当前位置: 安全纵横 > 安全公告

一周安全动态(2011年08月25日-2011年09月01日)

来源:安恒信息 日期:2011-08

2011年8月第五周(08.25-09.01)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 中美警方摧毁全球最大中文色情网站联盟


全球最大中文淫秽色情网站联盟——“阳光娱乐联盟”主犯王勇(公安部资料图片)

近日,公安部与美国警方联合摧毁在全球拥有1000多万名会员的最大中文淫秽色情网站联盟 “阳光娱乐联盟”。该联盟建设者王勇及其核心成员被成功抓捕,联盟旗下淫秽色情网站已陆续关闭,境外最大淫秽色情源头被彻底打掉。该案是公安部与美国警方首次通过联合行动破获的跨国网络淫秽色情犯罪案件。

据调查,2002年1月,中国福建出境人员王勇在美国建设了“99情色”网站,随后又通过加盟、收购等方式,将互联网上用户量最大的48家中文淫秽色情网站纳入其管理范围,形成全球最大的中文淫秽色情网站联盟“阳光娱乐联盟”。据统计,该联盟含淫秽色情信息版块千余个,淫秽色情信息上亿帖,其中有18个网站涉及儿童色情信息。这些网站不仅传播淫秽色情信息,而且还滋生了很多其他的犯罪,很多犯罪人员通过这些网站交流强奸猥亵幼女的作案手法、交换儿童色情图片,助长了性侵犯儿童犯罪,这些网站上还充斥着全国各地卖淫嫖娼信息,成为卖淫嫖娼的重要媒介。中国刑法第363条规定,以牟利为目的,制作、复制、出版、贩卖、传播淫秽物品,情节严重的,处十年以上有期徒刑或者无期徒刑。近年来,中国公安机关多次对 “阳光娱乐联盟”开展专项打击,累计打掉该联盟在境内发展的网站管理员、版主近千名,但由于该网站建设者及服务器均位于美国,致使该联盟没有被根本取缔。

中国国务委员、公安部部长孟建柱对此案高度重视,要求进一步加强国际执法合作,坚决摧毁这一网络联盟,消除其社会危害。2010年4月,基于打击传播儿童色情犯罪的共识,公安部与美国联邦调查局就这起案件正式开展跨国警务合作。在公安部的统一协调指挥下,北京、安徽、福建三地公安机关迅速成立专案组,对该联盟在境内的组织体系开展调查。为尽快侦破此案、将犯罪嫌疑人缉拿归案,公安部还通过国际刑警组织发出红色通缉令,指示驻美使馆警务联络处与美方保持了密切沟通,并派遣警官小组赴美开展工作。美方也高度重视该案的侦查工作,专程派员来华与中方交换证据、研究联合行动方案。2011年6月23日,中美警方联合实施抓捕,美方抓获该联盟的建设者王勇,中方抓获在境内负责洗钱和维护网站的10余名犯罪嫌疑人,目前,该联盟相关淫秽色情网站已陆续被关闭。

公安部有关负责人表示,作为中美执法合作联合联络小组打击网络犯罪工作组的一项重要成果,破获“阳光娱乐联盟”传播淫秽色情信息案是中美两国执法机关在打击网络犯罪领域的第一次成功的联合执法行动,对预防和打击跨国网络犯罪具有重大意义,也是公安部开展国际执法合作的又一成功案例。公安部将继续与各国加强国际执法合作,严厉打击跨国网络淫秽色情、诈骗、赌博、黑客攻击破坏等各种违法犯罪活动,切实维护网络安全,保障公民的合法权益。

 

1.2 十堰网警:设假网站引"黑客"上钩

法制网记者 胡新桥实习生 刘志月通讯员 王 昕 孔令学

走出湖北省十堰市公安局办公楼8楼电梯口,左手边有一排9间办公室,就是该局网络安全保卫支队所在地。

在最靠近电梯口的一间办公室门外,立着一块蓝底白字的告示牌:联系工作请到接待室。

"不论社会上还是公安机关内部其他部门来办事的,一律在接待室里说明情况,我们的办公机房不允许随便出入。"十堰网安支队综合室石磊的这番解释,加重了《法制日报》记者“网警到底是干什么的"好奇心。

