中国被黑站点统计分析报告

中国被黑站点统计系统 2006年9月分析报告 根据我们对中国被黑站点统计系统所有数据的分析，截至2006年9月19日0时，被篡改网站数量已 达13000多个（其中有很多网站是多次被篡改），平均每天约有25个站点被篡改且被举报；又据CNCERT/CC（国家计算机网络应急技术处理协调中 心）统计，2006年3月，全球被篡改网站数量超过3万个，平均每1.5分钟，就有一个网站被篡改…… 这些数目不是危言耸听。 网站篡改就发生在我们身边： 2006年03月12日，河北省政府采购网被篡改； 2006年03月18日，广州外事办网被篡改； 2006年03月11日，洛阳大学网站被篡改； 2006年04月13日，大冶政府网被篡改； 2006年04月10日，搜狐CS站被篡改； 2006年05月09日，网易社区被篡改； 2006年07月03日，雅虎中国被篡改； 2006年07月03日，163竟价广告联盟被篡改； 2006年07月11日，网易2006 世界杯足球公园被篡改； 2006年07月22日，天津中医药大学网站被篡改； 2006年09月14日，TCL通讯科技控股有限公司网站被篡改； 2006年09月16日，蒙牛、伊利两大国内牛奶集团官方网站被篡改； ………… 其 间，国内有多个网络安全站点、组织也难逃厄运。被篡改的网站多为政府、学校、信息综合门户、知名企业等影响力高、受众面广的网站……，且不论黑客攻击的动 机，仅在后果上，这些网站可谓遭遇了不同程度的尴尬。在众多被篡改的网站中，政府网站成了重灾区。在今年召开的中国计算机网络安全应急年会上，国家计算机 网络应急技术处理协调中心副总工程师杜跃进博士谈到，“根据中心统计，网页篡改去年在大陆发生13000多次，其中六分之一攻击对象是政府网站，对电子政 务构成严重威胁” 。频频发生的攻击能否给政府网站网络安全敲响一次“警钟”。 1- 分析 经过对统计数据的分析，对被篡改的主要原因做以下诠释： 1、网站脚本程序安全问题； 2、服务器设置问题； 3、社会工程学； 4、不可预见的问题。 网站脚本程序安全问题 网站脚本程序安全问题，网站管理员对脚本程序没有做任何处理，表现在网站的默认数据库，默认管理帐号，如admin，root，manager等 网站程序设计存在安全问题，网站程序设计者在编写时，对相关的安全问题，没有做适当的处理，诸如SQL注入，上传，跨站等。 服务器设置问题 服务器设置问题导致被入侵，如系统安装优化与补丁，0day，策略问题，权限，Serv-U，SQL Server，PCangwhere 等相关设置。 社会工程学 现在管理员素质参差不齐，作好对员工自身素质的培训与内部协调，培养员工的保密意识和安全意识。制订完善的保密制度和保密机制，对不同级别的信息保密级别，设置不同的保密应急机制。 不可预见的问题 未知漏洞，本人能力有限，对此不做描述。 2- 相关防护 1. 系统问题 对于系统设置方面这里不做过多介绍。 补 丁问题，这个是比较重要的问题，一般服务器需要开的服务，排除第三个程序，关闭不用的一些服务。微软的自动更新功能，另外有一个重要的地方就是，微软的补 丁只不是一处，还有很多管理员经常忽略某些方面，比如OFFICE等等，几年前的溢出，时至今日还依然有效。这里不得不提醒一下管理员，想问题要从总体上 来考虑，不要局限于某个细节，有个全局观。 2. 策略问题 这里包括密码策略，账户策略等等。这里对于密码，可以采用策略，密码定期更改，密码长度限制，更改默认的用户组等等。同时采用TCP/IP策略对没有端口进行限制，还有IPSEC对特定端口进行身份验证。 一 般情况下，比较好的方法是对外只开两个端口，一个是80端口，一个是代理端口。代理端口加上高强度的密码，对于FTP，其它等端口，可以采用连接上代理 后，用SockCap等工具来连接；对于Serv-U可以更改本地密码，端口，改更启动权限等。这样可以一定程度上防范一些来自0day的攻击，如 Serv-U溢出等。当然，这里所谓的策略并不只是这么几个，需要管理员灵活利用。 设置屏幕保护密码，很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。 系统所能提供的安全机制，对于防范系统有着很重要的意义。 3. 权限问题 一个是目录权限问题，一个是系统自带的程序权限问题。 目 录权限，要注意的是系统盘有些默认是执行权限的，所以需要设置成没有执行权限。程序主要是对 cmd.exe，cacls.exe，ftp.exe，net.exe，net1.exe，tftp.exe，tftpd.exe，cscript.exe…… 等等，所以可能用到的东西都进行设置，另外要注意完整性，例如net.exe，最好用dir /s net*.exe，系统自带的有好多个，如果你只限制 一个的话，其它的照样可以用，这样一来还是会影响到系统的安全。具体设置请参见相关的文档。 