網路安全　人人有責（計資中心網路組／李美雯）

一、引言

網際網路(Internet)的快速發展帶動了使用網際網路的人數日益增加，隨著本校校園網路硬體設備之更新、對外頻寬之擴增，大幅提昇了校園網路資料的傳輸速度。但是從另一方面來說，正因為網路傳輸速度快，發動網路攻擊效果顯著，也很容易成為駭客(hacker)攻擊或入侵的目標。加上大部分使用者並非電腦相關科系出身，對電腦系統的管理知識不夠，經常造成校內個人電腦中毒或被入侵，成為發送廣告信的禍首、發送攻擊封包影響區域網路的速度、或者成為下一站攻擊的前進跳板，除此之外，還容易被植入後門程式或木馬程式，駭客從遠端遙控入侵主機，除了可竊取主機中的資料，還可以監聽使用者鍵盤輸入的所有資訊。我們在此誠心呼籲全校使用者，務必加強個人電腦安全管理的能力，除了不被駭客利用之外，更重要的是保護個人的機密資料不外洩。一般使用者應隨時注意系統漏洞的訊息並儘快完成系統更新的工作，同時培養正確的電腦使用習慣。伺服器的管理者更應該妥善維護與管理電腦系統，即時做好系統漏洞之補強工作。最近幾年出現的病蟲，不單只是影響中毒主機的運作，還會影響整個區域網路甚至校園網路的網路傳輸速度，造成許多使用者無法正常使用網路。民國90年7月份的CodeRed病蟲肆虐、以及民國92年1月份的SQL Slammer病蟲造成網路頻寬壅塞，伺服器當機，甚至一些低階的路由器(router)當機。民國92年8月份的疾風病蟲造成區域網路壅塞，使用者抱怨連連。綜觀這幾次影響力大的網路安全事件，都因多數使用者未即時安裝Windows系統修正程式所導致的。近年也陸續發現政府、學校與民間企業被駭客植入後門程式或木馬程式。民國92年9月份國家資訊通報單位發現國內政府和民間眾多單位遭到中國網軍有計劃的安裝後門程式。民國93年5月份偵九隊破獲國內企業電腦遭駭客大規模入侵植入木馬案，初步檢查後證實國內數百台受害企業（含金融、科技、網路、資訊及模具零件等傳統行業）、學校或個人電腦已大規模遭駭客入侵，並遭植入多種惡意木馬程式，電腦檔案內容，甚至整個資料庫或帳號密碼均被竊走。當上述事件一公佈時，我們立刻將該後門程式或木馬程式檢查與移除的方法以email通知系所單位與宿舍網管人員，請網管人員儘快通知使用者進行檢測，同時也在『台大資通安全服務小組』網頁上公佈相關訊息。校內絕大多數的使用者都是使用Windows系統，所以本文所探討的議題也是以Windows系統為主。

二、管理個人電腦的建議

安裝台大簽訂的全校版防毒軟體

請全校使用者一定要安裝防毒軟體。如個人主機沒有安裝隨機版的防毒軟體，或者隨機版的防毒軟體已經過期，請安裝台大簽訂的全校版防毒軟體。使用台大計資中心email帳號到http://download.cc.ntu.edu.tw下載防毒軟體。安裝防毒軟體之前必須先移除原先舊的防毒軟體，安裝成功之後，立刻利用live update功能上網更新病毒碼。日後也需要經常更新病毒碼，如果主機保持全天開機，也可以設定工作排程，於每天的某一時間連上防毒公司下載最新病毒碼。

更新Windows修正程式

這幾年以來，駭客多半是利用微軟公司Windows系統的漏洞，入侵有系統漏洞的主機，進行破壞或攻擊其他主機的動作。駭客製造電腦病毒的速度是愈來愈快了，所以當微軟公司公佈系統漏洞時，使用者應該儘快更新Windows修正程式，否則就得面臨電腦將來可能出現病毒攻擊的風險。使用者可以利用Windows系統的Windows Update功能更新修正程式，自動掃描更新項目，使用者最迫切需要執行的是『重大更新和Service Pack』，至於其他的系統更新以及驅動程式的更新，則視使用者的個別需求判斷是否要執行更新。詳細步驟請參考http://cert.ntu.edu.tw/security/windows.htm。使用者也可以連結到Windows Update網址更新修正程式。http://v4.windowsupdate.microsoft.com/zhtw/default.asp

