot 的 Exchange server
有另外的連動方式
會導致同仁的 Active Directory鎖定






鎖定後會發生何事呢??
基本上大家都會有碰到的機會
就是電腦無法登入
或者是outlook 無法收信這些有的沒的
又或者網路檔案伺服器無法連線
更猛的連網路都鎖起來


這年頭每個公司單位少則幾十台
多則上千台電腦
基本上如果沒有導入微軟的 Active Directory 系統
大家想想看
光是檔案伺服器的權限設定
保證想了就頭皮發麻囉
(假設檔案伺服器有5台.....新進一個同仁就要設定5台檔案伺服器.....
萬一有人離職....)


這個AD鎖定問題上次也遇到過
好在後來發現了
被我處理掉了
這是一個 long story了....


上次那個方法被我block住後
這次駭客不知道哪裡發現我的真正 mail daemon本尊
(沒錯 ~~ 我的mail server 沒有"公佈"在網路上
信件接收都要透過 SPAM server 再轉給 mail daemon
結果沒有找 SPAM server 開刀
竟然直接殺到 mail daemon來....


公司內有使用入侵防禦系統
可以看到有許多人在測試帳號
IPS 就算無法做到有效防禦
至少可以看到來源IP還有所要嘗試的服務


透過防火牆可以清楚看到來源IP還有要暴力破解的主機和服務
有來自荷蘭的
也有來自新加坡的

遇到駭客最麻煩就是找root cause 了
有了 root cause 後
通常找solution就簡單多了
就好像生病要找醫生看診一樣
人要是知道生甚麼病
直接到藥房買藥就可以了
還要醫生幹嘛呢
價值在於診斷阿!!


這些機器人大部分都是直接連到 POP3 協定
好啊
既然公司內沒有開放POP3的服務對外
先就把 POP3及 POP3S的服務阻擋起來

當MIS的難處就是這樣
不可以阻擋過多
也不可以都不阻擋
這年頭一個意外上新聞
可不是鬧著玩的

有更好的方法歡迎大家給我建議