当前位置: 安全纵横 > 安全公告

一周安全动态(2011年03月31日-2011年04月07日)

来源:安恒信息 日期:2011-03

2011年4月第一周(03.31-04.07)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象,需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 中央国债网站遭遇攻击 大量债券资料无法访问

近日,有债券市场交易员反映,中央国债登记结算公司旗下中国债券信息网原域名www.chinabond.com.cn无法访问。

对此,中央国债公司发布情况通知说,自2011年3月21日中午开始,中央国债公司中国债券信息网持续受到拒绝服务的攻击,导致www.chinabond.com.cn域名无法正常访问。

由于中央国债公司承担国债和国内其他债券的统一登记、托管和结算职能,其网站上提供包括债券发行、债券收益率曲线等大量债券资料和信息,其网站无法访问,令一些业内人士颇感不便。

中央国债公司人士表示,目前正在协同主管机关、电信运营商共同处理。在此期间,可直接通过IP地址http://202.108.90.29/d2s/index.html访问中国债券信息网。中央国债公司同时也通过其客户端向业界发布了相关情况通知。

1.2 政府网站遭黑客攻击背后“产业链”

 


济南市公安局成功侦破一起新型制售假证大案。犯罪分子采取黑客攻击手段,入侵国家级教育网站和多所高校网站,篡改数据后大肆制作和销售假学历、假证书。(资料图片/来源:北京日报)

新华网北京3月30日电(“新华视点”记者 李京华)范东东、文超两名仅有初中学历的90后,因非法侵入最高人民检察院反渎职侵权厅网站后台、非法控制长沙质量技术监督局等十多家政府网站,构成非法侵入计算机信息系统罪、非法控制计算机信息系统罪,最近被北京市朝阳区法院一审分别判处有期徒刑1年6个月和1年。

朝阳区法院法官辛祖国告诉记者,此案绝不是个案。据国家互联网应急中心的监测报告显示,2010年5月10日至16日仅一周,中国境内就有81个政府网站被篡改,其中包括4个省部级网站,还有25个地市级政府网站。

记者了解到,黑客之所以频繁入侵政府网站,原因之一是利用政府网站漏洞进行非法营利,并已经形成黑客非法牟利“产业链”。

给政府网站挂“黑链”赚钱

今年20岁的范东东,初中文化,新疆维吾尔自治区乌鲁木齐人;今年20岁的文超,初中文化,四川省江油市人。这两人于2010年3月至5月间,在河南省郑州市用计算机上互联网,通过后门程序,先后进入最高人民检察院反渎职侵权厅网站、长沙质量技术监督局、青海质量监督总站、抚顺政务公开网、佛山市高明区档案局、云南楚雄州人大常委会等数家网站后台更改网页源代码,为其他网站提升搜索排名率,达到牟取利益的目的。后公安机关接群众举报,将二人查获归案。

范东东和文超虽然没学过计算机编程,但在一次QQ群聊天时,得知给被破解的政府网站挂“黑链”可以赚钱,二人通过“52CC”网站上的教学视频学习了简单编程知识。通过“A5论坛”、 “中国站长论坛”等论坛购买上述网站“权限”。

“网站"权限"10元一个,黑链代码4元至7元一个,都是通过网上买的,自己不会做。”范东东供述说,使用购买的“权限”登录上述网站后,植入在网上购买的后门程序设定属于自己的“权限”,便于随时登录为“客户”添加黑链。

文超则在网络论坛、聊天群等地方发布能添加黑链的帖子以招揽“客户”,并明码标价“添加一条黑链代码收费4元至7元”。范东东将“客户”提供的关键词如“传奇私服”、“汽车交易”、“美国留学”等添加到黑链代码中,登录上述政府网站添加黑链并进行日常的维护,“客户”可以使用“站长帮手网”里的管理工具,查看某网站是否有其网站的链接。攻击政府网站3个月间,两人共获利6000元。

考察上述二人的犯罪过程,花钱购买网站“权限”并控制、购买黑客工具——网上做广告招揽“客户”——添加黑链代码并维护——通过银行电汇方式收费,一条清晰的非法牟利线路浮现出来。在上述攻击政府网站的过程中,并没有看见高超的黑客技术,更多的是买卖交易。

黑客入侵政府网站的两个步骤

记者了解到,黑客入侵政府网站有两个步骤。第一步,破解并控制政府网站,即“拿站”。第二步,登录“后门”实施黑客攻击、实现非法营利。

其中,第一步“拿站”一般分四个步骤:

一、熟悉网站、收集信息。先大致浏览入侵网站的相关网页,查看入侵网站网页的内容、设计布局等信息,借助网络输入网站的域名,查询域名注册的详细信息。

二、寻找漏洞、破解密码。技术较高的黑客通常利用自己编写的黑客工具查找网站的安全漏洞,利用漏洞破解网站后台管理员的用户名和密码。

三、查找入口、侵入网站。在破解密码的基础上,查找管理员登录入口。

四、植入后门、控制网站。在登录网站管理后台之后,黑客都会植入木马后门程序,如同管理员一样,修改网页、下载、上传、删除文件等等。

第二步,登录“后门”实施黑客攻击、实现非法营利。通过第一步破解的网站,黑客会通过网络向外贩卖,业内称“卖漏洞”、卖服务器“权限”,一般均价10元就可以买到一个服务器“权限”。

拥有服务器“权限”,就可以登录网站服务器后台管理系统,常采用以下三种方式实施黑客攻击:

一、种木马病毒(圈内称“挂马”)、卖流量。“挂马”对象为有一定浏览量且有安全漏洞的网站。黑客将木马病毒植入政府网站,网民点击该网站的时候,就可能使网民的计算机终端中木马病毒,感染木马病毒的计算机内的银行账号、游戏账号密码、QQ号码、视频照片等信息就会被木马程序的远程控制者偷走,业内称感染木马病毒的计算机为“肉鸡”,种植木马程序的黑客通常根据下载或点击木马病毒产生的流量计费,称为卖流量。利用数量庞大的“肉鸡”组成的“僵尸网络”可以实施网络攻击,导致被访问的网站瘫痪。

二、植入黑链接、提高点击率。制作目标网站的超链接,如游戏网站、购物网站等,登录政府网站后门植入黑链接,网民打开政府网时实际上也打开了超链接的目标网站,由于政府网站在搜索引擎中排名靠前,从而可以提高目标网站的搜索排名,提高点击率。

三、修改、添加、删除政府网站信息。通过修改政府网站的内容,为特定需求者提供服务,实现非法获利。

黑客为何“偏爱”政府网站

在众多网站中为何政府网站屡屡被黑呢?为此,记者采访了中国核工业计算机应用研究所专家朱泉等,专家分析主要存在以下几方面原因:

其一,搜索引擎给政府类网站的权威值评重高、网页级别高。黑这类网站易于获得更高的搜索排名、更高的点击率,“挂马者”可以得到更多的“肉鸡”,添加黑链,目标网站可获得更高的点击量,从而实现更多的营利。

其二,部分政府网站尤其是基层政府网站安全漏洞多、安全技术防范薄弱,易于被破解。黑客攻击政府网站多利用的是政府网站这一平台,很少窃取内部信息,看似对政府网站危害不大,这使得部分政府网管部门对外网安全重视程度不够。有些网站服务器甚至连防火墙都没装,是名副其实的“裸网”。

其三,部分政府网站提供成绩查询、资格证书编号验证等便民服务,部分不法分子为实现非法目的,不惜高价雇佣黑客修改、添加、删除私人信息,使得此类政府网站易于成为黑客攻击的对象。如2008年的江西省卫生厅被黑客攻破添加假医师资格证书编号案件、湖北省的假车牌案件等。一般而言,此类政府网站的安全级别相对比较高,由于“客户”肯出高价,部分黑客不惜以身试法。

1.3 黑客利用SQL盲注攻击破解MySQL.com网站

名为TinKode和Ne0h的两名黑客已成功获得MySQL.com网站上的敏感信息,MySQL.com是流行的开源数据库网站。

黑客使用了SQL盲注攻击侵入网站,并泄露了全披露邮件列表(The Full Disclosure Mailing List)上的违规细节。

于2009年收购了Sun Microsystems,最近又新收购了MySQL的数据库部门的甲骨文公司,尚未承认这些违规行为。在网站上,SQL注入攻击利用网站漏洞是很常见的。这些漏洞可以让攻击者在数据库内执行查询等一些请求操作。如果数据库返回一个错误,精明的黑客利用这些信息就可以获得更广泛的访问,访问到包含基本数据的服务器。

在黑客共享的数据中,一些被破解的密码哈希可以揭示mySQL.com网站帐号登录的完整细节,包括前产品管理主任Robin Schumacher的WordPress帐号登录细节以及前社区关系副总裁Kaj Arn的登录信息。

一些密码揭示了简单的短语。Schumacher将密码设置为四个简单的数字,且其中三个数字是重复的。黑客还发布了一些其他没有密码哈希表的数据库表。

有关Sun.com网站的信息也被发布。数据中包含了一系列的栏目,表格和一个受到SQL注入攻击的Sun网站的数据库。这些似乎只揭示了密码的缺陷,不过它确实显示出了一些公司的邮件地址。

虽然有些尴尬,但是不得不承认,这个漏洞不是MySQL数据库管理系统软件中的漏洞,而是网站的编码漏洞,Chester Wisniewski在 Sophos的Naked Security博客中这样写道,他是一个高级安全顾问。

