PowerPoint Presentation

Size: px

Start display at page:

Download "PowerPoint Presentation"

续妆杭
5 years ago
Views:

1 网络安全威胁监测上海交通大学网络信息中心汪为农

2 主要内容 1 高校网络安全状况 2 网络安全威胁监测 3 当前主要网络安全威胁 4 高校应用系统安全问题举例

3 1 高校网站数量中国高校网站安全检测报告 360 互联网安全中心 (2013) 360 互联网安全中心收录了国内高校网站总计约 5 万个 (1) 网站数量排名前五位的地区 : 北京 (6415) 江苏 (5711) 广东 (3472) 山东 (3384) 上海 (3357) (2) 网站数量最少的五个地区 : 内蒙 (311) 宁夏 (235) 海南 (165) 青海 (51) 西藏 (5) 2 高校网站安全平均得分 360 网站安全检测平台数据统计, 高校网站安全平均得分由 2012 年的 37 分增长到了 55 分, 平均分不及格 ; 高校网站平均每五个漏洞就有一个高危漏洞, 意味着中国高校网站存在着大量高危漏洞 3 高校网站遭受黑客攻击平均数量每个高校网站平均每天被黑客攻击 113 次 ; 高校网站被黑客入侵后通常受到的侵害 : 网站挂马网页篡改网站数据库被拖库服务器被控制成为肉鸡等 4 高校网站漏洞情况高校网站存在的安全漏洞中, 数量最多的漏洞为 : 跨站脚本漏洞 SQL 注入漏洞信息泄露漏洞等, 其中 SQL 注入漏洞危害最大, 也是黑客最常用的攻击手段

4 中国高校网站安全性排名全国倒数第二中国高校网站安全情况极差, 在全国各类网站安全情况排名中, 高校网站安全性排名倒数第二, 意味着高校网站非常容易被黑客入侵篡改和窃取资料

5 全国各地高校网站安全情况排名全国高校网站安全情况得分排名 : 1 网站安全得分排名前五位的地区 : 北京 (71.0 分 ) 安徽 (68.8 分 ) 西藏 (67.9 分 ) 天津 (66.7 分 ) 湖北 (66.7 分 ) 2 网站安全得分最低的五个地区 : 贵州 (43.7 分 ) 山东 (40.8 分 ) 云南 (40.2 分 ) 吉林 (39.5 分 ) 海南 (33.0 分 )

6 中国高校网站安全漏洞类型分析

7 中国高校网站被侵害类型分布

8 中国高校网站安全六大隐患令人担忧的是, 高校网站上往往存有大量的敏感数据和个人信息, 因此也一直是黑客窃取资料和篡改数据的重要目标另外, 高校网站在搜索引擎中的权重也比较高, 因此也是钓鱼网站通过植入黑链进行 SEO 的重点攻击目标所以说, 高校网站在安全性方面的严重欠缺, 直接威胁着公共安全的多个方面 1 网站建设和管理不统一很多高校的网站建设不是由学校统一进行, 而是各个学院分别开发建设, 导致学校网站安全整体上管理困难 2 网站日常维护缺失高校网站的日常维护尤其是漏洞修复等安全维护与商业网站比相对较差, 一些已公布已久的安全漏洞常常过了很久也得不到修复 3 对网站安全不重视由于高校网站的公益属性, 即使被入侵和篡改也不会立刻看到明显的损失, 所以网站安全往往得不到重视 4 网站信息保护意识差弱口令信息泄露随处可见 5 软件系统漏洞软件或系统漏洞没有及时打补丁或更新 6 服务器漏洞服务器服务商不够正规, 不能够从服务器端做好安全服务

9 网络安全实时监测平台架构平台管理服务器 ( 含网管系统 ) 特征库和检测库事件分发交换机事件发布交换机后置分析处理引擎安全威胁知识库 Web 事件发布服务器关联分析处理引擎安全事件历史数据库 CERNET 流量分配交换机引擎汇聚交换机分析引擎服务器群 10G 10G 大流量探针流量分配交换机引擎汇聚交换机分析引擎服务器群 10G 10G 大流量探针大流量探针大流量探针安全监测管理中心

