学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2017年6月网络安全月报
作者: 来源: 时间:2017-06-29 点击数:

中国地质大学校园网网络安全情况月报

2017年6月   (第W0018期)  总第18期

中国地质大学(武汉)网络与教育技术中心

本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 4

2.5      网站黑链事件... 5

3       安全事件分析... 5

3.1      入侵事件分析... 5

3.2      木马僵尸事件分析... 5

3.3      对外DoS攻击事件分析... 6

3.4      网站黑链事件分析... 6

4       安全事件处置情况... 7

5       安全预警信息... 7

6       业界动态... 15

6.1      Petya.A勒索蠕虫病毒袭击乌克兰... 16

7       联系我们... 16

 


 

1   情况综述

2017年5月28日至2017年6月28日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共425113起,近期服务器受到攻击的事件共4352起;可能感染病毒木马的僵尸主机共28台,其中确定的僵尸主机共12台;对外发生的DoS攻击事件共58起,被植入黑链的网站共0个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共27270起):

主机类型分类统计:

 

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.207.36

25226

 

2

202.114.201.140

1668

 

3

202.114.196.97

45

 

4

172.31.150.243

44

 

5

202.114.207.241

32

 

6

59.71.152.50

31

 

7

202.114.202.204

27

 

8

113.106.217.203

12

 

9

172.31.216.76

9

 

10

172.31.40.35

8

 

11

其他IP

168

 

总计

27270

 

(二)    服务器安全事件(共399131起):

序号

主机地址

受到攻击次数

备注

1

202.114.196.228

70013

2

202.114.196.87

53027

3

202.114.196.199

44060

4

202.114.201.172

16337

5

202.114.196.49

15449

 

6

202.114.201.169

14709

 

7

202.114.207.64

14274

 

8

202.114.196.171

11048

 

9

202.114.196.189

10317

 

10

202.114.196.169

8087

 

11

其他

141810

 

总计

399131

 

 


2.2 入侵事件

已被黑客攻陷的服务器(本月无):

序号

服务器

攻陷原因

备注

1

2.3 木马僵尸事件

2.4 对外DoS攻击事件

2.5 网站黑链事件

本月没有被植入黑链的网站。

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞218个,中危漏洞386个,低危漏洞327个。

   

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月共有58次对外发起DDOS的事件,攻击源IP共有2个,为202.114.207.36和202.114.196.192,建议负责这两台服务器的管理员对服务器的安全状况进行检查,以免影响系统运行和带宽。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

4   安全事件处置情况

2017年5月28日至2017年6月28日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件1112起,其中入侵事件4353起,木马僵尸事件28起,对外DoS攻击事件58起,网站黑链事件0起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

根据国家信息安全漏洞库( CNNVD)统计,新增安全漏洞 296 个。新增漏洞中,高危漏洞104个、中危漏洞177个、低危漏洞15个。漏洞平均分值为6.17。本周收录的漏洞中,涉及0day漏洞77个(占26%),其中互联网上出现与Windows操作系统和Linux内核相关的重要安全更新,影响面较广。

(一)安全漏洞分布情况

从厂商分布来看,Google公司产品的漏洞数量最多,共 41 个。CNVD整理和发布的漏洞涉及Google、SchneiderElectric、IBM等多家厂商的产品,部分漏洞数量按厂商统计如下表所示。

序号

厂商(产品)

漏洞数量

所占比例

1

Google

41

14%

2

Schneider Electric

23

8%

3

IBM

16

5%

4

Microsoft

11

4%

5

Cisco

8

3%

6

WordPress

7

32%

7

Cisco

7

2%

8

MarkLogic

6

2%

9

Huawei

5

2%

10

其他

172

58%

从漏洞行业来看,CNVD收录了18个电信行业漏洞,46个移动互联网行业漏洞,如下表所示。

 

(二)安全漏洞危害等级与修复情况

此次CNVD收录了296个漏洞。其中应用程序漏洞212个,操作系统漏洞26个,web应用漏洞34个,网络设备漏洞19个,安全产品漏洞5个。漏洞按影响类型统计如下表所示。

漏洞影响对象类型

漏洞数量

应用程序漏洞

212

web应用漏洞

34

操作系统漏洞

26

网络设备漏洞

19

安全产品漏洞

5

(三)重要漏洞实例

本次收录的296个漏洞中,关注度较高的产品安全漏洞如下表所示。

1. Microsoft产品安全漏洞

Samba是Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统,MicrosoftForefront是应用在其中的一套面向企业的服务器安全特性解决方案。Microsoft Defender是一款应用在其中的杀毒软件。Windows Search服务(WSS)是windows的一项默认启用的基本服务。本周,上述产品被披露存在远程代码执行和拒绝服务漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。