Wisniewski表示,MySQL的网站也容易遭受ancross站点脚本(XSS)漏洞,该漏洞于2011年1月公布,但到目前为止该漏洞还未得到解决。“对你的网站进行SQL注入审计是非常重要的,同时还要使用安全的密码,”Wisniewski写道,“否则,这些攻击会让你感到绝望。”

1.4 工信部备案管理系统无法登陆 疑似遭黑客攻击

3月29日上午,有大批网友反映称,工信部用于查询ICP/IP地址信息备案的官方网站无法打开,具体地址为http://www.miibeian.gov.cn/。截止到发稿时,仍然无法打开并登陆查询,页面一直显示No backend servers available,疑似遭到黑客攻击。



工信部备案管理系统无法登陆 疑似遭黑客攻击

此前曾有网友在百度知道中提问,反馈称此网站登陆操作非常缓慢,无论更换电信还是联通的网络都一样。做为国家公共管理及服务的一个平台,在保证访问通畅方面并不尽如人意。

有分析指出当官方网站无法登陆时,很多急于备案的工作者,会转向某些代理快速备案的机构,而这需要多交一部分费用,还有可能就是逼着客户直接购买国外的空间。

不过,考虑到每天登陆此系统的人会非常多,出现反应速度较慢的问题也是可以理解,尤其是上午等办理业务的高峰期。

1.5 Web应用安全:黑客攻击的十大诱因

Web遭遇攻击原因细说起来应该是不止这十种的,本文只是介绍了其中比较重点和主要的原因与大家分享。Web攻击被黑客利用的原因如下:

1.桌面漏洞

Internet Explorer、Firefox和Windows操作系统中包含很多可以被黑客利用的漏洞,特别是在用户经常不及时安装补丁的情况下。黑客会利用这些漏洞在不经用户同意的情况下自动下载恶意软件代码——也称作隐藏式下载。

2.服务器漏洞

由于存在漏洞和服务器管理配置错误,Internet Information Server(IIS)和Apache网络服务器经常被黑客用来攻击。

3.Web服务器虚拟托管

同时托管几个甚至数千个网站的服务器也是恶意攻击的目标。

4.显性/开放式代理

被黑客控制的计算机可以被设置为代理服务器,躲避URL过滤对通信的控制,进行匿名上网或者充当非法网站数据流的中间人。

5.HTML可以从网页内完全不同的服务器嵌入对象

用户可以从特定网站请求浏览网页,只自动地从Google分析服务器等合法网站下载对象;广告服务器;恶意软件下载网站;或者被重新导向至恶意软件网站。

6.普通用户对安全状况不了解

多数用户不了解三种SSL浏览器检查的原因;不了解如何验证所下载程序的合法性;不了解计算机是否不正常;在家庭网络内不使用防火墙;也不知道如何 区分钓鱼网页和合法网页。

7.移动代码在网站上被广泛使用

在浏览器中禁用JavaScript、Java applets、。NET应用、Flash或ActiveX似乎是个好主意,因为它们都会在您的计算机上自动执行脚本或代码,但是如果禁用这些功能,很多网站可能无法浏览。这为编码糟糕的Web应用开启了大门,它们接受用户输入并使用Cookies,就像在跨站点脚本(XSS)中一样。在这种情况下,某些需要访问与其他开放页面的数据(Cookies)Web应用会出现混乱。任何接受用户输入的Web应用(博客、Wikis、评论部分)可能会在无意中接受恶意代码,而这些恶意代码可以被返回给其他用户,除非用户的输入被检查确认为恶意代码。

8.全天候高速宽带互联网接入的广泛采用

多数企业网络都受防火墙的保护,而无网络地址转换(NAT)防火墙的家庭用户很容易受到攻击而丢失个人信息;充当分布式拒绝访问服务(DDOS)的僵尸计算机;安装托管恶意代码的Web服务器——家庭用户可能不会对这些状况有任何怀疑。

9.HTTPHTTPS的普遍访问

访问互联网必须使用Web,所有计算机都可以通过防火墙访问HTTP和HTTPS(TCP端口80和443)。可以假定所有计算机都能够访问外部网络。很多程序都通过HTTP访问互联网,例如IM和P2P软件。此外,这些被劫持的软件打开了发送僵尸网络命令的通道。

10.在邮件中采用嵌入式HTML

由于SMTP电子邮件网关会在一定程度上限制可以邮件的发送,黑客已经不经常在电子邮件中发送恶意代码。相反,电子邮件中的HTML被用于从Web上获取恶意软件代码,而用户可能根本不知道已经向可以网站发送了请求。

 