SQL Server 可以删除一些危险的内置存储过程； 以下列出危险的内置存储过程： xp_cmdshell xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumkeys xp_regenumvalues xp_regread xp_regremovemultistring xp_regwrite ActiveX自动脚本： sp_OACreate sp_OADestroy sp_OAMethod sp_OAGetProperty sp_OASetProperty sp_OAGetErrorInfo sp_OAStop 限制SQL用户的权限，防止被列目录 等。 4. WEB安全问题 为每个站点设置单独的启动用户，删除不常用到的ISAPI的类型，采用iis防火墙做相关的限制等。 常 见的攻击，诸如注入，暴库这类问题，可以在每个网页写个发邮件的脚本，当有出现500，403错误时，自动向管理员信箱里放送一封邮件，这样可以有针对性 的对寻找对应网页，目录等启到一定的防护，同时对一些常见的页面，采用屏换的方式，这样一来可以解决一些来自暴力破解和注射时提供的一些敏感信息。 不要忽略了默认数据库等这类低级错误。 对于SQL注入可以加防注入系统，过滤特殊字符等，可以起到一定的防护作用。 跨站相关防护处理，转义相关字符，如 ASP str=replace(str,"&","&") str=replace(str,":","：") str=replace(str,"=","=") str=replace(str,"<","<") str=replace(str,">",">") str=replace(str," "," ") str=Replace(Str,"""",""") PHP str_replace("\n", "<br />", $content); str_replace("\t", " ", $content); str_replace("", "", $content); str_replace("<","<", $content); str_replace(">",">", $content); str_replace("\t", ' ', $content); str_replace("chr(10)","", $content); ……………… 对于后台最好做身份限制，另外对上传目录做没有执行权限设置，这里要注意的就是不要忽略了其它脚本语言的支持，对于Access数据库，我们建议，把数据库放在web根目录的上方，这样，即使插了马也没法提交shell。 对于web还有一个比较重要的地方就是对组件的选择性控制，FSO,Shell.Application等组件，可以采用选择性的删除或改名，例如FSO，如果不是虚拟机的话，个人认为可以选择删掉。 如果是PHP的站点的话，在条件允许的情况下，开启安全模式。 总之，要根据具体情况而定，管理员可以随机应变。 5. 0day的攻击 对于0day的攻击，目前来说我们能做的东西很少，可以选择采用监控的方式来对系统进行控制，对于日志文件，请不要给于删除的权限，这样可以从一定程度上得到被入侵后的相关信息，以便日后追击入侵者等。 6. ARP(地址转发协议)欺骗 利 用协议的不足，在交换网络的混杂模式下，通过嗅探可以到一些很重要的数据，诸如明文的SQL Server密码，http数据包，SMTP，FTP等等。 通常我们可以采用将MAC卡和IP绑定，但是在真实网络环境，有好多管理员并没有把mac卡和ip真正绑定好。或改用HTTPS方式访问，可以对ARP欺 骗启到一定的限制。详情可以参考相关文档。 7. 社会工程学、钓鱼 举一个例子(此例来源linzi[B.C.T])说明: 有一天 有一个人收到了一个信息，说他中了QQ的大奖，将一个QQ号1234567，密码是1234567，然后叫中奖者速修改密码，从这里，如果我是中奖者一般 不会怀疑什么，因为他没有从我身上得到些什么，但，当中奖者把密码改完后，发现自己QQ被盗了，究其原因，钓鱼者利用了，很多人的一个弱点，就是使用同一 个密码的习惯，当中奖者将密码改完后，钓鱼者去官方去查改后的密码，再用改后的密码去试中奖者的QQ，成功的话，用户的很多隐私被窃取，虚拟财产受侵犯. 当然现在的QQ没法查改后的密码，我这里主要是提出一种思路.转到社工，问问你自己，是否在很多论谈使用差不多相同的ID，是否密码只有三个以内，你的 ID是不是可以被google搜出来，攻击者可以攻入你注册过的站点，收集到你一定的密码档，然后，通过已收集的资料，做成一个字典，再对你进行暴破.个 人建议自己的密码最好能弄进算法，个个密码都做到不同，这样一来，不只是对自己的隐私起保护作用，同时也保护了站点，域等的安全性。 3 总结 这里我们可以看出很多的安全问题，都出于管理员对网络安全没有深入的认识。 建议网站管理员，多关注网络安全相关动态，了解入侵者常用的入侵手段，以做好即时防护措施，把风险降到最低。 这里我们只是对当前统计得到的数据做了简单的分析，并不通用，具体情况及实施办法请参见相关技术文档。