第一篇:2010年上半年教育网网站挂马监测报告
2010年上半年教育网网站挂马监测分析报告
北京大学网络与信息安全实验室,中国教育和科研网紧急响应组,中国教育网体检中心
2010年7月
网站挂马近年来一直是国内互联网安全最严重的安全威胁之一,也对教育网网站构成了 现实普遍的危害。随着高考招生拉开帷幕,教育网网站,特别是高招网站,将成为广大考生 和家长频繁浏览的热门站点,也不可避免地成为恶意攻击者的关注目标。
北京大学网络与信息安全实验室(ercis.icst.pku.edu.cn)于去年完成了网站挂马监测平台 系统的研发,通过与中国教育网体检中心(页面。
图 14 224ay.htm网页木马攻击分发页面,包含反病毒软件识别机制
通过对iie.swf和fff.swf Flash文件的手工分析,我们发现该Flash文件是通过ActionScript 中判断Flash Player版本,并利用LoadMovie()函数进一步装载渗透攻击页面,但在我们固化
保全过程中,该页面已失效。av.htm页面内容如图 15,首先根据是否IE7,分别装载6.htm 和7.htm,并进一步输出nod.htm、real.htm和rising.htm。
图 15 av.htm网页木马攻击二级分发页面
6.htm页面内容如图 16,在页面中还通过SCRIPT外链引入了mp.js(页面内容如图 17),经过分析可知6.htm是未经混淆的“极风”漏洞渗透攻击代码,而所引入mp.js中的内容则 包含了一个用于对抗目前一些模拟分析环境(如开源的PHoneyC等)中应用的ActiceX控件 模拟机制的小伎俩,试图创建一个在系统中肯定不存在的“be”控件,而如果客户端环境告 知能够创建成功,则必然客户端环境中采用了ActiveX控件模拟机制(目前实现一般是对所 有环境中不存在ActiveX控件都返回创建成功的模拟对象,然后试图劫持获取进一步的方法 调用和/或动态输出页面链接),而该段代码在创建不成功时才输出后面代码所依赖的一些变 量定义,如此,实现了ActiveX控件模拟机制的环境则无法正确地动态执行代码,从而对该 网马实施有效检测。
图 16 6.htm页面内容,分析可知是未进行混淆的“极风”漏洞渗透攻击代码
图 17 6.htm页面中包含mp.js内容,包含了对抗模拟插件机制
rising.htm页面及之后装载的ofnt.htm,以及ofnt.htm页面中包含的SCRIPT外链oopk.jpg 及uug.jpg的页面内容构成了对Office Web组件OWC10.SpreadSheet中内存破坏安全漏洞(MS09-043)的渗透攻击代码,代码采用了SetTimeout()函数延迟输出链接、将Script文件伪
装JPEG图片文件、通过复杂字符串计算组装Shellcode和ActiveX控件名称等技术手段,以 提升分析的难度。
图 18 rising.htm页面内容,尝试创建OWC10.Spreadsheet控件,并装载ofnt.htm页面
图 19 ofnt.htm页面内容,包含oopk.jpg和uug.jpg两段外链脚本
图 20 oopk.jpg页面中的Script代码,定义Shellcode等变量
图 21 uug.jpg页面中的Script代码,定义一些关键变量,并进行了混淆处理
该场景中还包括了针对联众GLIEDown.IEDown.1控件缓冲区溢出漏洞(BID: 29118,29446)的渗透攻击页面(nod.htm及lz.htm),以及针对Real Player软件IERPCtl.IERPCtl.1控件中缓冲
区溢出漏洞(CVE-2007-5601)的渗透攻击页面(real.htm及myra.htm)。
通过上述两个今年上半年在教育网网站上流行的网页木马攻击场景案例分析,我们可以 总结出目前网页木马攻击者已引入大量的技术手段和伎俩在和研究团队、产业界及政府相关 监管部门进行对抗,以躲避检测,并提升分析追踪的难度。对网页木马的监测与分析技术发 展、平台建设和相应的应急响应处置流程还需要持续地改进和完善,才能够有效地应对和处 置网页木马这种流行的安全威胁形态。
5.总结
北京大学网络与信息安全实验室、中国教育和科研网紧急响应组(CCERT)、中国教育网 体检中心合作开展对教育网中的网站挂马情况进行全网检测和态势分析,并为中国教育网体 检中心(www.xiexiebang.com)。通过2010年上半年教育网挂马监测数据结果分析,共检出来自425 个顶级域名的1,347个网站被挂马,上半年网站挂马率达到3.88%,这说明教育网网站的安 全状况仍不容乐观。希望高校网络安全管理部门和人员能够充分重视,对相关网站进行全面 检测和安全加固,积极预防,尽量避免网站挂马等安全事件的发生。
