当前位置: 安全纵横 > 安全公告

一周安全动态(2013年3月21日-2013年3月28日)

来源:安恒信息 日期:2013-03

2013年3月第四周(3.21-3.28)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 互联网遭受史上最大规模攻击 全球网速普遍减慢

据安全专家们称,互联网在遭受到历史上最大规模的网络攻击之后,全球各地的连网速度普遍有所减慢。反垃圾信息组织Spamhaus是一家旨在帮助电子邮箱服务供应商过滤垃圾电子邮件和其他不受欢迎的内容的非营利性组织,它在伦敦和日内瓦均设有办事处。为了帮助电子邮箱服务供应商过滤那些垃圾信息,它编制和维护着一份恶意服务器黑名单。

最近,Spamhaus封杀了荷兰网站Cyberbunker的一些服务器。Cyberbunker声称自己将提供除了儿童色情或与恐怖主义有关的内容之外 的任何内容。Cyberbunker发言人斯温奥拉夫坎普回斯(Sven Olaf Kamphuis)称,Spamhaus滥用了它的地位,它无权决定哪些内容能够出现在互联网上,而哪些内容不能出现在互联网上。

Spamhaus的行为引发了恶意黑客们的报复性攻击,对更大范围的互联网造成了影响。很多热门服务如Netflix已经因此而受到影响,专家们担心这些攻击还会影响到银行和电子邮件系统。

Spamhaus称,Cyberbunker与东欧和俄罗斯的犯罪分子保持着合作关系,而且它就是近期网络攻击背后的黑手。

目前已有5个国家的网络警察机构开始对这些网络攻击展开调查。

Spamhaus 的首席执行官史蒂夫林福特(Steve Linford)称,这次的网络攻击的规模是空前的。他说:“在过去的一周里,我们一直在遭受网络攻击。但是我们挺过来了,他们并没有把我们打趴下。我们 的工程师们付出了巨大的努力,来保证我们可以继续提供服务。如果受到攻击的是其他服务的话,可能早就被击垮了。”

林福特称,目前已有5个不同国家的网络警察机构正在对这次的攻击进行调查。他说,由于那些网络警察机构担心他们自己的基础设施可能会遭到攻击,因此他不能公布更多的信息。

据悉,恶意攻击者们使用了一种名为“分布式拒绝服务式”(DDoS)的战术,也就是在短时间内向他们想要攻击的目标发送大量的信息流,以达到让目标瘫痪的目的。

在这次的攻击中,恶意黑客们攻击的目标是Spamhaus的域名系统(DNS)服务器。

林福特称,此次攻击的力度非常强,以致于政府的互联网基础设施也瘫痪了。他说:“如果用这样强度的攻击去打击唐宁街,后者可能马上就崩溃了,它们可能会马上从网络上掉下来。”

他补充说:“这些攻击的最大强度达到了300GB/s,而我们平时所说的针对重要银行的网络攻击强度也只有50GB/s左右。”

美 国萨里大学的网络安全专家、教授艾伦伍德沃德(Alan Woodward)称,连锁反应对全球各地的互联网服务都造成了损害。他说:“你可以将它想象成一条车道,网络攻击就是向这条车道里放进大量的汽车,从而 造成交通堵塞的情况。在这次攻击中,数据量非常大,以致于互联网自身都出现堵塞现象了。”

专 门针对DDoS攻击提供保护服务的Arbor Networks公司也说,这是他们见过的规模最大的一次网络攻击。Arbor的安全研究主管丹霍尔登(Dan Holden)表示:“在此之前,我们见过的规模最大的一次DDoS攻击发生在2010年,当时的攻击强度为100GB/s。这次的攻击强度骤升到 300GB/s,这显然是相当大的强度了。”

他继续说:“攻击还对沿途的其他服务造成了不同程度的连带伤害,具体情况要视其他服务所用的基础设施而定。”