2. 本周关注病毒

2.1 病毒名称:Backdoor.Win32.GenFxj.ar(软件劫持大盗)
警惕程度 ★★★★

病毒运行后会在电脑中查找是否安装了常用软件,如果有则会替换这些常用软件目录下的文件,将这些软件劫持为病毒的傀儡,利用这些软件本身进程带有合法数字签名的特点绕过绝大多数杀毒软件的主动防御功能。另外,病毒释放的动态库文件大小高达上百兆,导致无法被某些“云查杀”软件发现。最终,病毒会给系统开后门,上传用户隐私文件,下载盗号木马病毒。

2.2 病毒名称:Trojan.DL.Win32.Undef.syr(木马病毒)
警惕程度 ★★★

这是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

2.3 病毒名称:Trojan.PSW.Win32.OnlineGame.bdq(木马病毒)
警惕程度 ★★★

该病毒通过挂马网站传播,运行后会通过键盘记录、读取游戏窗口信息和内存信息等方式盗取多种流行网络游戏的账户密码,对网游玩家威胁极大。

 

3. 安全漏洞公告

3.1 IBM Rational ClearCase和ClearQuest Rational Common Licensing未明COM对象多个缓冲区溢出漏洞

IBM Rational ClearCase和ClearQuest Rational Common Licensing未明COM对象多个缓冲区溢出漏洞

发布时间:

2011-03-30

漏洞号:

CVE-2011-1205

漏洞描述:

IBM Rational ClearCase 7.0.0.4至7.1.1.4版本,ClearQuest 7.0.0.4至7.1.1.4版本的Rational Common Licensing 7.0至7.1.1.4版本中的未明COM对象中存在多个缓冲区溢出漏洞。本地用户可以借助My Computer区中的Trojan木马HTML文档,获取特权。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.ibm.com/support/docview.wss?uid=swg21470998

 

3.2 Apache HTTP Server mpm-itk模块特权提升漏洞

Apache HTTP Server mpm-itk模块特权提升漏洞

发布时间:

2011-03-30

漏洞号:

CVE-2011-1176

漏洞描述:

Apache HTTP Server是流行的开放源代码WEB服务器程序,可使用在Unix和Windows操作系统下。
Apache HTTP Server的Steinar H. Gunderson mpm-itk Multi-Processing Module 2.2.11-01和2.2.11-02版本中的itk.c的配置合并没有正确处理某些配置段(给定的vhost或path设置了NiceValue,而非AssignUserID)。Apache会以root用户和组来替换全局默认用户和组(一般如nobody, www-data或类似)运行。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://mpm-itk.sesse.net/

 

3.3 HP Diagnostics跨站脚本攻击漏洞

HP Diagnostics跨站脚本攻击漏洞

发布时间:

2011-03-30

漏洞号:

CVE-2011-0892

漏洞描述:

HP Diagnostics可以帮助您在生产前和生产环境下提高应用程序可用性和性能。您可以从最终用户追溯到应用程序组件,并且跨平台服务调用解决最棘手问题。这包括缓慢服务、方法、SQL、内存空间不足错误、线程问题等等。
HP Diagnostics 7.5x和8.05.54.225之前的8.0x版本中存在跨站脚本攻击漏洞。该漏洞是由于处理用户提供的数据时,存在未知输入验证错误导致的,远程攻击者可以借助受影响网站安全性内容中的浏览器,导致执行任意脚本代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=

c02770512

 

3.4 IDebian PHP5 cron job任意文件删除漏洞

Debian PHP5 cron job任意文件删除漏洞

发布时间:

2011-03-30

漏洞号:

CVE-2011-0441

漏洞描述:

Debian是一款开放源代码的LINUX系统。
基于PHP 5.3.5版本的Debian GNU/Linux /etc/cron.d/php5 cron job中存在漏洞。本地用户可以借助/var/lib/php5/目录下的符号链接攻击,删除任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://git.debian.org/?p=pkg-php/php.git;a=commit;h=d09fd04ed7bfcf7f008360c6a42025108925df09

 

3.5 Symantec LiveUpdate Administrator跨站请求伪造漏洞

Symantec LiveUpdate Administrator跨站请求伪造漏洞

发布时间:

2011-03-29

漏洞号:

CVE-2011-0545

漏洞描述:

Symantec LiveUpdate Administrator是赛门铁克公司开发的实时更新管理程序。
Symantec LiveUpdate Administrator(LUA)2.3之前版本的adduser.do中存在跨站请求伪造漏洞。远程攻击者可利用此漏洞执行非授权的操作。
应用程序的管理界面允许用户通过HTTP请求执行某些操作,而不进行验证检查以验证请求,可以通过诱使管理员在登录到应用程序时查看恶意网站执行任意命令。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=

security_advisory&pvid=security_advisory&year=2011&suid=20110321_00