"说简单点儿,我们就是在虚拟社会和现实社会中不断穿插,维护网络虚拟社会秩序的人。"十堰网安支队政委郭建这样描述网警们的工作。

据介绍,仅有14名工作人员的十堰网安支队,近年连续破获公安部部督"2010·11·30"特大电信诈骗案、公安部交办"2011·1·28"侵犯微软著作权案、湖北省公安厅督办的"2009·9·17"特大虚假彩票网站诈骗案等一系列大案要案,并先后6次被湖北省公安厅评为先进集体。

与"黑客"斗智斗勇 这是一出真实上演的"穿越剧"。

21岁的何某怎么也没想到,在向被攻击的"车城房产网"老板发出索要2000元"网站维护费"的第7天,湖北十堰的网警们就出现在了浙江温州自己的电脑前。

2010年11月24日下午,十堰某信息技术有限公司的负责人到报案称,其公司开办的经营性网站"车城房产网"自当月18日以来访问速度奇慢、网站主页一度无法打开,怀疑遭到"黑客"攻击。

报案的第二天,一个陌生的QQ号联系上该公司负责人,表示"车城房产网"无法打开、服务器崩溃正是自己的"杰作",如果给2000元钱的话,可以帮忙将网站恢复正常。

信息公司并没有接受对方的条件,而是向警方及时通报这一线索并将网站服务器从电信移到了联通。

面对猖狂的"黑客",网警们巧妙的采取"蜜罐"技术,使用备份网站架设虚假的"车城房产网",吸引"黑客"再次发起攻击。

果不其然,"黑客"再次跟踪该网站至新服务器,并持续对网站发动攻击,最终导致网站再次瘫痪。

也就是在"黑客"发动的新一轮攻击中,网警们捕获到了犯罪嫌疑人实施攻击的真实IP,并成功锁定犯罪嫌疑人何某的藏身地——浙江温州。

"黑客攻击案关键在于如何一步一步将犯罪嫌疑人‘挖’出来。"将何某从网上挖出来的网警毛群说,当时他们发现攻击源来自天津、青岛、温州等多个地方,经过筛选发现这些都是嫌疑人使用的"肉鸡"(即受嫌疑人控制的远程电脑),后通过反向侦查才最终锁定何某的具体位置。

助力现实案件侦破

今年4月初的一个星期天,网警唐克俊接到天津警方的电话,称他们经过研判发现,天津籍逃犯李冰可能藏在十堰市张湾区一带,请求十堰网警协助。

根据天津警方提供的相关信息,十堰网安支队经网上摸排发现,一个名叫何银翔的人与天津警方描述的逃犯特征比较符合。

通过对何银翔较长时间内网上活动的分析,网警们肯定,此人身上一定"有事"。但他是不是就是天津警方要找的李冰呢?网警们心里并没有底。只有抓到何银翔,一切都会真相大白。抓捕,成为摆在民警面前的又一道难题。

功夫不负有心人。经过连续两天的紧张工作,网警们发现,其与十堰某学院一名女大学生为男女朋友关系,遂将后者列为重点布控对象。

4月13日上午,民警获悉何银翔的女友在市内某处出现。为避免打草惊蛇,支队组织民警在现场连续蹲守5个多小时,跟踪至其租住处。第二天上午,民警抓住有利时机,将住在女友处的"何银翔"抓获。

李冰供述了以假名"何银翔"在十堰郊区打工的事实,并对自己伙同他人于去年8月在北京抢劫4500元的犯罪事实供认不讳。

"这个案件,靠的是从虚拟社会中确定案件线索,结合传统侦查方式进行情况摸排,最终才将犯罪嫌疑人锁定,很好地实现了虚拟与现实的穿插互动。"十堰市网安支队支队长夏羽说。

搭就网警作战平台

8月10日,十堰市重点新闻网站秦楚网所在的办公大楼里迎来了一名新成员——"十堰市公安局网安支队秦楚网网安警务室"。

"这只是我们对网络进行公开管理的一个侧面,有了网安警务室,网站有什么信息就可以及时反馈到网安支队,这些信息为我们从虚拟走向现实侦查破案搭建了一条绿色通道。"十堰网安支队管理大队大队长石征勇说。

据了解,目前十堰市已在电信、联通、移动等基础运营商及重点网站论坛创建了网安警务室5家,布建"报警岗亭"239家、"虚拟警察"20家,基本上覆盖了全市的重点网站和论坛。

