::: 您的位置:首頁 > 最新公告.友善列印,開新視窗
  最新公告  
     
 

最新公告

賽博士無障礙網站管理系統2.0plus以及3.0因遭受駭客攻擊,攻擊的方式為「網頁竄改(Web defacement)」,利用系統中的Fckeditor編輯功能模組上傳未經授權的檔案到站台,造成站台資訊安全方面的疑慮。此攻擊方式主要是造成污染,並不會導致網站資料外洩或其他更進一步的危害。只要跟著以下3SOP步驟,就能安全阻擋此次的攻擊。

 

Fckeditor 資安處理SOP

一、 建立防範 :

1. 手動將受到的污染清除。

請於D:\Inetpub\NetRhythm30\SiteServer目錄及子目錄下,檢查是否有 d.htmlzz.aspims.cer等非法關鍵字。

註:因每台主機設定目錄名稱或有所差異,若您的電腦目錄顯示以下名稱皆可進入:NetRhythmNetRhythm2NetRhythm2plusNetRhythm30

2. 請確認檢查以下路徑是否有下列非法檔案:

I.        D:\Inetpub\NetRhythm30\SiteServer\WYSIWYG\editor\filemanager\connectors\asp\pic\ims.cer/ ims.csr(為存放路徑於上述目錄下)。

II.      D:\Inetpub\NetRhythm30\SiteServer\WYSIWYG\editor\filemanager\connectors\asp\pic\zz.asp

III.    D:\Inetpub\NetRhythm30\SiteServer\d.html(分佈於SiteServer的主目錄及次目錄下)。

 

二、 請執行賽博士網頁更新包

更新版本內容說明:

I.        此更新包版本是針對消息發布錯誤問題進行修改。

II.      此更新包專為2.0plus以及3.0最新版本進行更新原則上不影響客製化功能。

III.    點選更新包內容請先選擇批次檔,執行安裝更新包時候速度會顯示較慢,這是正常現象,因為系統在執行非法檔案及舊有模組的刪除,請您耐心等候系統更新安裝路徑位置出現。

更新包連結網址如下:

https://goo.gl/0kghYV

 

 

三、調整系統IIS設定

作法如下:

1. 請進入IIS管理員中的錯誤網頁

 

2. 選取右側404網頁編輯功能設定

 

 

3. 為了避免使用者在瀏覽者無頁面時顯示本機路徑,請調整「路徑類型」為檔案。

 

 

4. IIS管理員中選取MIME類型

 

 

5. 移除MIME類型副檔名.cer.crt的檔案

 

最後,請將windows元件更新到最新版本;同時安裝掃毒軟體並定時更新病毒碼。

 

網站是否真的安全了?

完成以上2.0plus以及3.0最新版本更新以及漏洞防堵的動作之後,網站安全狀態將可提升。不過,WinServer+IIS+ASP的組合未來風險仍高,這是由於微軟早在2008(甚至更早)就宣布終止支援ASP,所造成邏輯上的漏洞導致一般的漏洞掃描程式仍無法偵測,若持續在此環境上運行系統仍可能面臨到未知的資訊安全風險。

 

終止支援意味著什麼?

終止支援是指在該終止日之後,不再針對該版本進行功能改進、問題修正及安全性改新。

l  資安風險 : 終止支援後,微軟不再提供資訊安全修補程式和 Hotfix,伺服器及應用程式很容易遭受資訊安全威脅並造成停機時間。

l  成本提升 : 不再有任何付費或免費的協助支援選項,伺服器及應用程式維護費用將快速高漲。

l  法規風險 : 不符合法規與政策,可能導致信用評等降低、認證不通過,例如SSAE 16ISO 27001等。

 

升級SiteServer 4.0的好處是?

新版SiteServer 4.0採用全新Linux+PHP架構設計,更優於舊版SiteServer 2.03.0採用WinServer+IIS+ASP語言的架構,以下比較表讓您快速了解其中優缺點:

 

  舊版
​SiteServer
新版
​SiteServer
支援行動裝置 不友善 全網站RWD
安全性的差異 ASP微軟宣布停止支援 PHP已更新至7.1
維護便利性 版本多,備份需專業 自動更新,複製備份即可
所見即所得的管理 內容、版面 需切換設置 內容、版面 可同步編輯
無障礙2.0規範 不支持
整合型的入口網站設計 導入認證服務

網韻資訊為顧及廣大客戶的利益,針對未採用新版SiteServer4.0的老客戶提供最優惠的升級方案,從而在根本上解決未來資訊安全上的疑慮,歡迎您跟我們聯繫,我們將竭誠為您服務!

 

 

TEL:(03357-9080

33045 桃園市桃園區同德六街894