当前位置: 安全纵横 > 安全公告

一周安全动态(2011年05月19日-2011年05月26日)

来源:安恒信息 日期:2011-05

2011年5月第四周(05.19-05.26)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象,需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 2011欧洲黑客公开赛在罗马尼亚举行

5月15日,在罗马尼亚首都布加勒斯特举行的黑客公开赛上,参赛选手聚精会神地操作电脑。来自世界各地的软件高手云集布加勒斯特,参加于14日开始的2011年欧洲黑客公开赛。

1.2 小罗官网遭黑客攻击 首页惊现拉登与外星人


《小罗官网》被黑后截屏

今年1月从AC米兰转投巴西劲旅弗拉门戈队的罗纳尔迪尼奥逐渐淡出了球迷的视线,但前世界足球先生总能用其他方式吸引大家的眼球。最近小罗的个人官网遭到了一名自称“恐怖分子MC”的黑客攻击,这名高手篡改了小罗的官网主页,还把巴西球星的照片与《星球大战》人物宾克斯和业已被美军海豹突击队击毙的本拉登的头像摆放在一起。

小罗个人官网的正常显示状况是巴西球星的一系列个人照片集锦,不过在上周六的几个小时内,黑客攻击了小罗个人官网的首页,并把他的照片与宾克斯和本拉登凑在一起,“恐怖分子MC”还用阿拉伯文和英文写下了声讨美国击毙本拉登的行径。小罗肯定不会满意该黑客把自己的照片同宾克斯放在一起,但无论作为公司、团体还是个人,都应该注意防止黑客的袭击,否则后果颇为严重。

《小罗官网》被黑前截屏

幸运的是,小罗个人官网被黑事件看上去更类似于黑客的一次电子涂鸦,而并非遭到了恶意软件的攻击,即便如此,小罗个人官网的维护者也需要花一点事件进行处理。小罗的哥哥阿西斯表示:“这种行径实在疯狂,黑客是怎么做到的?我会联系小罗官网的维护人员解决此事,这件事情真是不可思议。”小罗的个人官网已恢复正常,《环球体育》认为黑客“恐怖分子MC”有可能是一名支持本拉登的极端分子。

1.3 反黑客形式严峻:日本另一家游戏公司遭受袭击

据韩国媒体报道,遭受黑客袭击损失高达2兆日元的索尼公司事件还未尘埃落定,另一家游戏公司SQUARE ENIX LTD(以下简称SEL)惨遭劫难,全球反黑客形式异常严峻。

5月14日,SEL公司在公司官方网站上发布公告,称其遭受到黑客袭击,350名应聘者履历表、2万5千名会员信息被盗。同时,一名不明身份的黑客承认袭击SEL公司并盗取8万名会员个人信息。

SEL公司在其官方网站上发表谢罪书说道:“目前我公司已经启动应急措施查找防御漏洞,保护会员个人信息。今后把会员个人信息作为重点保护对象,努力防止此类事件再次发生。”


公司谢罪书

自2010年起,游戏界饱受黑客袭击呈现愈演愈烈的态势,索尼、任天堂等世界顶级公司纷纷拿出反黑客防御体系,但是都被黑客们一一攻破。

实践证明,依靠一个公司自身的力量对抗全球黑客显然不可能,是联合还是走向灭亡,何去何从?

1.4 大学生“黑客”入侵人事网站让假证通过验证

一名风华正茂的大学生,对电脑非常有天赋,是名网络高手,在金钱和好奇心的驱使下,以他为主组成了一个9人制贩假证团伙,先后入侵全国数省市多个网站,修改相关数据200余个。他们办理的工程师、高级工程师、经济师等假证是可以从网站上查到个人信息的“真证”!近期,以黑客朱某为首的团伙被济南市公安局网警支队端掉,一名大学生是如何一步步走向犯罪深渊的?

村里第一个大学生,成高校网络高手

旁白:父母含辛茹苦,将他培养成村里第一个大学生。对电脑非常爱好的朱某,经常买一些电脑书籍,学习电脑网络知识,达到痴迷的程度。由于他对电脑知识非常精通,大学电脑教室里的电脑由他来负责管理,在老师和同学眼里,他是一名电脑高手。

记者:你上高中时学习成绩怎么样?

