当前位置: 安全纵横 > 安全公告

一周安全动态(2012年2月2日-2012年2月9日)

来源:安恒信息 日期:2012-2

2012年2月第一周(2.2-2.9)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 电商行业恶性竞争利益链浮出 “网络黑社会”拿钱办事

  

有黑客扬言某电商网站称,“快拿钱,不然干掉你的网站”。

2月1日消息,电子商务行业竞争激烈众所周知,但激烈竞争背后往往埋藏黑暗。近日,国内保健食品电商企业久久健康商城称日前多次遭遇黑客“不交钱就攻击网站”的敲诈勒索,甚至部分扬言“有人花钱让我攻击你们”。

屡遭黑客攻击 对方扬言“拿钱办事”

近日,有网友在微博爆料,称朋友电商网站收到黑客勒索通知,扬言“快拿钱,不然干掉你的网站”。这位署名“高玉奇”的黑客甚至公然留下了自己的银行卡账号,并威胁对方务必在2月2日18点之前给该账户转账500元,否则将对该网站进行13G syn流量的DDOS攻击。

该微博发布后即刻引发行业人士热议,谴责互联网不法分子的猖獗。有业界人士感慨称,这些犯罪分子吃准了现行法规不足3000元不会立案,才钻了法律的空子。并呼吁行业人士和媒体推动制订特殊规定打击互联网新型犯罪,被欺诈的创业者也不要妥协助长其气焰。

媒体了解到,这家电商网站名为久久健康商城,是国内一家保健食品电商企业。该网站产品运营总监姜磊对媒体表示,已经不是一次收到这种威胁和攻击了,有时遭到勒索,有时直接被攻击。“但这次对方非常嚣张,甚至直接报出了攻击流量”。

他透露,基本上该网站每个月都会出现类似被攻击的情况,方法大多数是DDOS攻击,最开始由于防护措施不足,损失比较惨重。“之前有一次为了拖防御时间向对方支付过1000元,但对方并不守信继续攻击”。

姜磊向媒体透露,去年9月份,一位自称“专业攻击跟顶级防御策略”的网友对久久健康商城展开多次攻击,并称“别人出1200元,叫我攻击你们2天”,“有得商量就联系我”。

恶性竞争笼罩电商 打击欺诈存法律盲点

频繁被攻击让姜磊及其公司倍感无奈,他认为,仅仅是单纯的黑客勒索不太可能,很可能系竞争对手恶意为之。姜磊还称,做电商的没被攻击过,简直就是不可想象的,“这样的事情至少存在快十年的时间”。

一位长期电商行业观察者指出,恶性竞争状况在电商行业已经非常普遍,背后已经形成一条黑色产业链。不良从业者在利益面前甚至无所不用其极,比如A网站的产品好卖,不良竞争者B公司可能会盗用其页面进行推广,如在百度上做竞价广告。A无奈逼迫实施同类推广,如果效果比B好,对方就会另想“歪招”,其中就包括花钱雇人实施网站攻击,从而在商业上获利。

正如上述提到的,目前法律条文规定,诈骗或敲诈案中3000元为追诉起点,不足300元警方不予立案。而这些盲点就成为这些“歪招”实施的条件,被不法分子屡次利用。

网络安全专家表示,事实上安全行业一直存在灰色利益链条,专门提供网络攻击“服务”的黑客也不少见。但以目前国内互联网的行业发展现状来看,对类似这种DDOS攻击的“防守可以,打击很难”,因为调查攻击来源的成本往往很高,多数被攻击的网站很少报案申请调查,这也在一定程度上成为不法分子猖獗的原因之一。

1.2 黑客窃取用户数据库实施新型攻击

近日,安全公司发布2011年度安全报告,报告指出黑客开始以取得的用户数据库为基础,利用“社会工程学”原理对用户进行全面的诈骗、密码猜解、身份伪造、病毒和挂马等攻击,这种新型攻击已经全面渗透到黑色产业的各个环节,显示出巨大的现实危害。

