CCERT半年报:2013年上半年教育网安全运行汇总

发布者： 发布时间：2014-09-03来源：

2013年上半年教育网整体运行平稳，未发现影响严重的安全事件。2013年上半年教育网内各类攻击事件仍然时有发生，安全形势不容乐观。在各类攻击中针对学校网络和系统的主要是系统入侵及拒绝服务攻击。而针对普通用户的则更多的是网络钓鱼与欺诈攻击。

　　安全投诉事件统计及攻击态势分析

　　2013年上半年CCERT接受的安全投诉事件数量继续呈下降趋势，从整体上来看教育网中垃圾邮件和网页挂马的投诉数量继续下降，而系统入侵和网络欺诈的数量则呈上升趋势。

图1 2013 年上半年安全投诉事件统计

　　以下是各类安全投诉事件特征分析：

　　垃圾邮件投诉——垃圾邮件依然以广告邮件居多，其次是病毒发送的垃圾邮件。由于现在的邮件服务器大多数不允许匿名发送邮件，因此被用来发送垃圾邮件的账号都是合法的账号。这些账号有些是因为用户系统感染病毒导致邮箱账号被人控制，有些则是因为账号本身的密码太简单被黑客猜出后控制，还有一部分是被钓鱼网站或欺诈邮件骗去了账号密码。值得提醒的是那些密码简单或是容易被骗的用户往往是一些上了年纪且对电脑技术不是很熟的用户。

　　端口扫描——从投诉事件中被扫描的端口来看，居首位的依然是SSH服务的22端口，排在第二的是针对80端口的扫描，端口分布与以往变化不大。这些扫描多数是些自动攻击程序发起的。

　　网页挂马——由于网页挂马技术的单一以及相关浏览器和防病毒软件加强了对挂马攻击的防范，上半年教育网内检出的网页挂马服务器数量继续大幅减少。值得注意的是原有的挂马三级结构（挂马网页、攻击网页、木马程序分别被放在三台不同的服务器上）现在多数已经被合并到一台服务器上了，从上半年检出的情况看，很多网站是将挂马网页和攻击网页清除了，但是却仍然留有木马程序下载的链接。

　　系统攻击——2013年上半年，教育网内的系统攻击事件呈上升趋势，容易被入侵的依然是各类服务器系统，尤其是Web服务器。在被入侵的服务器中，通过Web80端口攻击的数量最多，其次是SSH的22端口。前者多数利用了Web应用程序中的漏洞，而后者则是依靠猜测用户弱密码来进行攻击。在针对80端口的攻击中，利用Web服务程序本身漏洞的数量有所上升（如利用Apache的Strtus漏洞）。而Web应用程序中存

　　在漏洞（如SQL注入、上传权限控制不严等）依然是利用率最高。上半年专有的应用系统（如邮件系统、教务系统等）被攻击的数量有所增加。

　　网络欺诈——网络欺诈投诉分为两种，一种是外部投诉教育网内的服务器上存在钓鱼欺诈网页，主要仿冒国外的银行或是在线支付系统，这通常是因为服务器被黑客控制所导致的，这类欺诈事件数量呈下降趋势。而另一种欺诈投诉则是攻击者伪造学校的应用系统来欺诈用户，这类投诉事件有上升趋势。其中被投诉最多的是伪造邮件系统及发送欺诈邮件。我们在跟踪处理几起欺诈邮件的过程中发现，这些欺诈网页能在学校的应用系统发生改变后及时更新，这说明这类攻击往往后面有专门的人或团队在进行维护更新。

　　DDos攻击——拒绝服务攻击在教育网内仍然时有发生，不过这类攻击的流量都不大，随着主干及出口带宽的增加，这类拒绝服务攻击对网络的影响有限，更多的时候是对被攻击的服务器本身影响较大。

　　病毒——木马病毒依然是为数最多的病毒，其次是蠕虫病毒。移动安卓系统的木马数量正在向传统木马的数量看齐。由于捆绑木马已经成为一些免费软件或是破解软件的主要经济来源，多数的木马病毒依靠捆绑在免费或是盗版破解软件中来进行传播，这点在移动系统软件上尤为突出，因此用户从网上下载软件已经成为了感染木马病毒的高风险操作。

上半年安全漏洞数据分析

　　2013年上半年新增安全漏洞3823个（数据来源CNNVD漏洞库），数量与上年同期基本持平略有上升。这些漏洞威胁等级分布如图2所示。

图2 漏洞威胁等级图

　　从图3可以看出，上半年新增的漏洞有如下特征：

图3 漏洞影响的对象图

　　应用程序漏洞数量占了整个漏洞的数量的一大半。这其中包括各类应用程序、浏览器、办公软件等的漏洞。值得关注的是Java程序的漏洞成为黑客们的新宠，从今年1月初曝出的Java的0day漏洞开始，上半年与Java有关的漏洞数量多达161个。由于Java程序的跨平台性，导致Java程序漏洞的影响范围远大于Windows操作系统的漏洞。

　　Web应用漏洞已超过操作系统漏洞位居第二。值得注意的是上半年针对院校的专有系统（包括：电子邮件系统、教务系统登）的漏洞曝出率有增加趋势。这些专有系统在开发之初没有考虑安全因素导致存在安全漏洞，不过之前由于是专有系统不被黑客关注，最近这段时间黑客将相应的关注重点转到了这些专有系统，相关的漏洞就被暴露出来。上半年被披露的存在漏洞的国内院校专有系统包括：

　　1.正方的教务管理系统；

　　2.快客邮件系统(QuarkMail)存在远程代码执行漏洞；

　　3.eYou电子邮件系统存在多个安全漏洞；

　　4.金智教育CMS系统存在SQL注入漏洞；

　　5.新利软件公司的银校通收费系统存在权限绕过漏洞；

　　6.清元优软科技有限公司的URP教务系统存在权限绕过漏洞；

　　7.育软教育电子政务平台存在Jboss未授权访问漏洞。

　　网络设备的漏洞数量呈上升趋势，一部分原因是因为网络业务发展使得网络设备的功能增多导致漏洞增多，另一方面也是因为无线网络的普及，各种品牌的即插即用无线路由设备数量增多，漏洞数量也跟着增多。这些设备的漏洞可能导致用户的上网信息完全被黑客掌控，危害与系统上被安装木马程序相同且无法使用杀毒软件防范。建议用户要加强在这方面的安全意识。

　　下半年安全趋势展望

　　美国棱镜门事件的曝光，显示互联网安全形势不容乐观。尤其是像高校这种带有研究性质的单位，更容易被黑客盯上。可能存在风险包括：

　　1.网络扩建及无线网络普及带来的风险；

　　2.移动终端无序接入网络带来的风险；

　　3.老旧应用无人更新带来的风险；

　　4.新应用（如云应用）上线带来的安全风险；

　　5.黑客APT攻击带来的风险；

　　针对上述风险，学校除了要加大在网络信息安全方面的投入外，还需要在人力配置和制度完善上下功夫。