朱某:每次考试在班里基本在前10名左右。班里有80多名学生。

记者:学习成绩很优秀啊,你是你们村里第一个大学生吗?

朱某:是的。但是我高考时发挥得不是太好,只上了个大专。

记者:你在大学里学习成绩怎么样?

朱某:学习成绩一般。但我的电脑学习成绩很好,在大学里,老师安排我负责整个学校电脑教室的管理。

禁不住金钱诱惑摇身变黑客

旁白:来自农村的他家庭条件一般,但熟悉网络知识,通过帮人建网站等赚钱。在和网友的交流中,在金钱的诱惑下,他一步步走上犯罪道路,从电脑高手摇身变为一名黑客。

记者:那些做假证的是怎么认识你的?

朱某:我从来没有和他们见过面,有时我登录一些网站论坛,和网友交流电脑知识,探讨如何攻击一些网站等,然后在帖子后面留下我的QQ号,他们通过QQ号码联系上的我。

记者:他们找你做什么呢?

朱某:他们问我,能不能侵一些人事网站,通过网站后台,添加一些工程师、高级工程师、经济师、高级经济师、会计师等类别的个人信息。

他们在网上不停地联系我,并承诺给一些费用,每添加一条个人信息,给200元费用。在他们不停劝说下,我就答应了他们的要求,和他们合作。

入侵网站后台让假证书通过网上验证

旁白:前不久,济南市公安局网警支队接到某网站报警,发现网站的后台被黑客入侵,一些考试成绩不合格人员名单突然出现在成绩合格人员名单中,并且这些人拿到了相关的证书!网警支队侦查发现,有人制作出假证后,把假证人员的信息放到了网站上,假证变成了真证。大学生黑客朱某被民警抓获。

记者:你入侵的都是什么网站?

朱某:多是一些人事类网站。我把这些持证人的信息通过网站后台传递上去,所以他们拿的证件不是主管部门发的,但能在网上查到他们的个人信息,所以假证书和真证书是一样的。

记者:证书是谁做的?你们平时怎么揽活?

朱某:有人专门做证书,有人专门通过QQ发布一些“办理在网上查询到个人名字证书”的信息,有办证需求的人就和我们联系,后来我了解到,办理一个证书要经过四五个人的手,办证人一般要拿两三千元,但到我手后,每个人才拿到200元。我一共在网站上添加了200多条信息,挣了4万多元。

曾想“洗手”但不知违法

旁白:济南市公安局网警支队抓获犯罪嫌疑人朱某后,兵分6路分别抓捕负责假证代理的刘某、李某等9名嫌疑人,缴获作案电脑14台,现金108万元,房产9处,车辆7部,捣毁假证制作窝点9处,清理虚假证件信息数万条,缴获印章2000多枚,假证文本2000多。

记者:为什么没有停止你的行为呢?

朱某:我也想“洗手”不干了,但他们劝我继续做,连续入侵一些网站后,增加了我的好奇心,特别是在金钱的诱惑下,我继续做了。

记者:现在知道是违法了吗?

朱某:当时真没有意识到自己的行为是违法的,只感觉到自己做的一切不太合理,根本没有想到民警会找到自己的头上来,更没有想到自己的行为触犯了刑法,还要判刑!

自认为技术不错不会被抓

旁白:犯罪嫌疑人朱某和他的同伙先后入侵多个网站,修改相关数据200余个,在他的眼里,一些网站的安全壁垒如同虚设,能轻易进入!今年3月,国家互联网应急中心发布2010年互联网安全报告,报告显示2010年中国大陆地区有3.5万个网站被黑客篡改,其中有4635个为政府网站,境内近500万个主机IP地址感染木马和僵尸程序。

记者:你是怎么入侵网站篡改数据的?

朱某:有的网站后台存在漏洞,能轻易地进入,可以任意修改数据,很多网站存在安全隐患。

记者:网站维护人员发现不了吗?

朱某:网站的维护人员平时不太注意数据的改动情况。

记者:你当时认为警察能逮住你吗?

