中国被黑站点统计系统 2006年9月分析报告

来源:中国被黑站点统计系统[http://www.zone-h.com.cn]
amxku[amxku_at_msn.com]
自在轮回[zizailunhui_at_msn.com]
wayking[wayking_at_hotmail.com]

目录
0- 总述
1- 分析
2- 相关防护
3- 总结

0- 总述

根据我们对中国被黑站点统计系统所有数据的分析,截至2006年9月19日0时,被篡改网站数量已达13000多个(其中有很多网站是多次被篡改),平均每天约有25个站点被篡改且被举报;又据CNCERT/CC(国家计算机网络应急技术处理协调中心)统计,2006年3月,全球被篡改网站数量超过3万个,平均每1.5分钟,就有一个网站被篡改…… 这些数目不是危言耸听。
网站篡改就发生在我们身边:
2006年03月12日,河北省政府采购网被篡改;
2006年03月18日,广州外事办网被篡改;
2006年03月11日,洛阳大学网站被篡改;
2006年04月13日,大冶政府网被篡改;
2006年04月10日,搜狐CS站被篡改;
2006年05月09日,网易社区被篡改;
2006年07月03日,雅虎中国被篡改;
2006年07月03日,163竟价广告联盟被篡改;
2006年07月11日,网易2006 世界杯足球公园被篡改;
2006年07月22日,天津中医药大学网站被篡改;
2006年09月14日,TCL通讯科技控股有限公司网站被篡改;
2006年09月16日,蒙牛、伊利两大国内牛奶集团官方网站被篡改;
…………
其间,国内有多个网络安全站点、组织也难逃厄运。被篡改的网站多为政府、学校、信息综合门户、知名企业等影响力高、受众面广的网站……,且不论黑客攻击的动机,仅在后果上,这些网站可谓遭遇了不同程度的尴尬。在众多被篡改的网站中,政府网站成了重灾区。在今年召开的中国计算机网络安全应急年会上,国家计算机网络应急技术处理协调中心副总工程师杜跃进博士谈到,“根据中心统计,网页篡改去年在大陆发生13000多次,其中六分之一攻击对象是政府网站,对电子政务构成严重威胁” 。频频发生的攻击能否给政府网站网络安全敲响一次“警钟”。

1- 分析
经过对统计数据的分析,对被篡改的主要原因做以下诠释:
1、网站脚本程序安全问题;
2、服务器设置问题;
3、社会工程学;
4、不可预见的问题。

网站脚本程序安全问题
网站脚本程序安全问题,网站管理员对脚本程序没有做任何处理,表现在网站的默认数据库,默认管理帐号,如admin,root,manager等
网站程序设计存在安全问题,网站程序设计者在编写时,对相关的安全问题,没有做适当的处理,诸如SQL注入,上传,跨站等。
服务器设置问题
服务器设置问题导致被入侵,如系统安装优化与补丁,0day,策略问题,权限,Serv-U,SQL Server,PCangwhere 等相关设置。

社会工程学
现在管理员素质参差不齐,作好对员工自身素质的培训与内部协调,培养员工的保密意识和安全意识。制订完善的保密制度和保密机制,对不同级别的信息保密级别,设置不同的保密应急机制。

不可预见的问题
未知漏洞,本人能力有限,对此不做描述。

2- 相关防护
1. 系统问题
对于系统设置方面这里不做过多介绍。
补丁问题,这个是比较重要的问题,一般服务器需要开的服务,排除第三个程序,关闭不用的一些服务。微软的自动更新功能,另外有一个重要的地方就是,微软的补丁只不是一处,还有很多管理员经常忽略某些方面,比如OFFICE等等,几年前的溢出,时至今日还依然有效。这里不得不提醒一下管理员,想问题要从总体上来考虑,不要局限于某个细节,有个全局观。

2. 策略问题
这里包括密码策略,账户策略等等。这里对于密码,可以采用策略,密码定期更改,密码长度限制,更改默认的用户组等等。同时采用TCP/IP策略对没有端口进行限制,还有IPSEC对特定端口进行身份验证。
一般情况下,比较好的方法是对外只开两个端口,一个是80端口,一个是代理端口。代理端口加上高强度的密码,对于FTP,其它等端口,可以采用连接上代理后,用SockCap等工具来连接;对于Serv-U可以更改本地密码,端口,改更启动权限等。这样可以一定程度上防范一些来自0day的攻击,如Serv-U溢出等。当然,这里所谓的策略并不只是这么几个,需要管理员灵活利用。
设置屏幕保护密码,很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。
系统所能提供的安全机制,对于防范系统有着很重要的意义。

3. 权限问题
一个是目录权限问题,一个是系统自带的程序权限问题。
目录权限,要注意的是系统盘有些默认是执行权限的,所以需要设置成没有执行权限。程序主要是对cmd.exe,cacls.exe,ftp.exe,net.exe,net1.exe,tftp.exe,tftpd.exe,cscript.exe……等等,所以可能用到的东西都进行设置,另外要注意完整性,例如net.exe,最好用dir /s net*.exe,系统自带的有好多个,如果你只限制一个的话,其它的照样可以用,这样一来还是会影响到系统的安全。具体设置请参见相关的文档。
SQL Server 可以删除一些危险的内置存储过程; 以下列出危险的内置存储过程:
xp_cmdshell
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite

ActiveX自动脚本:
sp_OACreate
sp_OADestroy
sp_OAMethod
sp_OAGetProperty
sp_OASetProperty
sp_OAGetErrorInfo
sp_OAStop

限制SQL用户的权限,防止被列目录 等。

4. WEB安全问题
为每个站点设置单独的启动用户,删除不常用到的ISAPI的类型,采用iis防火墙做相关的限制等。
常见的攻击,诸如注入,暴库这类问题,可以在每个网页写个发邮件的脚本,当有出现500,403错误时,自动向管理员信箱里放送一封邮件,这样可以有针对性的对寻找对应网页,目录等启到一定的防护,同时对一些常见的页面,采用屏换的方式,这样一来可以解决一些来自暴力破解和注射时提供的一些敏感信息。
不要忽略了默认数据库等这类低级错误。
对于SQL注入可以加防注入系统,过滤特殊字符等,可以起到一定的防护作用。
跨站相关防护处理,转义相关字符,如
ASP
str=replace(str,"&","&")
str=replace(str,":",":")
str=replace(str,"=","=")
str=replace(str,"<","<")
str=replace(str,">",">")
str=replace(str," "," ")
str=Replace(Str,"""",""") 

PHP
str_replace("\n", "<br />", $content);
str_replace("\t", " ", $content);
str_replace("", "", $content);
str_replace("<","<", $content);
str_replace(">",">", $content);
str_replace("\t", ' ', $content);
str_replace("chr(10)","", $content);

………………
对于后台最好做身份限制,另外对上传目录做没有执行权限设置,这里要注意的就是不要忽略了其它脚本语言的支持,对于Access数据库,我们建议,把数据库放在web根目录的上方,这样,即使插了马也没法提交shell。
对于web还有一个比较重要的地方就是对组件的选择性控制,FSO,Shell.Application等组件,可以采用选择性的删除或改名,例如FSO,如果不是虚拟机的话,个人认为可以选择删掉。
如果是PHP的站点的话,在条件允许的情况下,开启安全模式。
总之,要根据具体情况而定,管理员可以随机应变。

5. 0day的攻击
对于0day的攻击,目前来说我们能做的东西很少,可以选择采用监控的方式来对系统进行控制,对于日志文件,请不要给于删除的权限,这样可以从一定程度上得到被入侵后的相关信息,以便日后追击入侵者等。

6. ARP(地址转发协议)欺骗
利用协议的不足,在交换网络的混杂模式下,通过嗅探可以到一些很重要的数据,诸如明文的SQL Server密码,http数据包,SMTP,FTP等等。通常我们可以采用将MAC卡和IP绑定,但是在真实网络环境,有好多管理员并没有把mac卡和ip真正绑定好。或改用HTTPS方式访问,可以对ARP欺骗启到一定的限制。详情可以参考相关文档。

7. 社会工程学、钓鱼
举一个例子(此例来源linzi[B.C.T])说明:
有一天有一个人收到了一个信息,说他中了QQ的大奖,将一个QQ号1234567,密码是1234567,然后叫中奖者速修改密码,从这里,如果我是中奖者一般不会怀疑什么,因为他没有从我身上得到些什么,但,当中奖者把密码改完后,发现自己QQ被盗了,究其原因,钓鱼者利用了,很多人的一个弱点,就是使用同一个密码的习惯,当中奖者将密码改完后,钓鱼者去官方去查改后的密码,再用改后的密码去试中奖者的QQ,成功的话,用户的很多隐私被窃取,虚拟财产受侵犯.当然现在的QQ没法查改后的密码,我这里主要是提出一种思路.转到社工,问问你自己,是否在很多论谈使用差不多相同的ID,是否密码只有三个以内,你的ID是不是可以被google搜出来,攻击者可以攻入你注册过的站点,收集到你一定的密码档,然后,通过已收集的资料,做成一个字典,再对你进行暴破.个人建议自己的密码最好能弄进算法,个个密码都做到不同,这样一来,不只是对自己的隐私起保护作用,同时也保护了站点,域等的安全性。

3 总结
这里我们可以看出很多的安全问题,都出于管理员对网络安全没有深入的认识。
建议网站管理员,多关注网络安全相关动态,了解入侵者常用的入侵手段,以做好即时防护措施,把风险降到最低。
这里我们只是对当前统计得到的数据做了简单的分析,并不通用,具体情况及实施办法请参见相关技术文档。

由于本人的水平有限,有不妥之处还望斧正。
zone-h_09.rar (167.45 KB, 下载次数:100, 上传时间:2006-10-09 15:35)

关键词: zone-h , 原创

上一篇: curl 7.12.2 for win32
下一篇: Bug Exp For Search 正式版修改草案

相关文章
访客评论
#1
回复 专业黑站 2008-03-10, 17:18:58
雅虎中国被篡改,牛XX
发表评论

评论内容 (必填):