除此之外,针对"实名不实"等网吧管理难题,十堰市公安局网安支队还推出了网吧"三色牌"管理办法、"红色牌"网吧约谈制度,根据实名登记率、场所视频监控正常率等将网吧分为重点整治、一般整治和达标网吧,并分别悬挂红色、黄色、绿色牌标识,还定期组织被评定为"红色牌"的网吧业主到支队座谈,敦促他们依法规范经营,使得"红色牌"网吧数量持续控制在5%以下。

"这些办法,就是要从技术上划分网吧的‘三六九等’,增强网吧业主守法经营的意识,给所有网吧搭建起公平竞争平台。"石征勇说。

网警感言 网上维稳并不轻松

湖北省十堰市公安局网安支队民警刘炜:网络犯罪案件的侦办属于新兴领域,没有参照物,侦办思路和过程都是摸着石头过河。

湖北省十堰市公安局网安支队支队长夏羽:现实中的犯罪在网络上都有,并衍生出现实中无法实施的新型犯罪,这使得网警的责任越来越重,不断学习是网警永恒的话题。

湖北省十堰市公安局网安支队民警唐克俊:虚拟社会中矛盾冲突并不亚于现实社会,一句话就可能引发巨大的矛盾冲突,所以网上的维稳工作并不轻松。

十堰市公安局副局长陈勇军:我从1983年我国公安机关成立计算机管理部门起,就从事相关工作,目前分管网安支队。建议公安部可以成立涉网犯罪研判中心,主要研判网络新型犯罪的特点及其应对措施并对全国发出预警信息。此外还应承担对全国网安民警的业务培训,以尽快解决目前网警中普遍存在的技术与公安基础业务“两张皮”现象。

本报记者 胡新桥 本报实习生 刘志月整理

 

1.3 韩国遭受大规模黑客攻击爱普森汇丰受影响

新浪科技讯 北京时间8月24日晚间消息,据美国科技资讯网站ZDNet报道,爱普生、汇丰等企业在韩国的分公司以及韩国域名注册机构Gabia等机构的网站遭到黑客攻击,大约10万个域名受到了影响。

韩国近来遭受了一系列黑客攻击,导致该国国有和私营企业网络陷入大范围瘫痪。韩国域名注册机构Gabia也遭到攻击,超过10万个域名曝光,35万用户受影响。汇丰韩国分公司网站同样未能幸免,瘫痪了一个多小时,用户在此期间无法登陆他们的网上帐户。

爱普森韩国分公司表示,其网站遭到黑客攻击,提醒用户更改密码。据认为,这次事件可能导致许多企业机密数据被窃,服务出现大范围中断。

许多机构都收到一位匿名人士(被认为是实施攻击的黑客本人)发来的PasteBin链接,但在打开链接登陆里面所列的网站时,许多似乎都出现了问题,显示“404 error page”。有报道称,尽管个人数据没有被泄露,但域名注册机构与用户网站的许多连接遭到破坏。

韩国近来遭受了多次黑客攻击,许多人对韩国互联网安全表示了担忧。根据韩国互联网振兴院(Korea Internet Security Agency)发布的统计数据,今年以来韩国发生了6000多起黑客攻击事件

韩国网络公司SK Communications上个月表示,该公司两个门户网站cyworld.com和nate.com遭黑客攻击,导致3500万用户的个人数据泄露。Cyworld是韩国最大的社交网站,而Nate则是韩国第三大搜索引擎。

鉴于韩国总人口还不到5000万,这被认为是韩国迄今遭受的最大规模黑客攻击事件。因为这一事件,SK Communications被迫向韩国当局缴纳100万韩元(约合925美元)的罚款。(轩辰)

 

1.4 乌美联手破获一国际黑客组织

新华网基辅8月22日电 乌克兰国家安全局新闻中心22日发表公告说,乌克兰国家安全局破获一个以乌克兰人为首的国际黑客组织,他们非法攻击乌境内外的金融机构,给这些机构造成了巨大的经济损失。
公告说,乌克兰国家安全局日前与美国的执法部门展开了联合行动,破获了这个高科技犯罪团伙,在乌境内逮捕了4名主犯,警方当场缴获了1000多张假冒银行卡。
美国执法部门此前说,这个黑客组织让该国蒙受了2000多万美元的经济损失。
据报道,该犯罪团伙由乌克兰人和境外人士共20人组成。他们利用网络非法盗取复制他人银行卡信息,刷卡提现。
目前,乌法院已依照相关法律对这4名主犯人提起刑事诉讼。