10 新建安全监测试验系统监测管理服务器探针 1 探针 2 探针 13

11 安全监测平台存在的主要问题安全监测平台较长时间以来处于半闲置状态, 未在教育网范围内的网络安全监测方面发挥很好作用, 其主要原因为 : 1 检测平台未有后续开发和进一步完善, 安全威胁检测能力和检测效果尚有很大不足 ; 2 缺乏一个可长期持续发展的运维机构运行机制和协作机制, 依靠个别学校运维并为全国范围内的高校提供服务是不现实的 ; 3 安全监测平台核心价值在于具有能够及时和不断发现最新安全威胁的能力, 这就需要一支很强的网络安全研究团队, 对监测平台进行及时有效维护, 目前 CERNET 尚未组建这样一支团队高教学会网络信息安全工作组若想要组建高校范围内的安全监测平台必将会遇到同样问题, 除平台团队外, 一个可持续的运维机制将是成败的关键

12 国家互联网应急中心最新安全报告 (2015.8) 发现中国大陆地区 2,514,138 个 IP 地址对应的主机通过木马或僵尸程序秘密控制最多的地区分别为广东 ( 约占 14.2%) 江苏 ( 约占 9.8%) 和山东 ( 约占 8.4%) 发现全球感染飞客蠕虫的主机 IP 地址共 2,182,972 个, 最多的地区分别为中国 ( 约占 12.4%) 巴西 ( 约占 7.2%) 和俄罗斯 ( 约占 5.6%)

13 国家互联网应急中心最新安全报告 (2015.8) 发现中国大陆地区被植入后门的网站 10,992 个, 最多的地区分别为北京 ( 约占 22.1%) 广东 ( 约占 15.7%) 和河南 ( 约占 7.3%) 中国大陆地区被篡改网站 7,408 个,, 最多的地区分别为北京 ( 约占 20.3%) 广东 ( 约占 18.6%) 和河南 ( 约占 12.2%)

14 国家互联网应急中心信息与动态周报

15 主要安全威胁种类分布在上海若干公网监测点监测结果, 与国家互联网应急中心通报的主要安全威胁相似的, 当前主要安全威胁是 : DDOS 攻击在公网上比较严重 ; 远程控制僵尸网络主要针对主机系统 ; 漏洞利用网站后门和网页篡改主要针对广泛应用的 Web 网站和相关服务器系统

木马网站服务器在同时对目标服务器发起攻击, 形成大流量 UDP/TCP DDoS 分布式攻击基于反射放大技术的 DDoS 攻击利用互联网上广泛存在的开放的服务资源,

16 基于僵尸网络和的 DDoS 攻击主要的 DDoS 攻击技术传统的 DDoS 攻击由僵尸网络组成, 大量肉鸡在黑客控制下, 向某一特定目标发起流量攻击, 攻击流量取决于僵尸网络规模的大小基于网站的 PHP shell DDoS 攻击通过网站漏洞入侵网站并上传 PHP 代码级的木马程序, 黑客利用大量感染 PHP 木马网站服务器在同时对目标服务器发起攻击, 形成大流量 UDP/TCP DDoS 分布式攻击基于反射放大技术的 DDoS 攻击利用互联网上广泛存在的开放的服务资源, 如 DNS 域名解析服务器 NTP 定时服务器等, 通过源地址欺骗实现流量反射, 和通过小包长的服务请求获取大包长的服务响应实现流量放大, 形成超大流量的 DDoS 攻击, 这也是黑客当前主要的攻击手段

17 PHP DOS 木马网站

18 网上流传的各种 PHP DDOS 控制器 PHP DDOS 需要一个控制器, 通常在网上到处可见 1 血腥 DDOS 2 色熊 PHPDDOS 3 云雾 PHPDDOS 4 PHPDDOS 电磁风暴 PHPshellDDOS 6 PHPDDOS 终结者 7 PHPDDOS 闪电版 8 末日帝国 DDOS-V12.0 版 9 林中狼 DDOS 10 末日之刃 phpddos14.0 PHPDDOS 终结者末日之刃 PHPDDOS 电磁风暴 6.0 PHPDDOS 10.0

19 DNS/NTP 放大攻击 1 原理 (1) 流量反射 UDP 通信中, 由于无连接源地址可以任意伪造, 黑客发送一个伪造源地址的请求包, 其应答包将会被送到伪造的 IP 地址, 是一种反射攻击, 具有高度隐蔽性, 无法追踪黑客 (2) 流量放大一个小字节长度的请求包, 返回一个很大字节长度的应答包, 形成流量放大效应 DNS 攻击流量放大倍数可达倍,NTP 攻击流量放大倍数可达 200 倍以上 2 DNS/NTP 放大攻击 (1)DNS/NTP 在互联网上服务是开放的, 任何人都可向其请求服务 ; (2)DNS/NTP 用 UDP 通信 3 泛在高效低成本的 DDOS 攻击平台由于网上存在大量的可利用的 DNS NTP 等服务器资源, 因此 DNS/NTP 放大攻击已逐渐成为 DDOS 攻击的主流,DNS/NTP 放大攻击流量曾达到 300G (spamhous)

