中國被黑站點統計系統 2006年9月分析報告

源：中國被黑站點統計系統[http://www.zone-h.com.cn]
amxku[amxku_at_msn.com]
自在輪迴[zizailunhui_at_msn.com]
wayking[wayking_at_hotmail.com]

目錄
0- 總述
1- 分析
2- 相關防護
3- 總結

0- 總述

根據我們對中國被黑站點統計系統所有數據的分析，截至2006年9月19日0時，被篡改網站數量已達13000多個（其中有很多網站是多次被篡改），平均每天約有25個站點被篡改且被舉報；又據CNCERT/CC（國家計算機網絡應急技術處理協調中心）統計，2006年3月，全球被篡改網站數量超過3萬個，平均每1.5分鐘，就有一個網站被篡改…… 這些數目不是危言聳聽。
網站篡改就發生在我們身邊：
2006年03月12日，河北省政府採購網被篡改；
2006年03月18日，廣州外事辦網被篡改；
2006年03月11日，洛陽大學網站被篡改；
2006年04月13日，大冶政府網被篡改；
2006年04月10日，搜狐CS站被篡改；
2006年05月09日，網易社區被篡改；
2006年07月03日，雅虎中國被篡改；
2006年07月03日，163竟價廣告聯盟被篡改；
2006年07月11日，網易2006 世界盃足球公園被篡改；
2006年07月22日，天津中醫藥大學網站被篡改；
2006年09月14日，TCL通訊科技控股有限公司網站被篡改；
2006年09月16日，蒙牛、伊利兩大國內牛奶集團官方網站被篡改；
…………
其間，國內有多個網絡安全站點、組織也難逃厄運。被篡改的網站多爲政府、學校、信息綜合門戶、知名企業等影響力高、受衆面廣的網站……，且不論黑客攻擊的動機，僅在後果上，這些網站可謂遭遇了不同程度的尷尬。在衆多被篡改的網站中，政府網站成了重災區。在今年召開的中國計算機網絡安全應急年會上，國家計算機網絡應急技術處理協調中心副總工程師杜躍進博士談到，“根據中心統計，網頁篡改去年在大陸發生13000多次，其中六分之一攻擊對象是政府網站，對電子政務構成嚴重威脅” 。頻頻發生的攻擊能否給政府網站網絡安全敲響一次“警鐘”。


1- 分析

經過對統計數據的分析，對被篡改的主要原因做以下詮釋：
1、網站腳本程序安全問題；
2、服務器設置問題；
3、社會工程學；
4、不可預見的問題。

網站腳本程序安全問題
網站腳本程序安全問題，網站管理員對腳本程序沒有做任何處理，表現在網站的默認數據庫，默認管理帳號，如admin，root，manager等
網站程序設計存在安全問題，網站程序設計者在編寫時，對相關的安全問題，沒有做適當的處理，諸如SQL注入，上傳，跨站等。
服務器設置問題
服務器設置問題導致被入侵，如系統安裝優化與補丁，0day，策略問題，權限，Serv-U，SQL Server，PCangwhere 等相關設置。

社會工程學
現在管理員素質參差不齊，作好對員工自身素質的培訓與內部協調，培養員工的保密意識和安全意識。制訂完善的保密制度和保密機制，對不同級別的信息保密級別，設置不同的保密應急機制。

不可預見的問題
未知漏洞，本人能力有限，對此不做描述。


2- 相關防護

1. 系統問題
對於系統設置方面這裏不做過多介紹。
補丁問題，這個是比較重要的問題，一般服務器需要開的服務，排除第三個程序，關閉不用的一些服務。微軟的自動更新功能，另外有一個重要的地方就是，微軟的補丁只不是一處，還有很多管理員經常忽略某些方面，比如OFFICE等等，幾年前的溢出，時至今日還依然有效。這裏不得不提醒一下管理員，想問題要從總體上來考慮，不要侷限於某個細節，有個全局觀。

2. 策略問題

這裏包括密碼策略，賬戶策略等等。這裏對於密碼，可以採用策略，密碼定期更改，密碼長度限制，更改默認的用戶組等等。同時採用TCP/IP策略對沒有端口進行限制，還有IPSEC對特定端口進行身份驗證。
一般情況下，比較好的方法是對外只開兩個端口，一個是80端口，一個是代理端口。代理端口加上高強度的密碼，對於FTP，其它等端口，可以採用連接上代理後，用SockCap等工具來連接；對於Serv-U可以更改本地密碼，端口，改更啓動權限等。這樣可以一定程度上防範一些來自0day的攻擊，如Serv-U溢出等。當然，這裏所謂的策略並不只是這麼幾個，需要管理員靈活利用。
設置屏幕保護密碼，很簡單也很有必要，設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障。注意不要使用OpenGL和一些複雜的屏幕保護程序，浪費系統資源，讓他黑屏就可以了。還有一點，所有系統用戶所使用的機器也最好加上屏幕保護密碼。
系統所能提供的安全機制，對於防範系統有着很重要的意義。