注意系統漏洞與病毒的最新消息

請使用者經常瀏覽計資中心網路組成立的『台大資通安全服務小組』網站http://cert.ntu.edu.tw。我們的網站提供最新的病毒或漏洞訊息，並將相關資訊整理成簡單易懂的資料提供給使用者參考。除此之外，網站還提供了幾項重要訊息:1.中毒或違規主機名單:使用者使用簡單的查詢功能即可得知個人主機是否因中毒或其他原因被限制網路使用。2.網路安全討論區:提供一個園地讓使用者可以交換網路安全方面的訊息。3.維護主機安全的建議事項以及重要網站的連結。

設定使用者的帳號與密碼

使用者的主機必須設定登入的帳號與密碼(意思是，當使用者完成開機動作後，需要輸入使用者的帳號與密碼才能使用電腦)，否則非常容易被駭客入侵破壞系統資料或植入後門程式，整台主機缺少第一道安全防線，就算安裝防毒軟體，也無法防範駭客的入侵動作。如果設定好主機的登入帳號與密碼，還需要將主機預設的Administrator帳號更改為其他名稱，以防駭客利用工具破解密碼。密碼長度至少8個字元以上，其間夾雜數字或特別符號為佳。如何設定使用者的帳好與密碼，詳細步驟請參考 http://cert.ntu.edu.tw/security/windows.htm。

設定Windows檔案資料夾共用的權限

許多使用者習慣開啟主機上檔案資料夾的共用權限，方便其他使用者可以存取檔案，一旦被有心人士發現後，會在共用的檔案資料夾中放入後門程式或木馬程式，進而遠端控制該主機。除此之外，許多病蟲也利用網路芳鄰分享資料夾散播病毒檔案。請使用者盡量不開啟檔案資料夾的共用，如果一定要開啟檔案資料夾的共用功能，也必須做到檢測登入者的帳號與密碼。當其他使用者取得了共享的檔案之後，應該立即關閉該資料夾的共用功能。如何設定檔案資料夾共用的權限，詳細步驟請參考http://cert.ntu.edu.tw/security/windows.htm。

不隨意開啟郵件的附加檔(如. bat, .com, .cmd, .exe, .pif, .scr, .zip…)，並且關閉郵件預覽功能

病毒信件藉著使用者開啟含有病蟲的附加檔散播病蟲。早期病毒信件以 . bat, .com, .cmd, .exe 附加檔的檔案類型居多，現在病毒信件的檔案類型甚至出現了壓縮檔，實在讓人防不慎防。請使用者不要隨意開啟郵件的附加檔，即使寄件者是認識的人，也有可能是病毒信所假造的，初步判斷請參考下一小節的說明。有些病毒信沒有附加檔，而是利用瀏覽器的系統漏洞，當使用者的郵件預覽功能開啟時，一點選病毒信隨即帶出瀏覽器，連結到某個特定網頁，隨即下載病毒檔案到系統內。請使用者關閉郵件的預覽功能，詳細步驟請參考http://cert.ntu.edu.tw/security/windows.htm。

不可從郵件寄件者名稱判斷郵件的安全性

早期我們建議使用者不開啟來歷不明郵件的附加檔，但是近期出現的病毒信寄件者卻都是我們所認識的，實在讓人很難判斷，也增加了人與人之間的不信任感。病毒郵件喜好假造寄件者，目的是讓收信者疏於防備，所以中毒主機的郵件通訊錄也最常被用來假造病毒信的寄件者。如果我們的email address被假造成病毒信的寄件者，常會接到一些mail server的病毒通知，也給使用者帶來不少的困擾，如果每天接到的病毒通知不超過六，七封的話，應該可以不必擔心。至於如何得知病毒信的真正來源，使用者可以從郵件mail header中寄件者的IP address來判斷。詳細步驟請參考 http://cert.ntu.edu.tw/security/windows.htm。

不安裝來歷不明有版權的軟體

當許多使用者需要用到某些軟體是要花錢購買時，很可能到internet上尋找可以免費下載的網站，也很可能以低廉的價錢購買軟體大補帖。取得這些不用錢或者是低廉的軟體所需付出的代價就是，有些後門程式或木馬程式隨著軟體的安裝，也被植入在主機中而不自知。