CNVD收录的相关漏洞包括:MicrosoftMalware Protection引擎拒绝服务漏洞(CNVD-2017-09499、CNVD-2017-09500、CNVD-2017-09502)、MicrosoftMalware Protection引擎远程代码执行漏洞(CNVD-2017-09503、CNVD-2017-09504)、MicrosoftWindows LNK文件远程代码执行漏洞、Microsoft Windows OLE远程代码执行漏洞(CNVD-2017-09716)、MicrosoftWindows Search远程代码执行漏洞。其中,“Microsoft Windows LNK文件远程代码执行漏洞、MicrosoftWindows OLE远程代码执行漏洞(CNVD-2017-09716)、Microsoft Windows Search远程代码执行漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09499

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09500

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09502

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09503

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09504

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09382

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09716

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09381

2.Schneider Electric产品安全漏洞

U.motion Builder是法国施耐德电气(SchneiderElectric)公司的一款生成器产品。本周,该产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括:SchneiderElectric U.motion Builder editobject远程代码执行漏洞、SchneiderElectric U.motion Builder loadtemplate远程代码执行漏洞、Schneider ElectricU.motion Builder nfcserver远程代码执行漏洞、Schneider ElectricU.motion Builder SOAP远程代码执行漏洞、Schneider ElectricU.motion Builder track_getdata远程代码执行漏洞、Schneider ElectricU.motion Builder xmlserver远程代码执行漏洞、Schneider ElectricU.motion Builder硬编码远程代码执行漏洞、Schneider ElectricU.motion Builder远程代码执行漏洞。上述漏洞的综合评级为“高危”。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09473

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09463

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09470

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09477

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09471

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09472

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09462

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09469

3. Google产品安全漏洞

Google Chrome是美国谷歌(Google)公司开发的一款Web浏览器。Blink是一套浏览器排版引擎。print preview是一个qrp文件转换工具。FFmpeg是一套可录制、转换以及流化音视频的完整解决方案。Android是一套以Linux为基础的开源操作系统。Media是其中的一个用于多媒体开发框架。本周,上述产品被披露存在远程代码执行和内存错误引用漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。

CNVD收录的相关漏洞包括:Google AndroidMedia framework远程代码执行漏洞、Google Android Mediaframework远程代码执行漏洞(CNVD-2017-09306、CNVD-2017-09307、CNVD-2017-09308、CNVD-2017-09309、CNVD-2017-09310)、Google ChromeFFmpeg内存错误引用漏洞、Google Chrome print preview内存错误引用漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09311

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09306

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09307

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09308

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09309

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09310

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09218

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09214

4. Cisco产品安全漏洞

Cisco Aironet AccessPoints是美国思科(Cisco)公司的一套无线访问接入点设备。Cisco AnyConnect Secure MobilityClient是下一代VPN客户端。Cisco Prime Collaboration是综合性视频及声音服务保障及管理系统。Cisco PrimeData Center Network Manager是网络管理应用。Cisco TelePresence是思科网真解决方案。CiscoFirepower System Software是一款下一代防火墙产品(NGFW)。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制、提升权限、执行任意命令或发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:Cisco AironetAccess Points任意代码执行漏洞、Cisco AnyConnect Secure Mobility Client本地权限提升漏洞、Cisco ElasticServices Controlle默认凭据安全绕过漏洞、Cisco Prime CollaborationProvisioning目录遍历漏洞(CNVD-2017-09962)、Cisco Prime Data CenterNetwork Manager默认帐户验证绕过漏洞、Cisco Prime Data CenterNetwork Manager远程代码执行漏洞、Cisco TelePresence端点拒绝服务漏洞、CiscoFirepower System Software远程安全绕过漏洞。除“Cisco Firepower SystemSoftware远程安全绕过漏洞”外其余漏洞的综合评级为“高危”。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09957

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09961

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09962

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09963

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09960

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09959

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09958

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09795

5. ISC BIND 9权限提升漏洞

WordPress是ISC BIND是美国Internet Systems Consortium(ISC)公司所维护的一套实现了DNS协议的开源软件。本周,ISC被披露存在权限提升漏洞,攻击者可利用漏洞在权限进程的上下文中执行任意代码。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09365

6     业界动态

6.1 Petya.A勒索蠕虫病毒袭击乌克兰

6月27日21时左右,乌克兰遭受了大规模的“未知病毒”攻击。包括首都基辅的鲍里斯波尔国际机场(Boryspil International Airport)、乌克兰国家储蓄银行(Oschadbank)、船舶公司(AP Moller-Maersk)、俄罗斯石油公司(Rosneft)和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。

经确认Petya釆用(CVE-2017-0199) RTF漏洞进行钓鱼攻击,用(MS17-010)SMB漏洞进行内网传播,都有补丁。䃼丁地址如下,请广大用户尽快打补丁予以防范!

参考链接:http://www.freebuf.com/news/138557.html

7   联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版