面对 DDOS 攻击的无奈 1 DDoS 分布式拒绝服务攻击目的在于消耗网站等服务器资源或阻塞通信线路的带宽, 破坏网络应用和网络服务, 目前技术上几乎还没有有效的解决方案 2 随着 DDoS 攻击工具的泛滥及地下黑色产业市场的发展,DDoS 攻击越来越多, 攻击流量越来越大几年前 DDoS 攻击流量一般为 1G 左右, 现在有些 DDoS 攻击流量已经上升到 300G 500G, 甚至 1T

20 面对 DDOS 攻击的无奈 1 DDoS 分布式拒绝服务攻击目的在于消耗网站等服务器资源或阻塞通信线路的带宽, 破坏网络应用和网络服务, 目前技术上几乎还没有有效的解决方案 2 随着 DDoS 攻击工具的泛滥及地下黑色产业市场的发展,DDoS 攻击越来越多, 攻击流量越来越大几年前 DDoS 攻击流量一般为 1G 左右, 现在有些 DDoS 攻击流量已经上升到 300G 500G, 甚至 1T 流量级别, 面对这样的攻击, 对于一般的网络用户毫无招架之力, 只能求助于电信运营商, 但有时连电信运营商也难于有效应付 3 针对 DDoS 攻击虽然有流量清洗设备可选择, 但在大流量攻击情况下, 由于接入带宽的限制, 流量清洗设备对园区网用户根本解决不了问题, 流量清洗设备只有在远端 ( 主干网或接入网 ) 才能发挥较好的作用, 但运营商提供流量清洗业务高昂费用使得一般用户望而却步 DDoS 监测案例教育网 DDoS 监测案例

21 1 主干网上抑制源地址欺骗不少洪泛攻击如 SYN Flood UDP Flood ICMP Flood 也采用伪造源地址的方法为对逃避攻击源的追踪 ; 反射放大攻击依靠将数据包的源地址篡改为攻击目标地址的方法实现流量向目标地址反射在主干网和用户网络接入点配置 urpf (Unicast Reverse Path Forwarding) 是单播逆向路径转发检查, 可有效抑制源地址欺骗 urpf 通过获取包的源地址和入接口, 以源地址为目的地址, 在转发表中查找源地址路由对应的出接口是否与入接口匹配, 如果不匹配, 认为源地址是伪装的, 丢弃该包 2 园区网中相关主机和服务器的管控面对 DDOS 攻击我们能做什么不少园区网既是 DDoS 攻击的受害者同时也是 DDoS 的参与者清理园区网中僵尸主机和肉鸡, 以免被黑客利用去攻击他人 ; 限定 DNS NTP 等服务器只向信任的网络用户提供服务 ; 控制 SSDP 协议通信范围,SSDP 是通用即插即用 upnp 设备 ( 如打印机扫描仪等 ) 简单服务发现协议, 没有必要开放到公网上被黑客当枪使

22 网站安全网站已成为当今各种互联网应用的主要承载, 而网站的安全问题构成网络安全的主要威胁当前网站安全威胁主要包括 : 网站漏洞网站后门和网页篡改, 三者之间存在密切关联后门植入寄生虫植入网站漏洞网站后门网页篡改漏洞利用网站控制 SEO 工程 1 网站漏洞网上大量网站存在陈旧的安全漏洞, 典型案例有 : Struts2 远程命令执行漏洞 FCKeditor 文件上传漏洞 ckfinder 文件上传漏洞

23 网站安全 Discuz! 后台注入漏洞 ewebeditor 数据库下载漏洞 ColdFusion 后台注入漏洞 2 网站后门网站后门已成为黑客对网站实施控制和窃取数据的主要手段, 网站后门主要有 2 大类 : (1)WebShell 几年前 webshell 作为主流网站后门充斥于问题网站, 近年数量明显减少 ; (2) 一句话木马由于代码极其简单易于变形可嵌入其他文件或图片和隐蔽性好等特点受到黑客广泛青睐 3 网页篡改网站后门监测一句话后门网页篡改已成为黑色产业的一部分, 由初期黑客手工篡改和维护, 逐步向自动批量篡改, 定时刷新方向发展, 一个被黑客掌控的网站中被植入的篡改网页从几百到几万页不等网页篡改监测暗链篡改批量篡改