朱某:根据我在“道”上混的感觉,我的技术算是很不错的,在国内也小有名气。我认为民警应该很难发现我的踪迹,然而,魔高一尺,道高一丈,我最终还是栽在济南民警手里了……

【个案点评】

济南市公安局网警支队的办案民警说,部分网站不设防,被黑客轻易侵入,不但不能防御,还不能及时发现被黑客侵入,由于在正规网站上能够查询到证书号,这些假证成为有备案的“真证书”,由此带来的社会危害性更大。公安部门在展开的“净网”行动中,将加大对此类犯罪的打击力度。

1.5 黑客太强,还是防火墙太弱?

东莞时间网讯 本报记者近日登录各本土网站发现,“东莞十大杰出青年评选网”、东莞某知名网站及个别镇政府官方网站“被黑”,消息引来一群网友围观。

市公安局介入网站被黑一案

前日凌晨,一些人参与东莞十大杰出青年评选网网络投票时发现,所有候选人的票数增长数值总是保持一致,因何出现这一怪现状?主办方调查后回应:投票网站遭到黑客攻击,导致投票出现异常,截至昨日才恢复正常。

同样在前日,东莞某知名网站遭到黑客攻击,经技术人员维修后,昨日上午该网站才恢复正常。此外,还有个别镇政府官方网站也遭到黑客攻击。

市公安局网警支队相关负责人表示,他们目前已介入部分网站被黑一案,正在全力追踪黑客的源头,并争取早日破案。

有网友称,官方网站作为东莞网上宣传公众形象的一个窗口,出现这种“意外”实属不该,应当严惩黑客。此外,网友们还建议,“魔高一尺道高一丈”,网站应加强管理和监控,确保网络安全,真正起到网上宣传东莞的作用。

防火墙技术不过硬容易被黑

“目前,市直各部门及镇街网络都是各个单位建成的,并没有全市统一管理。” 东莞市网络文化协会秘书长林环说,一旦哪家单位网站出现漏洞,则由相关单位自行负责解决,因此对于那些防火墙技术并不过硬的网站来讲,就很容易被黑。

市网络文化协会副会长、搜查发站长孙明明在业界已称得上是一个资深站长。此前,东莞某镇政府网站被黑时,他曾对其做过安全维护。

孙明明认为,官方网站频繁被黑,一个重要原因是网站管理有待加强。目前,很多网站只是单纯地进行新闻更新,但负责新闻更新的人员并不是技术人员,因此也没有注重防范黑客攻击的准备,这样就形成了网络安全的真空。孙明明打了一个形象的比喻:即便黑客第一次不能够入侵网络,但是由于无人看守“仓库”,因此就算再结实的大门也会被破门而入。

网站需加强维护

孙明明还认为,很多政府网站缺少技术革新,比如五年前使用的网络防范措施如今仍在使用,并没有进行系统升级以及修复,殊不知这会酿成很多漏洞,给了黑客可乘之机。

“网络被黑客入侵,不仅是关乎形象的事情。” 孙明明指出,网络是当地的窗口,很多网民了解政策、反映问题都是通过网络进行,假若黑客频繁入侵网络,插入木马和病毒,就会变相成为病毒木马传播源,这会威胁网民的个人信息和财产。

孙明明说,对于东莞很多机关单位以及镇街来讲,加强网站安全维护显得十分迫切。

■黑客心理

要么为好玩

要么为利益

黑客有两个目的:一是受利益驱动才出此下策;二是纯粹为了好玩。

■知多D

黑客行为要承担什么“罪名”

目前,未经许可窜改他人网站内容的黑客行为要承担哪些法律责任呢?