报告指出,2011年下半年MSN充值卡诈骗、QQ充值卡诈骗等案例频繁发生。与2010年相比,由黑客“拖库”因素带来的安全问题显著上升,包括CSDN(微博)、天涯在内的一批互联网网站用户数据库被窃取,导致用户隐私大规模被泄漏,这给整个互联网带来巨大安全风险。

数据显示,单个受害用户的受损金额与往年相比有很大增长,这是因为2011年出现了多种诈骗方式:黑客通过MSN和QQ进行“老同学,帮我买几张充值卡”诈骗,利用团购进行“假iPhone诈骗”,利用搜索引擎广告来出售假冒伪劣商品等多种新型钓鱼诈骗方式,使得网民一旦中招,就会损失数千、甚至上万的金钱。

蓬勃发展的电子商务成为黑客窥测的主要对象,网购、支付、配送、推广、售后等多个环节均遭到黑客有针对性的攻击。例如,有的黑客在购物网站开设网店,以超低价格吸引网民,在砍价、咨询的过程中把捆绑了病毒的图片或文件发送给受害者,这样就可以窃取用户的支付账号,进而窃取钱财。

报告指出,黑客和病毒攻击越来越有针对性,网购、游戏等特定人群面临较大安全风险,这个发展趋势仍将保持。

1.3 三款Linux管理工具被植入后门程序存泄密风险

Linux系统管理员常用的三款开源管理工具汉化版存在后门程序,可窃取管理员帐号,从而完全控制Linux服务器。安全专家建议,Linux系统管理员应立刻卸载这些汉化版软件,并尽快修改服务器登录密码。

这几款开源管理工具包括PuTTY、WinSCP、SSH Secure。一般来讲,相应官方网站通常并不提供中文版本,一些不怀好意的攻击者将这三个开源软件汉化修改,植入木马,以监听Linux系统管理员登录远程服务器。

Linux服务器在商业公司网站、网络游戏运营商、个人网站都有十分广泛的应用,系统管理员执行管理任务通常需要这些远程管理工具。当所使用的系统管理工具被人为植入后门,服务器的登录权限便会立刻被攻击者窃取。

安全专家解释说,攻击者一旦拿到服务器的管理权限,服务器的任何资源均可能被盗,后果极其严重,危害级别就和春节前大规模爆发的信息泄露事件不相上下,相关商业公司和系统管理员必须高度重视这一风险。

  如果您的服务器出现如下问题:

1.进程 .osyslog 或 .fsyslog 吃CPU超过100~1000% (O与F 可能为随机)

2.有网络连接往 98.126.55.226:82(大概为主控)

3.机器疯狂外发数据

4./var/log被删除

5.同IP旁扫出现一个域名 oxoddos.com 并且站点名带中文

请立即检查系统安全性!

同时,可能会/etc/init.d/sshd文件被修改:
#!/bin/bash
auto
/lib/.fsyslog
#
# chkconfig: 2345 55 25
# description: OpenSSH server daemon
#
# processname: sshd
只要重启sshd,就被自动更改

同时建立一个到美国IP的TCP连接:98.126.55.226:82

增加了fsyslog(或osyslog)进程,耗费CPU严重

/var/log目录经常被删除

/etc 和/lib 目录 下多了很多隐藏文件 . 开头的,如:

[root@www init.d]# ll -al /etc/.
./ .fsyslog .fsyslog.2 .fsyslog.4 .fsyslog.6 .osyslog.1 .osyslog.3 .osyslog.5 .pwd.lock
../ .fsyslog.1 .fsyslog.3 .fsyslog.5 .osyslog .osyslog.2 .osyslog.4 .osyslog.6

[root@www init.d]# ll -al /lib/.fsyslog
-rwxr-xr-x 1 root root 328056 01-17 19:26 /lib/.fsyslog

