文/郑先伟

加强高校网站监管 谨防黑客攻击

文/郑先伟

CCERT月报

六月初，第二届国家网络安全宣传周在北京顺利举行，在安全周期间，某黑客组织宣称要对政府及高校的网站进行定期的攻击，事实上我们也看到了在此期间确实有部分高校的网站被该黑客组织攻破并进行了内容篡改。从表面看该黑客组织貌似很厉害，说要入侵就成功入侵了相关网站，但是对被攻击网站分析后发现，事实远没有那么玄乎，该组织只不过是早就入侵控制了这些网站，并在其中放置了网站后门，然后再向外定期公布这些网站被黑的信息。黑客入侵所利用的漏洞也并不是什么高级的0day漏洞，很多都是已经公布了很长时间的漏洞，如Struts2的漏洞。由此看来，这些网站被入侵实际上完全是可以避免的，但是还是之前一直提到的问题，网站缺乏监管，在出现漏洞且被人入侵后都无人知晓，直到黑客主动公布出来。因此学校需要加强对信息网站的备案和监管，要求每个网站都应有专人管理，并且定期进行安全评估，及时修补系统及网站中存在的漏洞。

近期安全投诉事件的总量有所减少，网站类的安全事件数量在整个安全投诉事件中的占比在继续增大。

2015年5月～6月安全投诉事件统计

近期没有特别需要关注的木马病毒。

近期新增严重漏洞评述

微软6月的例行安全公告中的漏洞呈下降趋势，虽然本次公告有8个，但其中只有2个为严重等级，其余6个都为重要等级。这些公告共修补了Windows系统、IE浏览器、Office办公软件、Media player播放软件及Exchange服务程序中的45个安全漏洞。用户应该尽快使用Windows的自动更新功能来安装相应的补丁程序。漏洞的详细信息请参见：https://technet. microsoft.com/zh-cn/library/security/ms15-Jun。

Adobe公司在6月9号的例行安全公告中修补了Flash player软件中的13个安全漏洞，这些漏洞可能导致攻击者远程执行任意代码或是拒绝服务攻击，相关漏洞的详情请参见：

https://helpx.adobe.com/security/ products/flash-player/apsb15-11.html。

到6月23号时，由于检测到一个Flash player软件的0day漏洞（CVE-2015-3113)正在被黑客利用来进行钓鱼攻击，Adobe公司追加发布了Flash player软件的安全公告。据称这个漏洞是由于Flash player软件在处理Flash video（FLV）文件是存在缺陷，攻击者可以通过钓鱼的方式引诱用户下载运行恶意的SWF文件和FLV文件到用户的系统上运行，如果漏洞被利用程序就会在用户的系统上安装木马程序。您可以使用Flash自带的更新功能来更新自己的软件，也可以访问官方网站下载最新的版本安装。

https://helpx.adobe.com/security/ products/flash-player/apsb15-14.html。

6月初D－link公司发布了一系列的安全公告及补丁用于修复其多款网络产品中的漏洞，包括缓冲溢出漏洞及身份验证绕过漏洞。这些漏洞可能导致D－link的网络设备被攻击控制，相关使用者应该尽快升级设备的固件系统，由于网络设备无法自行升级，可能需要管理员手动进行更新。相关的更新办法和补丁程序请参见：http://securityadvisories.dlink.com/security/。

一个特别需要关注的漏洞是Ubuntu系统内核文件系统的本地权限提升漏洞（CVE-2015-1328)。Ubuntu是目前使用范围仅次于Windows的桌面操作系统，本次出现的漏洞影响Ubuntu所有版本的系统，且漏洞的利用代码已经被公布，所以需要引起用户的关注。目前厂商已经针对该漏洞发布了补丁程序和临时解决办法，用户应该依照Ubuntu官网的提示尽快升级。

安全提示

Struts2的漏洞是一个老漏洞，我们可以通过Struts2漏洞的扫描工具来确认存在此漏洞的网站，以此来排查校内存在安全隐患的网站。但是需要提醒的是，Struts2是Java构建的网站框架，它可能应用于很多网站的后台管理程序中，由于这些管理后台多数并非开放在WEB服务默认的80端口上，导致扫描工具可能错误地判断网站没有漏洞，但事实上漏洞存在，只是没有存在80端口上而是在其他的服务端口上。对于这种情况，管理员不能存有侥幸心理，认为黑客也无法获知漏洞的存在，实际上黑客的扫描可能远远智能于一般的常规化扫描。

（作者单位为中国教育和科研计算机网应急响应组）