Spamhaus称,它成功挺过了这次的攻击,因为它的基础设施分布在很多国家。

Spamhaus得到了很多全球最大的互联网公司的支持,那些互联网公司依靠Spamhaus来过滤不受欢迎的内容。

林福特称,包括谷歌在内的一些公司还为Spamhaus提供了不少资源,以帮助Spamhaus消化那些流量。他说:“他们的攻击目标是他们认为可能打垮的所有互联网基础设施。但是我们是不能被打垮的。Spamhaus在全球各地拥有80多台服务器,我们建立了最大规模的DNS服务器。”

1.2 中国专家指出:美国安全思维错误将导致全球网络灾难

上海国际问题研究院副院长杨剑日前撰写评论文章指出,美国的机构、媒体、政客一起炒作所谓的中国网军,无端挑起各国之间在网络安全上的不信任,对全球网络安全进程和网络生态起到了极大的破坏作用。

文章称,美国挑起各国在网络安全上不信任的行为,将对全球网络安全进程和网络生态起到极大的破坏作用。“美国最近几年重视网络安全问题,这无可厚非,但美国战略和实践中所反映的安全思维是大错特错的,这将带来全局性的损失并引导世界再次走向分裂。”

文章认为,在美国的各种战略文件中到处充斥着这种错误的安全思维:美国最先在网络安全战略文件中树立了国家敌人,并划分盟国、中立国和潜在敌国;率先成立网络作战部队,制订了网络作战的各种战略和守则;第一个将威慑观念引入了网络空间。杨剑在文中指出,美国谋求网络绝对优势的行为,实际上启动了各国之间的网络军备竞赛。

事实上,杨剑的担心并非空穴来风。美国的做法正引起其他国家的效仿。自美国组建网络作战部队以来,仅在2010年到2012年的两年时间内,韩国、印度、北约、德国、英国、日本、伊朗、俄罗斯等国纷纷成立网络作战部队或制定武装力量网络安全构想。“可以设想一下,任何一个被美国视为潜在敌国的国家,一定会研究美国的网络作战能力、模仿其作战模式,并研究反制方式。”杨剑认为,美国在迫使其他国家竭力提高自身的攻防技术手段,而这种威慑的攻防游戏会使网络更不安全。

文章指出,20世纪90年,美曾一再宣扬有关地球村的治理文化、相互关联和依赖的安全思维、地缘经济让位于地缘政治的国际关系变革等理念,借以推行其“全球信息高速公路”计划,呼吁各国政府开放电信市场。美国因此将大批具有技术优势的美国产品推向世界所有国家的电信基础设施,获得了巨大的经济收益,并成就了美国90年代的经济繁荣。如今,美国率先背离了这个逻辑,在网络治理领域放弃了全球共同安全的思维。

在这次所谓的中国网军事件中,美国则试图通过自身机构认定的所谓“事实”来证明自己可能展开报复行动的正当性。这不禁令人想起伊战前夕,美国也是通过自己的情报机构认定萨达姆政权拥有大规模杀伤性武器,于是发动了对伊战争。而战争结果是伊拉克境内没有发现任何大规模杀伤性武器。

“不知道这样的情报是不是美国通过网络入侵获得的!”杨剑在认为,如果中国和美国仅仅根据服务器的IP地址源于对方辖区就认定对方是攻击者,随即发动网络攻击报复,大概只有那些真正应当为此负责的网络激进分子会为之窃喜。无可否认的是,到目前为止,可以确定由政府资助的针对他国核设施和他国的网络防火墙的网络攻击,只有美国实施过。

杨剑认为,建立全球网络安全需要各国政府间团结、信任和理解,而美国作为网络技术强国有责任树立良好的行为榜样。“中、美、俄等大国应当认真思考如何通过国际合作、能力建设、法律制度、技术措施建立全球网络安全。应在全球形成不使用网络武器攻击他国和公共平台的国家道德和国家行为规范,回到全球网络安全的正轨之上。”