需要同时检查sshd和sendmail启动文件,注释掉auto 和/lib/.fsyslog 两行,再
chmod 4500 /etc/init.d/sendmail
chmod 4500 /etc/init.d/sshd
rm /etc/.osyslog* -f
rm /etc/.fsyslog* -f
rm /lib/.fsyslog -f
rm -f /lib/.osyslog

拾梦(www.bugbeta.cn)专门下载了一个中文版的WinSCP,发现密码输入错误后,不让终止:

目前临时解决办法

·到官网网站下载SSH软件并安装

·立即更改SSH服务端口

·可使用密匙认证(好像不受影响)

·参照上文检查sshd和sendmail启动文件

·修改SSH服务器密码(提醒:要处理好上面几步之后再修改密码)

同时建议您,请在正规网站下载putty、WinSCP、SSH Secure,如:
putty:http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
WinSCP:http://sourceforge.net/projects/winscp/files/WinSCP/4.3.6/winscp436setup.exe/download

百度搜索putty、WinSCP、SSH Secure
已知可能存在问题的站点:
hxxp://www.putty.org.cn
hxxp://putty.ws
hxxp://www.winscp.cc
hxxp://www.sshsecure.com
第一个网站的whois信息:

 

putty和WinSCP是免费软件。但是很明显的:居然都在百度做竞价推广,这一点就非常说明问题!

既然做百度推广,就必然要交费,必然有地址!(换一种说法:出现这样的问题,百度难逃其咎)建议公安部门从百度竞价入手,追查相关责任人!

1.4 安全不可忘 全球黑客组织攻击事件一览

因2008年发动了对科学教会(Church of Scientology)的攻击,国际性黑客组织Anonymous开始进入了人们的视线。三年后,Anonymous和LulzSec, AntiSec, TeamPoison陆续发动了针对大企业和政府机构的攻击。下面,我们为你介绍这些黑客组织近年发动的攻击事件汇总。


全球黑客组织攻击事件一览

一、2008年1月:攻击科学教会

Anonymous组织成员,对科学教会有关联的网站都进行了一系列攻击,并发动了DDoS攻击。其攻击源于该教会倡议加大对网络自由进行审查,视作网络自由的一大威胁。


Anonymous组织成员,对科学教会有关联的网站都进行了一系列攻击

二、2008年9月19日:攻击Fox News及其主持人

Anonymous将攻击目标瞄向了Fox News主持人Bill O'Reilly及其粉丝。组织成员攻入Bill O'Reilly网站并窃取到邮件地址、密码和家庭地址。次日,Anonymous针对Billoreilly.com发动了两轮DDoS攻击。图中展示的是Anonymous邀请人们对Fox News进行攻击的图案。


Anonymous将攻击目标瞄向了Fox News主持人Bill O'Reilly及其粉丝

三、2010年10月:GeneSimmons.com

Operation Payback(行动复仇)的一部分,Anonymous对GeneSimmons.com发起了DDoS拒绝服务攻击,以反对个人和组织对网络盗版的打击。Anonymous视美国唱片工业协会(RIAA)保护版权的行为是一种威胁网络自由的手段。


Anonymous对GeneSimmons.com发起了DDoS拒绝服务攻击

四、2010年12月6日至10日:攻入金融服务公司

Aonymous针对关闭维基泄露捐助支付的PayPal和其他金融服务公司发动了DDoS攻击。在一项名为“复仇阿桑奇行动” (Operation Avenge Assange)中,Anonymous组织给维基泄密创办人Julian Assange写信,阐明他们黑客组织的行为原则。


Aonymous针对关闭维基泄露捐助支付的PayPal和其他金融服务公司发动了DDoS攻击。

五、2010年12月16日:攻破圣塔克鲁兹站点

解放阵线(Peoples Liberation Front),利用DDoS攻击了圣塔克鲁兹(Santa Cruz)网站,并使得其出现了服务宕机。根据美国法院的报道,事件的起因是几个抗议者在圣塔克鲁兹法院外游行示威遭到逮捕之后,人民解放战线发起了攻击。他们被逮捕的理由是他们抗议隔离措施。