切勿安裝不信任網站(無公信力網站)的憑證

有時候使用者進入某些網站時，會看到一個要求使用者安裝該網站提供的憑證，許多人的習慣會選擇同意安裝憑證。原則上，對於具有公信力的網站所提出的憑證，如台大計資中心、微軟公司、Yahoo、kimo..等網站，使用者是可以同意安裝該網站提供的憑證。如果不小心安裝了不具公信力網站的憑證時，很可能被植入後門程式或木馬程式。說實在的，如果選擇不安裝憑證，許多網站還是可以瀏覽網頁內容的，所以建議使用者還是小心為上策。

檢視主機是否增加不認識的使用者帳號

相信絕大多數的使用者，使用電腦數年也不曾檢查過主機中的使用者帳號。許多駭客透過各種方式入侵主機之後，除了置放後門程式或木馬程式之外，還會建立一個具有Administrator相同權限的帳號，接下來就神不知鬼不覺地從遠端登入該主機，成了合法的使用者之後，主機中的所有資料都一纜無遺了。建議使用者養成偶爾檢視主機使用者帳號的習慣。除此之外，也建議停用系統的內建帳號，如guest帳號。詳細步驟請參考http://cert.ntu.edu.tw/security/windows.htm。

區域連線圖示(icon)無緣無故快速閃爍，並且網路連線速度降低

如果使用者並未連接網頁也未傳輸資料，卻發現電腦右下角的區域連線圖示無緣無故快速閃爍，並且網路連線速度降低，建議立刻將網路線拔除，進行檢查工作。也許是主機中毒正在發送病毒信，也可能主機中有不正常的process正在執行，並且與其他主機進行資料傳輸。

檢視是否被植入後門程式或木馬程式

許多使用者自己並未發廣告信(SPAM)、也沒有scan他人主機、更沒有發動阻斷式攻擊，可是卻接獲校外人士的檢舉或抱怨。這種情形發生時，大部分使用者會以防毒軟體做全機掃描，有時候可以掃描出後門程式或木馬程式，但是有時候卻無任何結果。遇到這種情況時，建議Windows使用者利用免費工具檢查主機上是否有不正常的process正在執行，例如，Active ports、fport都是不錯的檢查工具。詳細步驟請參考 http://cert.ntu.edu.tw/security/windows.htm。當使用者檢視檢查工具列出主機中正在執行的process時，馬上會有人想問的問題是，我又不是Windows的專家，我怎麼知道哪些process是正常的，哪些process是可疑的呢?建議大家可以將process名稱輸入到網頁搜尋引擎(例如http://www.google.com)。如果搜尋結果是Windows系統的process就不用擔心，如果找不到或者找到是惡意程式的話，請至該程式的所在檔案夾中刪除該執行檔。有時候使用者會遇到程式正在執行無法刪除的情況，可以啟動「工作管理員」(按CTRL+ALT+DELETE鍵)，從「處理程序」中結束該處理程序。如果還是無法刪除該執行檔，就需要從安全模式開機，再將該執行檔刪除。

養成電腦開機好習慣(病毒發作期間的建議)

電腦一開機先不要急著上網收信或瀏覽網頁，應該先連到微軟網站http://v4.windowsupdate.microsoft.com/zhtw/default.asp 檢視是否有新的Windows更新程式，其次是更新病毒碼，重新開機一次，進行全機掃瞄。

定期做好個人資料備份

建議使用者定期做資料備份。在安裝新電腦時，建議將系統檔案與資料分開存放，也就是將硬碟分割成兩部分(如C碟與D碟)，系統程式安裝在C碟，個人資料放在D碟。每個月定期將個人資料(D碟)於其他主機上做備份，如果不幸因中毒造成資料毀損時還可補救。

妥善管理伺服器

伺服器的管理者應該只開啟該伺服器所需要的服務，請關閉其他不使用的服務，因為伺服器服務開得越多，被入侵的機會也就越大。有些伺服器的管理者以為安裝好Windows Update的修復程式，伺服器的漏洞就補齊了，其實不然。伺服器必須為提供的service單獨安裝修正程式，例如，架設SQL server，IIS(Internet Information Services)或其他server，必須為該service另外安裝修正程式。如果伺服器提供SMTP Service，必須設限某些信任的IP範圍才可透過該server轉信，否則非常容易被利用發送廣告信。