1.3 研究人员利用42万僵尸节点创建全球IPv4地图

一位匿名研究员利用非常手段绘制了全球活跃的IPv4地址地图。 他采用的方法违反了现有的法律,如果被起诉的话可能要关几辈子,尽管他没有造成任何破坏和损害。扫描全球IPv4地图需要用大量的扫描器去ping几十亿 次,这位研究员注意到,有大量的IPv4设备管理密码要么十分简单(如 admin/admin,root/root)要么就是空白。

因此他写了一个程序创建了一个临时性质的僵尸网络:首先寻找这些存在安全漏洞的设备,然后将 这些设备作为控制节点,分配扫描范围,返回扫描结果。代码在感染设备上设置为最低优先级,防止冲突确保设备不会过载,一旦被感染设备重启代码就会被完全抹掉。

各地网络的使用特点

在最上面的地图中,各地的网络流量是随着时间的变化而变化的:其中红色表示流量峰值、蓝色代表流量低谷。

从图中可以看出,相对于其他地方而言,美国和欧洲夜间的互联网使用也较为活跃,这主要是由于这两个地区路由器和网络机顶盒的使用量很高导致的。

另外的一个有趣现象是,中国和欧洲的网络峰值出现在太阳即将下山的时候,这从另外一个角度说明这两个地方的人可能是在每天下班之前都在奋力的完成自己当天的工作,或者也许他们只是抓紧下班前的时间上网休闲而已。

在释放出程序后他的僵尸网络(如图)包含了42万个节点,大部分是路由器或机顶盒。根据Internet Census 2012报告,经过6个月的扫描,他发现活跃的IPv4地址共13亿个,而可用IPv4地址总数约为43亿。完整的扫描数据已放出下载,大小为9TB。

1.4 投诉售票员 乘客变黑客 黑了公交官网

3月23日中午,泸州市公交公司的官方网站遭到黑客攻击。令人啼笑皆非的是,该名黑客在攻击中留言解释自己的动机,竟然是不满20路公交车售票员的服务态度。

不满售票员的服务态度,一气之下,乘客黑进泸州市公交公司的官方网站,篡改网页并留言称:“老子心理(里)很不爽,所以决定黑掉贵公司网站,提醒上面老总进行整顿……”3月23日,泸州市公交公司的官方网站遭到黑客攻击,部分网页被篡改长达一个多小时。事后,泸州市公交公司针对此次攻击作出回应称:他们并未向警方报案,但希望市民若有意见和建议,最好能通过正规渠道进行反映。

黑客攻击:希望整顿服务态度

3月23日中午,在泸州论坛上出现一则“有人宣称黑了公交公司的网站”的网帖。帖文介绍:当日中午12点5分,一名黑客攻击了泸州市公交公司的官方网站,并留言称“要投诉20路公交车售票员”。

从该帖上传的3张图片中,华西城市读本记者发现,泸州市公交公司官方网站的主页已被人篡改,并且还有黑客写下的两条留言。

留言内容显示,这名黑客发动攻击的原因主要是,对20路公交车售票员的服务态度不满。“很多售票员出口成章(脏),经常和乘客发生争执!”他希望通过此次攻击,提醒泸州市公交公司,针对个别员工服务质量“应该进行大力整顿”。

记者还留意到,黑客顺带一则“友情”提示:“我知道黑了你们网站是不对的,但必须这样。这次攻击未作任何破坏,后门文件已经删除,希望贵公司按照我的要求整顿一下!”

该帖一经出现,立即吸引了众多网友的视线。昨日中午,记者通过粗略统计发现,至少有超过3000多名的网友关注了此事。而其中,大多数网友对该帖的真实性,提出了质疑。

公交回应:建议通过正常渠道反映

昨日下午,针对此次黑客攻击的真实性,记者向泸州市公交公司求证。该公司总经办主任魏定国证实,3月23日中午,他们公司的官方网站确实曾遭到黑客攻击,“部分页面被篡改后,无法正常显示。”