Joshua John Covelli(图示)在2011年9月22日被指控利用DDoS攻击了Santa Curz网站。


解放阵线(Peoples Liberation Front),利用DDoS攻击了圣塔克鲁兹(Santa Cruz)网站

六、2011年2月:HBGary Federal及其CEO Aaron Barr

安全公司HBGary Federal在去年2月的RSA安全大会上宣布,将揭开知名黑客组织Anonymous的神秘面纱。公司CEO亚伦巴尔(Aaron Barr)的挑衅遭到了Anonymous的报复,该组织侵入HBGary Federal的服务器,曝光了巴尔的个人资料,致使HBGary Federal名誉扫地。


侵入HBGary Federal的服务器

七、2011年4月:索尼PSN

Anonymous在四月初攻入了索尼PlayStation Network,此举也同时将7700万个人和信用卡信息被泄露。根据IDG信息,索尼在4月19日才重视这次攻击事件,并且在网络中断后一天才开始着手展开调查。Anonymous给索尼带来的影响超过1个月,索尼因此在2012年底之前将损失1.71亿美元。


Anonymous在四月初攻入了索尼PlayStation Network

八、2011年5月30日:PBS

图示为LulzSec成员攻击PBS网站之后的模样。LulzSec攻破PBS,并在其“新闻时间”栏目抛出一枚“重磅炸弹”:已故的著名说唱歌星图帕克沙克,现在仍然健康地生活在新西兰。

其实,这是一则假消息,PBS出面澄清并予以了删除。黑客利用这次攻击获取了大量PBS用户的登录账户、邮件地址和密码。


图示为LulzSec成员攻击PBS网站之后的模样

九、2011年5月27日-6月2日:索尼娱乐公司

仍然是一则关于索尼被黑的故事。这次LulzSec将目标瞄向了索尼娱乐公司,并攻破公司的多个网站和数据库。LulzSec在海盗湾炫耀“窃取了超过100万用户个人信息,包括密码、邮件地址、家庭住址、出生日期和其他索尼关联的账户信息。”
LulzSec还披露了所有索尼娱乐公司的管理账户细节和密码,以及75000个音乐编码和350万个音乐优惠券。

十、2011年6月5日:InfraGard

LulzSec攻入了一个介于FBI和私人部门的反网络犯罪的合作站点——InfraGard亚特兰大分会网站。与此同时,LulzSec还获得了大约 180名InfraGard用户名的登录名和密码,并将其包括安全公司CEO的信息公布到海盗湾站点上,而该公司CEO曾经对该黑客组织表示过强烈谴责。


LulzSec攻入了一个介于FBI和私人部门的反网络犯罪的合作站点——InfraGard亚特兰大分会网站。

十一、2011年6月13日:美国参议院

LulzSec通过Twitter和Pastebin宣布,成功攻破美国参议院网站。


LulzSec通过Twitter和Pastebin宣布,成功攻破美国参议院网站

十二、2011年6月15日:CIA

LulzSec利用其低轨道离子炮(Low Orbit Ion Cannon)对CIA进行攻击,并利用DDoS对CIA站点进行了攻击,使得该网站宕机了数小时。


LulzSec利用其低轨道离子炮(Low Orbit Ion Cannon)对CIA进行攻击

十三、2011年6月19日: InfraGard Connecticut

LulzSec在Twitter上宣布:“近期我们通过简单的SQL注入攻击,已经成功黑掉了InfraGard Connecticut,攻破了超过1000个FBI相关成员。”

十四、2011年6月23日:亚利桑那州公共安全部

LulzSec这次将目标朝向了亚利桑那州公共安全部的计算机系统,并且将窃取的官方文件和电子邮件以及亚利桑那执法部门官员的用户名、电子邮件地址、物理地址和电话都予以了披露。