据了解,根据最新修订的《刑法》第二百八十五条:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。


2. 本周关注病毒

2.1 Trojan.Win32.StartPage.qfp(木马病毒)
警惕程度 ★★★

该病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载安装流氓软件。

2.2 Trojan.PSW.Win32.ZhuXian.kq(木马病毒)
警惕程度 ★★★

该病毒通过挂马网站传播,病毒会针对性的记录某知名网游在登陆时的键盘信息,然后把记录到的信息发送给黑客。给游戏玩家带来了极大安全隐患。

2.3 Backdoor.Win32.Undef.sxc(安德夫后门)
警惕程度 ★★★★

病毒通过在内存中两级文件的释放发作,加入无用代码来实现免杀,躲避安全软件查杀。病毒采用替换的方式实现开机启动,并将自身放到字体文件夹中隐藏起来。病毒运行后,将获得用户电脑的计算机名、IP地址、安装的杀毒软件、防火墙等信息发送到黑客指定的服务器上。根据黑客的反馈,控制用户电脑实现24个后门功能,例如,打开IE访问黑客指定网站、下载木马病毒、监视屏幕摄像头、查看电脑中的文件等,使用户电脑变成黑客肉鸡。

 

3. 安全漏洞公告

3.1 IBM Datacap Taskmaster Capture权限许可和访问控制漏洞

IBM Datacap Taskmaster Capture权限许可和访问控制漏洞

发布时间:

2011-05-18

漏洞号:

CVE-2011-2143

漏洞描述:

IBM Datacap Taskmaster Capture 是通向企业内容管理 (ECM) 的入口,可将文档数据输入过程自动化,从而降低成本,提高文档处理效率。
当Windows Authentication启用时,IBM Datacap Taskmaster Capture FP1之前的8.0.1版本中存在权限许可和访问控制漏洞。远程攻击者可以通过使用与账户名(来自不同域)相结合的不正确密码,获取登录访问。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg27021511

 

3.2 IBM Datacap Taskmaster Capture TMWeb SQL注入漏洞

IBM Datacap Taskmaster Capture TMWeb SQL注入漏洞

发布时间:

2011-05-18

漏洞号:

CVE-2011-2141

漏洞描述:

IBM Datacap Taskmaster Capture 是通向企业内容管理 (ECM) 的入口,可将文档数据输入过程自动化,从而降低成本,提高文档处理效率。
IBM Datacap Taskmaster Capture FP1之前的8.0.1版本中存在SQL注入漏洞。由于某些向TMWeb组件发送的未明输入在被用于SQL查询之前还没有经过正确过滤,远程攻击者可以利用该漏洞执行任意SQL命令。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg27021511

 

3.3 HP Business Availability Center跨站脚本攻击漏洞

HP Business Availability Center跨站脚本攻击漏洞

发布时间:

2011-05-17

漏洞号:

CVE-2011-1856

漏洞描述:

HP Business Availability Center(惠普业务可用性中心)软件是业内第一个自上而下、端对端生命周期解决方案,可在异构环境中运行的复合应用程序中进行无缝监控、隔离问题,并确定根本原因。
基于Windows和Solaris平台的HP Business Availability Center(BAC)8.06及之前版本中存在跨站脚本攻击漏洞。由于某些未明输入还没有经过正确过滤就返回给了用户,远程攻击者可利用此漏洞在受影响站点的用户浏览器会话中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-15-25_4000_100__

 

3.4 Apache Struts和OpenSymphony WebWork Xwork敏感信息泄露漏洞

Apache Struts和OpenSymphony WebWork Xwork敏感信息泄露漏洞

发布时间:

2011-05-16

漏洞号:

CVE-2011-2088

漏洞描述:

Apache Struts 2.2.1版本中的XWork 2.2.1版本,以及OpenSymphony WebWork中的OpenSymphony Xwork中存在敏感信息泄露漏洞。远程攻击者可以借助与s:submit元素和nonexistent方法有关的向量,获取关于内部Java类路径的潜在敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://issues.apache.org/jira/browse/WW-3579

 

3.5 Apache Struts javatemplates插件组件处理程序多个跨站脚本攻击漏洞

Apache Struts javatemplates插件组件处理程序多个跨站脚本攻击漏洞

发布时间:

2011-05-16

漏洞号:

CVE-2011-2087

漏洞描述:

Apache Struts 2.2.3之前的2.x版本的javatemplates (也称为Java Templates)插件中的组件处理程序中存在多个跨站脚本攻击漏洞。远程攻击者可以借助.action URI的任意参数值,注入任意web脚本或HTML。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://issues.apache.org/jira/browse/WW-3597