“整个攻击过程,大约持续了1个多小时。”魏定国介绍,事后技术人员发现异常,立即通知网络供应商,进行了修复。

针对此次黑客攻击,魏定国称,他们并未向警方报案。对于黑客在留言中投诉售票员服务态度欠佳的问题,泸州市公交公司正在组织人员,进行调查。

“但这名黑客向我们投诉的方式,建议大家不要效仿。”魏定国说,如果市民有好的意见或者建议,希望能通过正规渠道反映。例如拨打泸州市公交公司的服务热线3173021,或者直接和路队管理人员进行联系。

警方说法:此行为已涉嫌违法

昨日,泸州市江阳区网监大队的负责人介绍,由于泸州市公交公司在事后并未报案,因此他们目前尚未立案调查。该负责人称,虽然这名黑客本意是为了向公交公司提出建议,希望进行业务整顿,但他所采用的方式“已经涉嫌违法”。

“按照相关法律规定,黑客攻击网络系统,造成严重损失或威胁公共信息安全的,公安机关可追究刑事责任。”该负责人建议,市民在发现被黑客攻击后,最好立即向公安局网监部门报案,以维护自己的合法权益。华西城市读本记者廖金城记者手记能否选择不违法的方式?

一名普通的公交车乘客,因对售票员的服务态度不满而完成华丽转身,变成黑客攻击整个公交公司的官方网站……在不少网友看来,这名乘客无疑是深得了李白笔下侠客的真谛,“十步杀一人,千里不留行。事了拂衣去,深藏身与名。”然而,在快意恩仇的同时,我们不妨思考一下:通过自己掌握的网络技术,粗暴地攻入公交公司的网站留言、投诉,甚至是篡改数据。这种行为是否已有“以暴制暴”的嫌疑呢?

我们愿意相信,这名乘客的本意很有可能是好的,提醒公交公司对售票员的服务态度,进行规范和整顿。但我们更希望看到的是,他能选择一种更容易让人接受、且不违法的方式,来表达诉求。毕竟,我们正身处于一个法治社会。

1.5 钓鱼巧借漏洞寄生官网 小心被盗号

当网站存有漏洞,黑客们就会利用该漏洞进行恶意钓鱼,知名大网站也可能存在这样的漏洞。近日,腾讯电脑管家发现,很多知名站点上存在的漏洞被钓鱼者利用, 用以大规模传播钓鱼盗号网站,目前已有至少478个站点被利用,如CCTV养生频道官网、7天连锁酒店官网、阿里巴巴外贸圈官网等多家熟知的站点成为钓鱼 网站的“宿主”。

据腾讯电脑管家反钓鱼专家邵付东介绍,此种钓鱼手法比较高阶,他们通过利用这些网站的漏洞,来获得知名网站的“掩护”,类似于“寄生”关系。有了这 种关系,钓鱼者就可以在该网站的域名下构造出合乎网站规矩的跳转逻辑,进而将中招者引入到事先准备好的钓鱼页面。也有些站点,钓鱼者甚至可以利用漏洞实现 远程控制,直接把钓鱼模版放置到该站点的服务器上。

截至目前,腾讯电脑管家监测到被利用的网址达到478个,且仍在以每天十几个的速度增长。

盗号者利用这种“有身份”的网站作为保护伞,很容易迷惑广大用户,导致账号被盗甚至经济损失。目前,电脑管家对问题网址的拦截已经达到了60万次/日。


(钓鱼者骗取信任的伎俩)

(点击进入后多数伪装成QQ空间,要求你输入QQ账号密码)

提醒各位站长注意自己站点安全,勤查补漏,防止被黑客利用;同时也提醒广大用户加强安全防范意识,不要轻易输入任何账号和密码,谨慎辨别后再操作。目前已经发现漏洞被利用的部分站点:

 

2 本周关注病毒

2.1 Worm.Win32.Autorun.txn(蠕虫病毒)

警惕程度 ★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护的功能,下载大量木马病毒,给用户造成很大安全隐患。