LulzSec将攻击目标朝向亚利桑那州公共安全部,主要是显示对该州通过的针对非法移民的“1070法案”表示不满。

十五、2011年7月18日:Rupert Murdoch

LulzSec攻击了英国著名的报社网站《太阳报》站点。他们将《太阳报》站点重定向至LulzSec的Twitter feed,并且在网上发布了默多克(Rupert Murdoch)在花园干活的时候逝世的假消息。

十六、2011年7月28日:Man Tech International

Anonymous宣布攻破了美国军用IT技术提供商Man Tech International网络系统,而且威胁说将公布从Man Tech服务器上获得的秘密文件。

十七、2011年8月14日:Bay Area Rapid Transit

8月14至15日,Anonymous攻击了旧金山的湾区快轨系统(Bay Area Rapid Transit)。BART网站MyBart.org被黑,而且用户名、地址、电话号码被公诸于众。8月15日,该网站彻底瘫痪。

事件起因于快轨系统暂时中断了手机服务,在人们进行抗议中BART警察射杀了无辜人群。

十八、2011年10月14日-15日:Pedophiles

Anonymous并不仅仅对企业和政府机关感兴趣,他们也对恋童癖及其站点感兴趣。作为反儿童色情行动“Operation Darknet”的一部分,Anonymous攻击了链接至地下网站Darknet的所有链接。

十九、2011年11月18日:Cybercrime Investigator Fred Baclagan

黑客组织AntiSec攻击力网络犯罪调查人员的gmail和谷歌语音帐号。该组织成员还泄露了Fred Baclagan的38000多个成员的私人邮件——为其他黑客发动攻击和窃取信息提供了便利。AntiSec还公布了几十个Baclagan的语音邮件和SMS短信日志。

 

二十、2011年11月:金融服务

Anonymous和TeaMp0isoN合作宣布一项“ Operation Robin Hood”活动,入侵信用卡和银行账户,并将非法所得钱款捐助给需要的个人或组织。

 

二十一、2011年12月11日:CLEAR

与Anonymous和AntiSec相联的黑客Exphin1ty,访问了CLEAR(Coalition of Law Enforcement and Retail)的会员数据库,并在网上公布了其会员名字、电话号码、电子邮件和家庭住址等,涉及到执法部门、联邦政府、军事部门等单位。

 

二十二、2011年12月11日:佛罗里达州的家庭协会

一个Anonymous和AntiSec的独立组织攻击了佛罗里达州的家庭协会的网站。为了让家庭协会有所回应,黑客还公布了数个会员的名字、电子邮件和IP地址。

二十三、2011年12月21日:CSDN泄密

12月21日上午,有黑客在网上公开CSDN网站的用户数据库,导致600余万个注册邮箱账号和与之对应的明文密码泄露。随后,天涯、新浪微博、腾讯 QQ、人人、开心网等知名网站的用户密码也遭到泄露。这次泄密事件影响之大、波及面之大、持续时间之长,堪称史无前例。

二十四、2011年12月24日:Stratfor

AntiSec在Pastebin上发帖,公布了美国全球情报分析机构Stratfor客户列表及其大量敏感数据。

 

2. 本周关注病毒

2.1 病毒名称:Dropper.Win32.Undef.cey(木马病毒)
警惕程度★★★

该病毒通过网络传播,病毒会从黑客指定网站下载各种木马、病毒等恶意程序,给用户计算机安全带来威胁。

 

2.2 病毒名称:Backdoor.Win32.ShangXing.dao(上兴黑客后门)
警惕程度★★★★

病毒运行后,会在temp文件夹内释放后门程序rejoice2011.exe和图片1.JPG,然后病毒启动rejoice2011.exe并打开图片1.JPG。由于后门程序rejoice2011.exe无界面,让用户误以为只打开了一个图片从而骗取用户。后门功能开启后,用户的机器沦为肉鸡,黑客可以通过输入远程指令实现屏幕监控、文件窃取、视频监控、语音监控、文字传输、注册表修改、系统控制等黑客后门功能。

 

