วันอังคารที่ 15 กันยายน 2552 สำนักวิทยบริการและเทคโนโลยีสารสนเทศ ได้ทำการตรวจสอบแพ็คเก็จที่ถูกส่งจากเขตพื้นที่ ปรากฏว่า มีแพ็คเก็จจำพวก ไวรัส จำนวนมาก จึงได้สั่งกักกันที่ซอฟต์แวร์ OmniVista ของแต่ละเขตพื้นที่ เพื่อความรวดเร็ว จึงขอให้ผู้ดูแลของแต่ละเขตพื้นที่ ทำการตรวจสอบ หมายเลข IP Address และ MAC Address ที่ถูกกักกัน ในเบื้องต้นให้ตรวจสอบโดยการสั่งสแกนด้วยซอฟต์แวร์ Antivirus ที่ถนัด หรือมีอยู่ปร...[Read More]
virus
วันจันทร์ที่ 14 กันยายน 2552 ระบบเครือข่ายมีอาการ อัพ/ดาวน์ บ่อยครั้ง และมีแพ็คเก็จรบกวนระบบเครือข่ายจำนวนมาก จนทำให้ Core Switch 9700 ไม่ตอบสนองการเรียกใช้งาน จากการตรวจสอบถึงแหล่งที่มาของไวรัส มีดังนี้ 1. อาคารศึกษาทั่วไป 2. เจ็ดยอด 3. แผนกวิชาไฟฟ้า 4. แผนกวิชาเครื่องกล 5. แผนกวิชาสถาปัตยกรรม เบื้องต้นพบการแพร่กระจายรวมกัน รวม 6 เครื่อง แต่ละเครื่องมีการร้องขอ arp อย่างผิดปกติ และส่งข้อมูลผ่านพอ...[Read More]
แม้ว่าข่าวคราวของ Conficker จะเงียบ ๆ ไปบ้างแล้ว แต่จากสถิติ ที่ยังพบอย่างต่อเนื่อง ทำให้เชื่อได้ว่า มันยังไม่ตายไปจากโลกไอที แต่เป้าหมายตอนนี้ น่าจะเป็น คอมพิวเตอร์แม่ข่ายที่ติดตั้งระบบปฏิบัติการเข้าไปใหม่ และยังไม่มีการอัพเดทแพทซ์ตามที่ได้แจ้งไว้ก่อนหน้านี้ ทำให้เครื่องเหล่านั้น กลายเป็นแหล่งกบดานอย่างดี และหากมีจำนวนเครื่องที่ติด conficker มากพอแล้ว แน่นอน ว่า ระบบเครือข่ายโดยรวม ก็คงจะรับมือไม...[Read More]
ได้รับแจ้งจากเขตพื้นที่น่าน ว่าการเรียกใช้งานระบบอินเตอร์เน็ตช้าเป็นอย่างมาก ส่งผลกระทบต่อการใช้งาน รวมไปถึงระบบการเงิน ที่ต้องเชื่อมต่อเครือข่าย จึงได้ตรวจสอบเบื้องต้น พบว่า มีการ Broadcast จากเครื่องลูกข่ายจำนวนมาก อีกทั้งยังมีแนวโน้มที่จะมี Loop ในระบบเครือข่าย แต่เนื่องจาก อาจารย์ผู้ดูแลระบบเครือข่าย ติดภาระงานสอน จึงทำให้การประสานงาน ไม่ต่อเนื่อง หากมีความคืบหน้าจะแจ้งให้ทราบต่อไป
วันพฤหัสบดีที่ 23 กรกฏาคม 2552 เวลา 17.30 น. ที่อิเล็กทรอนิกส์ (Node2 เชียงใหม่) มีการแจ้งจากสมาชิกผู้ใช้บริการว่า มีการบรอดแคสและการส่งแพ็คเก็จจำนวนมาก มาสู่เครื่องคอมพิวเตอร์ลูกข่ายของสมาชิก ซึ่งสามารถจับแพ็คเก็จจาก Ethereal พบว่ามีการส่งข้อมูลผ่านพอร์ต 139 และ 445 จากไอพีที่หลากหลาย ทางทีมงานจึงได้ตรวจสอบกับ Switching ที่ Node2 พบว่าการแจ้งเตือนการชนของไอพี gate way ดังนี้ THU JUL 23 15:26:43 ...[Read More]
ช่วง 2 สัปดาห์ที่ผ่านมา ที่บริหารธุรกิจ (Node1 เชียงใหม่) มีการแจ้งจากสมาชิกผู้ใช้บริการว่า ใช้งานระบบเครือข่ายไม่ได้ หรือมีอาการติด ๆ ดับ ๆ อยู่ตลอดเวลา จากการตรวจสอบพบว่า ที่ Switching มี log บอกว่า THU JUL 02 08:46:43 IP(15) Data: 1/0 duplicate IP address 10.1.4.x from port 1/16 eth addr 001c25:3e4c90 และมีพฤติกรรมสม่ำเสมอ คือจะเกิดขึ้นทุก ๆ 30 วินาที จึงได้ตรวจสอบย้อนกลับถึงการร้องขอไอพีแอดเดร...[Read More]
ก่อนนี้ ได้เคยแจ้งเกี่ยวกับการระบาดของไวรัส Kido , Conficker ของเครื่องแม่ข่าย พร้อมทั้งวิธีการกำจัดไวรัสไปแล้วนั้น ขณะนี้พบว่า มีการแพร่กระจายของไวรัส Kido , Conficker ที่เครื่องลูกข่าย และมีแนวโน้มที่จะสูงขึ้นเรื่อย ๆ สำนักวิทยบริการและเทคโนโลยีสารสนเทศจึงขอแจ้งให้สมาชิกทุกท่านร่วมมือกำจัดไวรัส โดยทำตามขั้นตอนดังที่เคยได้แจ้งก่อนหน้านี้ สำหรับครั้งนี้ทีมงานได้รวบรวมซอร์ฟแวร์และอัพเดทแพท ของระบบป...[Read More]
ชื่อที่คุ้นหู Conficker , Downandup , Kido เป็นหนอนที่แพร่กระจายตัวเองโดยโจมตีผ่านช่องโหว่ Windows Server service (SVCHOST.EXE) ของระบบปฏิบัติการไมโครซอฟท์วินโดว์ รายละเอียดติดตามได้ที่ http://www.thaicert.nectec.or.th/advisory/alert/conficker_r.php เมื่อติดหนอนชนิดนี้แล้ว สิ่งที่เกิดขึ้นคือ เครื่องแม่ข่ายที่ทำหน้าที่เป็นโดเม็น จะเกิดภาวะ Over Load คือ ไม่สามารถรองรับการเรียกใช้งานของเครื่องลูกข่า...[Read More]