学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2017年5月网络安全月报
作者: 来源: 时间:2017-06-01 点击数:

中国地质大学校园网网络安全情况月报

2017年5月   (第W0017期)  总第17期

中国地质大学(武汉)网络与教育技术中心

本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 4

2.5      网站黑链事件... 5

3       安全事件分析... 5

3.1      入侵事件分析... 5

3.2      木马僵尸事件分析... 5

3.3      对外DoS攻击事件分析... 6

3.4      网站黑链事件分析... 6

4       安全事件处置情况... 7

5       安全预警信息... 7

6       业界动态... 12

6.1      Wannacry蠕虫勒索软件袭击全球... 12

6.2      Samba远程代码执行漏洞... 12

7       联系我们... 13

 


 

1   情况综述

2017年4月26日至2017年5月27日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共429431起,近期服务器受到攻击的事件共1063起;可能感染病毒木马的僵尸主机共48台,其中确定的僵尸主机共35台;对外发生的DoS攻击事件共0起,被植入黑链的网站共0个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共44400起):

主机类型分类统计:

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.207.36

43827

2

59.71.152.50

211

3

202.114.196.97

47

4

59.71.233.31

12

5

218.199.137.24

8

6

172.29.150.37

8

7

172.29.8.207

8

8

202.114.196.210

6

9

202.114.196.44

6

10

202.114.202.204

6

11

其他IP

261

总计

44400

(二)    服务器安全事件(共429468起):

序号

主机地址

受到攻击次数

备注

1

202.114.196.199

46984

2

202.114.196.87

45811

3

202.114.202.130

40175

4

202.114.201.169

35688

5

202.114.196.228

33646

6

202.114.196.171

17094

7

202.114.196.172

14887

8

202.114.196.189

11624

9

202.114.196.37

9949

10

202.114.207.243

9934

11

其他

163676

总计

429468


2.2 入侵事件

已被黑客攻陷的服务器(本月无):

序号

服务器

攻陷原因

备注

1

2.3 木马僵尸事件

2.4 对外DoS攻击事件

本月没有对外DoS攻击。

2.5 网站黑链事件

本月没有被植入黑链的网站。

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞208个,中危漏洞486个,低危漏洞297个。

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月没有对外发起DDOS的主机。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

4   安全事件处置情况

2017年4月26日至2017年5月27日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件1112起,其中入侵事件1064起,木马僵尸事件48起,对外DoS攻击事件0起,网站黑链事件0起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

根据国家信息安全漏洞库( CNNVD)统计,新增安全漏洞 440 个。新增漏洞中,应用程序漏洞220个,web应用漏洞74个,操作系统漏洞 73 个,网络设备漏洞34个,安全产品漏洞20个,数据库漏洞19个。

(一)安全漏洞分布情况

从厂商分布来看,Microsoft公司产品的漏洞数量最多,共 41 个。CNVD整理和发布的漏洞涉及Oracle、Google、Apple等多家厂商的产品,部分漏洞数量按厂商统计如下表所示。

序号

厂商(产品)

漏洞数量

所占比例

1

Microsoft

41

9%

2

Oracle

38

8%

3

Google

34

7%

4

Mozilla

25

6%

5

Apple

14

3%

6

WordPress

12

3%

7

Cisco

11

3%

8

TrendMicro

11

3%

9

Linux

11

3%

10

其他

243

55%

从漏洞行业来看,CNVD收录了20个电信行业漏洞,42个移动互联网行业漏洞,4个工控系统行业漏洞,如下表所示。

(二)安全漏洞危害等级与修复情况

此次CNVD收录了440个漏洞。其中应用程序漏洞220个,操作系统漏洞73个,web应用漏洞74个,网络设备漏洞34个,安全产品漏洞20个,数据库漏洞19个。漏洞按影响类型统计如下表所示。

漏洞影响对象类型

漏洞数量

应用程序漏洞

220

web应用漏洞

74

操作系统漏洞

73

网络设备漏洞

34

安全产品漏洞

30

数据库漏洞

19

(三)重要漏洞实例

本次收录的440个漏洞中,关注度较高的产品安全漏洞如下表所示。

1. Samba存在远程代码执行漏洞

Samba是运行于Linux和UNIX系统上实现SMB协议的软件。攻击者可以利用客户端将指定库文件上传到具有可写权限的共享目录,会导致服务器加载并执行指定的库文件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-07432

2. Apple iOS和Safari WebKit内存破坏漏洞

Apple iOS是为移动设备所开发的一套操作系统;Safari是一款Web浏览器。远程攻击者可借助特制的Web站点利用该漏洞执行任意的代码或造成拒绝服务。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-07602

3. IBM Business Process Manager开放重定向漏洞

IBM Business Process Manager(BPM)是一套综合的业务流程管理平台。远程攻击者可通过诱使用户访问特制的Web站点利用该漏洞将用户重定向到恶意的Web站点,实施钓鱼攻击,获取敏感信息。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-07530

4. Microsoft Windows SMB Server远程代码执行漏洞

Microsoft Windows Sever Message Block(SMB)是一个为计算机提供身份验证用以访问服务器上打印机和文件系统的组件。远程攻击者可通过向目标SMB服务器发送特制的数据包利用该漏洞在目标系统上执行任意代码或造成拒绝服务。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-07390

5. WordPress Spider Event Calendar SQL注入漏洞

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。远程攻击者可利用该漏洞执行任意的SQL命令。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-07215

6     业界动态

6.1 Wannacry蠕虫勒索软件袭击全球

5月12日晚,一款名为Wannacry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。 该软件被认为是一种蠕虫变种(也被称为“Wannadecrypt0r”、“wannacryptor”或“ wcry”)。 像其他勒索软件的变种一样,WannaCry也阻止用户访问计算机或文件,要求用户需付费解锁。

参考链接:http://www.freebuf.com/vuls/134512.html

6.2 Samba远程代码执行漏洞

Samba是Linux和UNIX系统的SMB协议服务软件,可以实现与其他操作系统(如:微软Windows操作系统)进行文件系统、打印机和其他资源的共享。此次漏洞最早影响到7年前的版本,黑客可以利用漏洞进行远程代码执行。最安全的方法还是打补丁或者升级到Samba4.6.4/4.5.10/4.4.14任意版本。

参考链接:http://www.freebuf.com/vuls/135624.html

7   联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版