2.3 病毒名称:Trojan.Win32.Fednu.tza(Fednu木马)
警惕程度★★★★

病毒运行后,会将自身的快捷方式放入"「开始」菜单\程序\启动"文件夹,实现开机启动,并且每隔3秒创建一次快捷方式,防止用户删除。同时病毒还会进行双进程相互守护的方法,使得手工杀毒方法失效。最终,病毒会关闭系统自带防火墙,并将IE默认主页篡改为黑客指定的恶意网站,并且不断下载最新木马到用户电脑中。如果不进行及时有效查杀,电脑上的病毒会越来越多严重影响用户的资料安全和隐私安全。

 

3. 安全漏洞公告

3.1 Linux kernel权限许可和访问控制漏洞

Linux kernel权限许可和访问控制漏洞

发布时间:

2012-02-01

漏洞号:

CVE-2011-4110

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux kernel 2.6版本的security/keys/user_defined.c的user_update函数中存在漏洞。本地用户可利用该漏洞借助与user-defined key和"updating a negative key into a fully instantiated key."相关的向量导致拒绝服务(空指针引用或者内核 oops)。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://bugzilla.redhat.com/show_bug.cgi?id=751297

 

3.2 PHP ‘suhosin_encrypt_single_cookie’函数缓冲区溢出漏洞

PHP ‘suhosin_encrypt_single_cookie’函数缓冲区溢出漏洞

发布时间:

2012-02-01

漏洞号:

CVE-2012-0807

漏洞描述:

PHP是一款免费开放源代码的WEB脚本语言包,可使用在Microsoft Windows、Linux和Unix操作系统下。
PHP的Suhosin extension 0.9.33之前版本的transparent cookie-encryption feature的suhosin_encrypt_single_cookie函数中存在基于栈的缓冲区溢出漏洞。当suhosin.cookie.encrypt与 suhosin.multiheader启用时,远程攻击者可利用该漏洞借助在Set-Cookie HTTP标头中使用的一个超长字符串执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://github.com/stefanesser/suhosin/commit/73b1968ee30f6d9d2dae497544b910e68e114bfa

 

3.3 phpMyAdmin ‘redirector feature’输入验证漏洞

phpMyAdmin ‘redirector feature’输入验证漏洞

发布时间:

2012-02-01

漏洞号:

CVE-2011-1941

漏洞描述:

phpMyAdmin是一个免费的WWW界面的mysql数据库管理工具。
phpMyAdmin 3.4.1版本之前的3.4.x版本的redirector feature中存在开放重定向漏洞。远程攻击者可利用该漏洞借助未明向量将用户重定向到任意网站进而执行网络钓鱼攻击。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.phpmyadmin.net/home_page/security/PMASA-2011-4.php

 

3.4 IBM Lotus Symphony数字错误漏洞

IBM Lotus Symphony数字错误漏洞

发布时间:

2012-02-01

漏洞号:

CVE-2012-0192

漏洞描述:

IBM Lotus Symphony是IBM推出的一款免费办公软件。
IBM Lotus Symphony中存在整数溢出漏洞,该漏洞源于对用户提供的输入未经正确验证。攻击者可利用该漏洞在受影响应用程序上下文中执行任意代码,攻击失败将导致拒绝服务。IBM Lotus Symphony 3.0.0 FP3的修订版20110707.1500中存在漏洞,其他版本也可能受到影响。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-03.ibm.com/software/lotus/symphony/home.nsf/home

 

3.5 Red Hat 远程信息泄露漏洞

Red Hat 远程信息泄露漏洞

发布时间:

2012-1-31

漏洞号:

CVE-2012-0059

漏洞描述:

Red Hat是流行的开源源码Linux操作系统。
Red Hat多个产品,包括:Red Hat Network Satellite服务器,Red Hat Network代理服务器和Spacewalk中存在远程信息泄露漏洞。攻击者可利用该漏洞获得用户证书。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www.redhat.com/archives/spacewalk-list/2011-December/msg00116.html
http://rhn.redhat.com/errata/RHEA-2011-0876.html