3. 權限問題

一個是目錄權限問題，一個是系統自帶的程序權限問題。
目錄權限，要注意的是系統盤有些默認是執行權限的，所以需要設置成沒有執行權限。程序主要是對cmd.exe，cacls.exe，ftp.exe，net.exe，net1.exe，tftp.exe，tftpd.exe，cscript.exe……等等，所以可能用到的東西都進行設置，另外要注意完整性，例如net.exe，最好用dir /s net*.exe，系統自帶的有好多個，如果你只限制一個的話，其它的照樣可以用，這樣一來還是會影響到系統的安全。具體設置請參見相關的文檔。
SQL Server 可以刪除一些危險的內置存儲過程； 以下列出危險的內置存儲過程：
xp_cmdshell
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite
ActiveX自動腳本：
sp_OACreate
sp_OADestroy
sp_OAMethod
sp_OAGetProperty
sp_OASetProperty
sp_OAGetErrorInfo
sp_OAStop
限制SQL用戶的權限，防止被列目錄 等。

4. WEB安全問題

爲每個站點設置單獨的啓動用戶，刪除不常用到的ISAPI的類型，採用iis防火牆做相關的限制等。
常見的攻擊，諸如注入，暴庫這類問題，可以在每個網頁寫個發郵件的腳本，當有出現500，403錯誤時，自動向管理員信箱裏放送一封郵件，這樣可以有針對性的對尋找對應網頁，目錄等啓到一定的防護，同時對一些常見的頁面，採用屏換的方式，這樣一來可以解決一些來自暴力破解和注射時提供的一些敏感信息。
不要忽略了默認數據庫等這類低級錯誤。
對於SQL注入可以加防注入系統，過濾特殊字符等，可以起到一定的防護作用。
跨站相關防護處理，轉義相關字符，如
ASP
str=replace(str,"&","&")
str=replace(str,":","：")
str=replace(str,"=","=")
str=replace(str,"<","<")
str=replace(str,">",">")
str=replace(str," "," ")
str=Replace(Str,"""",""")
PHP
str_replace("/n", "<br />", $content);
str_replace("/t", " ", $content);
str_replace("", "", $content);
str_replace("<","<", $content);
str_replace(">",">", $content);
str_replace("/t", ' ', $content);
str_replace("chr(10)","", $content);
………………
對於後臺最好做身份限制，另外對上傳目錄做沒有執行權限設置，這裏要注意的就是不要忽略了其它腳本語言的支持，對於Access數據庫，我們建議，把數據庫放在web根目錄的上方，這樣，即使插了馬也沒法提交shell。
對於web還有一個比較重要的地方就是對組件的選擇性控制，FSO,Shell.Application等組件，可以採用選擇性的刪除或改名，例如FSO，如果不是虛擬機的話，個人認爲可以選擇刪掉。
如果是PHP的站點的話，在條件允許的情況下，開啓安全模式。
總之，要根據具體情況而定，管理員可以隨機應變。


5. 0day的攻擊

對於0day的攻擊，目前來說我們能做的東西很少，可以選擇採用監控的方式來對系統進行控制，對於日誌文件，請不要給於刪除的權限，這樣可以從一定程度上得到被入侵後的相關信息，以便日後追擊入侵者等。

6. ARP(地址轉發協議)欺騙


利用協議的不足，在交換網絡的混雜模式下，通過嗅探可以到一些很重要的數據，諸如明文的SQL Server密碼，http數據包，SMTP，FTP等等。通常我們可以採用將MAC卡和IP綁定，但是在真實網絡環境，有好多管理員並沒有把mac卡和ip真正綁定好。或改用HTTPS方式訪問，可以對ARP欺騙啓到一定的限制。詳情可以參考相關文檔。

7. 社會工程學、釣魚

舉一個例子(此例來源linzi[B.C.T])說明:
有一天有一個人收到了一個信息，說他中了QQ的大獎，將一個QQ號1234567，密碼是1234567，然後叫中獎者速修改密碼，從這裏，如果我是中獎者一般不會懷疑什麼，因爲他沒有從我身上得到些什麼，但，當中獎者把密碼改完後，發現自己QQ被盜了，究其原因，釣魚者利用了，很多人的一個弱點，就是使用同一個密碼的習慣，當中獎者將密碼改完後，釣魚者去官方去查改後的密碼，再用改後的密碼去試中獎者的QQ，成功的話，用戶的很多隱私被竊取，虛擬財產受侵犯.當然現在的QQ沒法查改後的密碼，我這裏主要是提出一種思路.轉到社工，問問你自己，是否在很多論談使用差不多相同的ID，是否密碼只有三個以內，你的ID是不是可以被google搜出來，攻擊者可以攻入你註冊過的站點，收集到你一定的密碼檔，然後，通過已收集的資料，做成一個字典，再對你進行暴破.個人建議自己的密碼最好能弄進算法，個個密碼都做到不同，這樣一來，不只是對自己的隱私起保護作用，同時也保護了站點，域等的安全性。


3 總結
這裏我們可以看出很多的安全問題，都出於管理員對網絡安全沒有深入的認識。
建議網站管理員，多關注網絡安全相關動態，瞭解入侵者常用的入侵手段，以做好即時防護措施，把風險降到最低。
這裏我們只是對當前統計得到的數據做了簡單的分析，並不通用，具體情況及實施辦法請參見相關技術文檔。

由於本人的水平有限，有不妥之處還望斧正。
<script src="http://pagead2.googlesyndication.com/pagead/show_ads.js" type="text/javascript"> </script>