2.2 Trojan.Win32.Fednu.una(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Backdoor.Win32.Tenpeq.a(‘Tenpeq’后门病毒)

警惕程度 ★★★★

病毒运行后将自我复制到C盘的“Program Files\Common Files\Microsoft Shared\MSInfo”及“Documents and Settings\Administrator\Local Settings\Temp”两个目录下,修改注册表,以实现开机自启动。同时,该病毒收集用户当前的系统信息及硬盘上的私密文件,并监听用户电脑,将用户的隐私信息发送至黑客指定服务器。除此之外,该病毒还会远程连接黑客指定网址,后台下载恶意程序并在本地执行。中毒用户将面临隐私信息泄露、机密文件失窃等风险。

 

3 安全漏洞公告

3.1 IBM Lotus Domino 'x.nsf'多个跨站脚本漏洞

IBM Lotus Domino 'x.nsf'多个跨站脚本漏洞

发布时间:

2013-03-26

信息来源:

BUGTRAQ ID: 58715

漏洞描述:

IBM Lotus Domino 是一款服务器产品,可提供企业级电子邮件、协作功能和自定义应用程序平台。
IBM Lotus Domino 8.5.4及之前版本在'x.nsf'的实现上存在多个跨站脚本漏洞,通过data:和vbscript: URI可利用此漏洞执行攻击,导致在受影响站点的浏览器中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/

3.2 IBM Lotus Domino 拒绝服务漏洞

IBM Lotus Domino 拒绝服务漏洞

发布时间:

2013-03-21

漏洞号:

BUGTRAQ ID: 58646
CVE(CAN) ID: CVE-2013-0486

漏洞描述:

IBM Lotus Domino 是一款服务器产品,可提供企业级电子邮件、协作功能和自定义应用程序平台。
IBM Lotus Domino HTTP服务器8.5.x内存在内存泄露,远程攻击者可利用此漏洞造成HTTP服务器崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ibm.com/support/fixcentral/

3.3 Naxsi 'naxsi_unescape_uri()'函数安全绕过漏洞

Naxsi 'naxsi_unescape_uri()'函数安全绕过漏洞

发布时间:

2013-03-26

漏洞号:

BUGTRAQ ID: 58714

漏洞描述:

Naxsi是开源的、低规则维护的、针对Nginx的Web应用防火墙模块。
Naxsi的naxsi_src/naxsi_utils.c naxsi_unescape_uri(u_char **dst, u_char **src,
size_t size, ngx_uint_t type)没有正确处理某些输入,可被利用绕过某些WAF规则。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://code.google.com/p/naxsi/

3.4 EMC Smarts Network Configuration Manager 身份验证绕过漏洞

EMC Smarts Network Configuration Manager 身份验证绕过漏洞

发布时间:

2013-03-17

漏洞号:

BUGTRAQ ID: 58716
CVE(CAN) ID: CVE-2013-0935

漏洞描述:

EMC Smarts Network Configuration Manager (NCM)是智能网络配置管理器。
EMC Smarts Network Configuration Manager 9.2之前版本可允许恶意用户远程调用某些支持的Java Remote Method Invocation方法,但不进行身份验证。另外,NCM System Management (SysAdmin) Console存在已知漏洞。攻击者可利用这些漏洞绕过某些安全限制并操纵受影响系统。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.emc.com/products/storage_management/navisphere.jsp

3.5 Apache mod_ruid2 chroot安全绕过漏洞

Apache mod_ruid2 chroot安全绕过漏洞

发布时间:

2013-03-25

漏洞号:

CVE(CAN) ID: CVE-2013-1889

漏洞描述:

mod_ruid2是apache 2.0, 2.2, 2.4上使用的suexec样式模块,允许以控制虚拟主机的用户账户UID和GID运行Apache webserver。
mod_ruid2 0.9.8之前版本存在文件描述符处理问题,可导致通过CGI脚本执行chroot。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://sourceforge.net/mailarchive/forum.php?thread_name
=514C503E.4020109%40users.sourceforge.net&fo