三、中毒處理

當使用者發現(或被通知)主機中毒了，應該立刻上網更新病毒碼，拔除網路線，進行全機掃描。有時候當使用者發現中毒時，已安裝的防毒軟體卻無法啟動也無法更新病毒碼，建議使用趨勢公司與賽門鐵克公司提供的線上掃描:http://housecall.trendmicro.com/http://security.symantec.com/default.asp?productid=symhome&langid=tw&venid=sym 如果線上掃描效果不好，也可以使用趨勢公司的System Cleaner，掃描並結束記憶體中所有的惡意程式，將惡意程式從registry entries以及系統檔裡移除，最後還會掃描並刪除所有硬碟裡的惡意程式。使用者必須到趨勢公司下載免費的單機版掃毒程式以及最新病毒碼，這兩個檔案必須放在同一個目錄下才可以開始執行。http://www.trendmicro.com/ftp/products/tsc/sysclean.com　http://www.trendmicro.com/download/zh-tw/pattern.asp　在執行掃毒工具之前，請先拔除網路線，再進行全機掃描。有些病蟲會對使用者的IE動手腳，讓使用者無法連接到賽門鐵克公司與趨勢公司的網頁，當然就無法更新病毒碼及下載掃毒工具。此時，使用者可以使用其他不錯的防毒軟體，例如Mcafee VirusScan ( http://www.nai.com/ )，Kaspersky Lab ( http://www.avp.ch/ )，F-Secure Anti-Virus (http://www.f-secure.com/ )。當防毒軟體掃到病毒或病蟲之後，可以插上網路線，進行Windows Update工作。切記!系統更新完成之後，使用防毒軟體再次全機掃描，因為很可能連上網路之後再度中毒。如果防毒軟體掃不到病毒或病蟲時，請檢查一下是否被植入後門程式或木馬程式，如果很不幸，還是無法找到，很可能被植入隱藏式的木馬程式，這是非常難處理的情況，可能只有重灌系統了。重灌系統事小，但是為了上網做Windows Update，卻非常容易被病蟲感染，在此提供使用者一個解決的方法。重灌系統建議步驟:1. 拔除網路線，重灌系統。2. 透過其他主機上網下載(如果是ADSL用戶建議在學校先下載)必做的安全性修復程式 (可在http://cert.ntu.edu.tw/MSpack.php網頁中取得)。3. 以行動碟複製修復程式到重灌系統的主機上，待主機安裝好必做的安全修復程式後，再連到微軟網站http://v4.windowsupdate.microsoft.com/zhtw/default.asp做完整的Windows Update。最後談一下本校使用者遇到的寶貴經驗，有關防毒軟體更新病毒碼遇到的問題。明明確定已經把病毒清除，但防毒軟體還是無法進行更新。解決之道，將原本安裝的防毒軟體解除安裝，重新開機之後再安裝一次就可以了。如果還是沒有成功的話，將防毒軟體再次解除安裝，將防毒軟體相關的程式（如Norton會有Liveupdate, Livereg等）全部移除，再將防毒軟體使用到的資料夾全部移除，重新開機之後再安裝一次就應該可以了。如果還是有問題的話，XP的使用者可嘗試用系統還原，還原到沒被感染時的系統。

（四） 違規事件處理流程當發現校內主機中毒、發廣告信、掃描以及攻擊他人主機等違規事件時，我們的處理流程如下:一.在校內路由器上封鎖該IP的網路連線，並公佈該IP的違規原因於『台大資通安全服務小組』網頁。二.立即以電子郵件通知該系所單位或宿舍的網管人員協助處理，請網管人員要求違規IP使用者儘速解決問題，並回報處理狀況。三.網管回覆處理狀況並確定問題已經解決，方解除對該IP之網路封鎖。台大已建立了兩個電子郵件信箱(abuse@ntu.edu.tw, security@ntu.edu.tw )接收來自國內外的相關反應或電子郵件信箱，一接獲網路違規事件通知，我們會依照違規事件處理流程辦理，限制網路使用並請網管人員協助處理。

（五） 結語文章寫至此，不知道讀者感受如何?也許是『如人飲水冷暖自知』。希望本文對使用者平常維護個人主機有所助益，如果不幸主機中病毒(蟲)或被入侵，本文也提供了初步的處理建議。如果校內使用者還有其他網路安全方面的問題，或者對我們的『台大資通安全服務小組』網站有任何建議，都歡迎email給security@ntu.edu.tw。本文所探討的議題是以Windows系統為主，日後計劃整理維護Unix系統方面的相關資訊，屆時再提供給校內使用者參考。