24 基于网站寄生虫的批量网页篡改黑客掌控和维护网页篡改模板服务器被篡改的网站被篡改的网站被篡改的网站已植入一句话木马网站寄生虫模板服务器模板下载黑客维护篡改模板服务器, 并借助管理工具通过一句话后门控制所有网站上的寄生虫黑客控制黑客被篡改的网站 1 黑客利用网站漏洞在拿下众多网站后, 分别植入一句话后门, 并通过一句话后门批量植入网站寄生虫 2 网站寄生虫在黑客远程控制下定时从黑客指定的网页篡改模板服务器下载各种不同网页模板或挂链内容, 并在网站随机目录下生成大量篡改网页

25 Webshell 管理和泛站工具 Black Hat Terminator Shell

26 批量挂链 Black Hat Terminator Shell

27 泛站功能 Black Hat Terminator Shell

28 某招生管理系统后台缺省口令漏洞某学院招生网站

29 某招生管理系统后台缺省口令漏洞某学院招生网站管理后台缺省用户名 / 口令 : admin/admin

30 某招生管理系统后台缺省口令漏洞某学院招生网站管理后台进入后台后可修改管理员密码和上传任意文件

31 某网络教学综合平台测试账号漏洞缺省测试账号 : theol_teacher

32 某网络教学综合平台测试账号漏洞进入教学资源库可传任意文件

33 某课程中心缺省口令漏洞

34 某一卡通系统管理员密码重置漏洞用域名 / managereditnmanager.action?id=1 就可直接进入后台

35 某一卡通系统管理员密码重置漏洞 1 管理员 WEBMANAGER 口令可重置 ; 2 查看网页源码可获得管理员口令密文 <input type= hidden name= hiddenpasswd size= 20 value='a4e367c91ae9ea87' > <input type="hidden" name="name" size="20" value='webmanager' > 3 递增域名 / managereditnmanager.action?id=1 中 id=1 参数可谝历所有持卡用户的账号

36 某一卡通系统管理员密码重置漏洞

37 某一卡通系统管理员密码重置漏洞当 Id=2 可获得 Syntong 的口令密文

38 某财务系统远程代码执行漏洞

39 某财务系统远程代码执行漏洞该财务系统采用了开源应用程序框架 Strus2,Struts2 漏洞导致黑客可远程执行任意命令包括文件上传和下载等

40 某期刊采编系统文件包含漏洞

41 某期刊采编系统文件包含漏洞黑客利用可直接获取网站的配置文件

42 某期刊采编系统文件包含漏洞网站配置文件中包含许多敏感信息

43 某稿件远程处理系统认证绕过漏洞北京玛格泰克公司稿件远程处理系统

44 某稿件远程处理系统认证绕过漏洞绕过身份认证, 可以修改或获取所有作者的个人信息

45 XXXX 工业大学教务处某综合教务管理系统 DB 配置文件泄露

46 高校网络安全问题以上是从网上公开的高校网络安全问题的一小部分, 每个案例都不是个案, 相当一部分学校都有类似的问题 ; 在网上监测到的高校网络安全问题都不是新出现的安全问题, 而是几年前在乌云和国家互联网应急中心都曾通报过的老问题, 只是一些高校有关部门没有关心和没有引起足够重视 ; 各高校在校园信息化建设中采购了各种成熟的信息管理应用系统, 这些应用系统一旦出现安全问题将影响一大批学校, 且不少开发商不会主动及时地帮助各高校升级更新系统, 致使安全威胁长期存在或一再被黑客利用, 各校应有清醒认识

47 谢谢!

PowerPoint Presentation

PowerPoint Presentation 教育网安全监测和主要安全威胁上海交通大学汪为农 2015.11.23 主要内容 1 CERNET 网络安全威胁监测 2 教育网当前主要安全威胁 3 高校应用系统安全问题举例中国高校网站安全性排名全国倒数第二中国高校网站安全情况极差, 在全国各类网站安全情况排名中, 高校网站安全性排名倒数第二, 意味着高校网站非常容易被黑客入侵篡改和窃取资料 CERNET 网络安全实时监测平台架构 (2013)