 

1.5“黑客大会”暴露美国双重标准

一年一度的“世界黑客大会”不久前在拉斯维加斯闭幕。从如何运用漏洞入侵西门子公司的“S7”自动控制系统,到如何自制可无线遥控的间谍飞机,林林总总,无奇不有。和往年稍有不同的是,美国几乎所有与国家安全相关的政府部门,都派员参加了此次大会。

据说国土安全部赶来是避免与会的黑客“一时兴起”,说得太多,教会恐怖分子如何利用网络漏洞入侵美国关键基础设施;联邦调查局是借机发现线索和打击黑客犯罪,锁定网络犯罪嫌疑人。这两个理由都算冠冕堂皇,但我们也听说,国防部派员则是为新组建不久的网络安全司令部“猎头”。美国招募黑客组建网军的意图值得揣摩:毕竟黑客技术是攻防一体的,既能用于防御,也能用于攻击。

整体来看,目前在美国做一名黑客是一份很有前途的职业,前提是不要触动国家安全与资本收益这两条“红线”。美国政府为其提供了两条发展道路:要么,从黑客转型为改善企业信息安全的“安全专家”,走上市场化的道路;要么,从黑客转型“网络战士”,走上为国家效力的道路,除了改善美国关键基础设施的安全外,顺带也“帮忙测试”一下其他国家关键基础设施是否“安全”。

就算惹上了法律官司的黑客,也不是就此死路一条,还是有其他选择的:一个名叫拉默的黑客2010年5月向美国联邦调查局告密称,名叫曼宁的美军驻伊拉克情报分析员涉嫌泄密给“维基解密”,而此前该黑客刚刚因为入侵《纽约时报》服务器被捕。相关媒体报道认为,这一告密行为的背后,是黑客与相关政府部门交易的一部分,算得上是给予了“戴罪立功”的机会。

昨天还是监狱在押的严重刑事犯,转眼便成了“国家网络战士”。美国启用黑客这种特殊人才的尺度之大令人瞠目。从海湾战争到对“维基解密”网站的入侵,处处可以看到美国黑客活跃的身影。然而,美国对黑客的纵容政策并非全球通用,相反,美国以严格到近似神经过敏乃至偏执的状态,“警惕”地应对所有来自“其他国家”,特别是“中国”境内的“黑客袭击”。可能因为受到自身经验影响,所以美国固执地认为来自中国境内的“黑客攻击”,必然而且只能有“中国政府”或者“中国军方”背景。

老实说,如果没有足够强硬的基于意识形态的成见作为支撑,要采信这些证据还真不是很容易的事情。从2005年指责“中国黑客袭击美国电网”,2010年谷歌公司指责“中国黑客攻击并窃取代码”,直到最近的美国迈克菲公司指称包括联合国在内的全球72个机构遭黑客攻击,“怀疑背后主使是中国政府”,都是这种近似扭曲的心态下的不正常产物。

无论是中国政府对“网络战”的投入,还是中国目前的网络技术水平,跟美国相比都有很大差距,否则“世界黑客大会”应该在中国开才对。要想在互联网上做手脚,没有哪国的黑客比美国黑客更有优势。在去年“世界黑客大会”上,有一个名为“警戒”的美国黑客组织声称,他们虽然是民间组织,但一直与政府有秘密合作,而且在22个国家发展了千余名“通过审查的志愿者”,“做政府不能做的事”。尽管这些“政府不能做的事”很有新闻价值,但西方主流媒体似乎都刻意回避了这个话题。

美国决策者试图在推销这样一个“美国例外论”的观点:只有美国,才可以合法合理正常地招募黑客以及利用信息技术为其国家利益服务,其他国家则不可以这么做;同时其他国家还要理解、接受乃至认同以美国主导建立起来的规则。这种毫无公平可言的想法对华盛顿的决策者却是如此顺理成章。这等于宣布,在信息安全问题上,只许美国放火,不许其他国家点灯。对其他国家来说,如何应对来自美国建立在典型双重标准兼自以为是基础上的政策挑战,是一件很具有挑战性的任务,不可不认真细致地应对。(沈逸)


2. 本周关注病毒

2.1 Trojan.Win32.FakeIME.u(输入法伪装者)
警惕程度★★★

病毒获得运行后,首先会在系统盘下释放多个病毒文件,随后将添加成服务并启动,实现隐藏自身和开机自动运行。病毒通过向dll文件尾部写入大量的垃圾数据来躲避杀毒软件的查杀,占用了用户宝贵的硬盘空间。该病毒的后门功能强大,黑客能够实现盗取重要文件、监视用户操作记录、下载并执行恶意程序、远程关机等总计25种方式侵犯用户的隐私。

2.2 Worm.Win32.Autorun.tvt(木马病毒)
警惕程度★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护的功能,下载大量木马病毒,给用户造成很大安全隐患。

2.3 Trojan.DL.Win32.Fednu.eq(木马病毒)
警惕程度★★★★

病毒运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。

 

3. 安全漏洞公告

3.1 Apache HTTP Server畸形Range选项处理远程拒绝服务漏洞

织梦DedeCms越权访问漏洞

发布时间:

2011-08-24

漏洞号:

CVE ID: CVE-2011-3192

漏洞描述:

Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器,可以在大多数电脑操作系统中运行,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。

Apache HTTP Server在处理Range选项生成回应时存在漏洞,远程攻击者可能利用此漏洞通过发送恶意请求导致服务器失去响应,导致拒绝服务。

此漏洞源于Apache HTTP Server在处理Range头选项中包含的大量重叠范围指定时存在的问题,攻击者可通过发送到服务器的特制HTTTP请求耗尽系统资源,导致Apache失去响应,甚至造成操作系统资源耗尽。

安全建议:

厂商补丁:
Apache Group
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
www.apache.org

 

3.2 Cisco IOS Data-Link Switching远程拒绝服务漏洞

Cisco IOS Data-Link Switching远程拒绝服务漏洞

发布时间:

2011-08-24

漏洞号:

CVE ID: CVE-2011-1625

漏洞描述:

Cisco的网际操作系统(IOS)是一个网际互连优化的复杂操作系统。

Cisco IOS在Data-Link Switching的实现上存在远程拒绝服务漏洞,远程攻击者可利用此漏洞使受影响设备崩溃,拒绝服务合法用户。

此漏洞其Cisco Bug ID为CSCtf74999。为DLSw配置的路由器在收到包含一系列恶意报文时崩溃。此问题需要多种条件和窄小的计时窗口。

安全建议:

厂商补丁:
Cisco
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.cisco.com/warp/public/707/advisory.html

 

3.3 Linux Kernel TCP序列数字生成安全漏洞

Linux Kernel TCP序列数字生成安全漏洞

发布时间:

2011-08-23

漏洞号:

CVE ID: CVE-2011-3188

漏洞描述:

Linux Kernel是Linux操作系统的内核。

Linux Kernel在TCP序列数组生成的实现上存在安全漏洞,远程攻击者可利用此漏洞使用暴力攻击注入任意报文到TCP会话,执行未授权操作。通过注入SYN或RST报文到TCP会话可造成拒绝服务,终止已经建立的连接。也可能出现其他攻击,如中间人攻击。

安全建议:

厂商补丁:
Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/

 

3.4 PHP "crypt()" MD5 Salt安全漏洞

PHP "crypt()" MD5 Salt安全漏洞

发布时间:

2011-08-22

漏洞号:

 

漏洞描述:

PHP是流行的脚本语言环境。

PHP在"crypt()"函数的实现上存在安全漏洞,远程攻击者可利用此漏洞绕过某些安全限制。

此漏洞源于"crypt()"函数在生成有salt的MD5哈希时,仅返回salt。

安全建议:

厂商补丁:
PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.php.net

 

3.5 Linux Kernel TCP序列数字生成安全漏洞

Linux Kernel TCP序列数字生成安全漏洞

发布时间:

2011-08-22

漏洞号:

CVE ID: CVE-2011-3188

漏洞描述:

Linux Kernel是Linux操作系统的内核。
Linux Kernel在TCP序列数组生成的实现上存在安全漏洞,远程攻击者可利用此漏洞使用暴力攻击注入任意报文到TCP会话,执行未授权操作。通过注入SYN或RST报文到TCP会话可造成拒绝服务,终止已经建立的连接。也可能出现其他攻击,如中间人攻击。

安全建议:

厂商补丁:
Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/