第二篇:黑客演示网站挂马攻击案例
通过本案例可以学到:(1)了解网站挂马
(2)在网站首页利用IE漏洞挂马
网站挂马攻击主要是指入侵者在入侵成功后修改了网站的某一些或者全部的网页文件,如果网站存在SQL注入漏洞,则比较容易取得一定的权限。如果在服务器上对网站目录等做了较严格的权限限制,也是比较容易取得Webshell权限,具有Webshell权限可以对网页文件进行修改,而挂马就是在网页中加入一些代码。这些代码往往是利用浏览器或者应用程序的漏洞,浏览者在访问这些网页时,往往会在不知不觉中去下载一些木马程序来执行。网站挂马的原理就是设置框架网页的宽度和高度为0,将一些恶意网页隐藏起来,用户访问网站时不容易觉察。目前在网络上有很多网页木马生成器,简称“网马生成器”,本案例以“Ms-0733网马生成器”为例,来讲解如何进行网站挂马攻击。
步骤一 配置网页木马。在使用“Ms-0733网马生成器”配置前需要准备好一款已经配置好的木马服务端,然后直接运行“Ms-0733网马生成器”在网马地址中输入“http://127.0.0.0/test.exe”,如图1所示,然后单击“生成木马”即可生成一网页文件HACKLL.HTM。
图1配置Ms-0733网马生成器
步骤二 修改网站网页文件。在网站首页文件index.asp中加入已经配置好的网页木马htm文件,一般通过在页面中加入“ ”来实现,如图2所示。
图2加入木马代码到正常网页
网页木马利用的是IE浏览器存在的漏洞,其网页木马最本质的东西有两个一个是脚本,另外一个是真正的木马服务端,利用脚本来直接执行木马服务端或者通过下载者来下载木马服务端然后再执行。其网页木马文件中多是一些JavaScript代码,如图3所示。
图3网页木马源代码
测试网页木马是否能够正常执行。在未安装微软的MS0733补丁程序的虚拟机中打开浏览器,并在其中输入网页木马的地址,一会儿后,在控制端就看见肉鸡上线了。大量传播网页木马。网页木马测试成功以后,就可以将其配置好的网页木马放入一些提供Web服务的肉鸡上,只要访问者的系统未安装其网页木马利用的漏洞,如果系统未安装任何对网页木马进行防御的软件,则计算机感染网页木马的几率非常大。J技巧
直接在网站进行“挂马”攻击,被攻击的对象只能是存在安全漏洞的计算机,且攻击时间不宜太长,否则极易被杀毒软件查杀。小结
本案例讲解了如何来进行网站挂马攻击,网站挂马攻击相对简单,先配置好一个木马服务端,然后直接配置网马生成器,配置完毕后将木马服务端和网页木马文件一起上传到服务器上,通过将网页木马文件加入到正常的网页文件中,当用户访问这些被修改的网页时,系统就会自动下载木马程序并执行,从而达到攻击的目的。不过目前一些主动防御软件能够检网页木马,因此在进行网站挂马攻击时,需要对网页木马进行加密以及防查杀处理。
第三篇:惠州政府网挂马分析报告
惠州政府网挂马分析报告
超级巡警安全中心检测到官方网站中国惠山网被挂马,黑客利用CVE-2011-0609的漏洞(根据分析,发现还有另一个网马地址,可是地址已经失效),对浏览网页的用户进行攻击。一旦攻击成功,黑客将获得该用户系统的完全控制权。
二、挂马分析
[root] hxxp://
[iframe] hxxp://(已失效)
[iframe] hxxp://(CVE-2011-0609)
[exe] hxxp://x5978.3322.org/xz/1.exe
三.漏洞描述
这个漏洞存在于以下平台版本:Windows、Mac、Linux和Solaris平台最新Adobe Flash Player 10.2.152.33版本以及更早版本,Chrome谷歌浏览版Flash Player10.2.154.18以及更早版本;Android版Flash Player 10.1.106.16及更早版本;Windows和Mac平台包含authplayl.dll组件的Adobe Reader/Acrobat X(10.0.1)及更早版本。
下图为被挂马也网马页地址(图一)及解密后的内容(图二): 图一 图二
四、病毒分析
病毒相关分析: 病毒标签:
病毒名称:Trojan-GameThief.Win32.Magania.efrt
病毒别名:
病毒类型: 盗号木马
危害级别:4
感染平台:Windows
病毒大小: 23,952 bytes
SHA1 : 8c6234b6bbdd7db541d7f81ca259d7ca67a7dbda
加壳类型:伪装UPX壳
开发工具: Delph
病毒行为:
1)释放病毒副本:
释放31009125n31.dll到%Temp%下;(n31前的数字为随机数字)
释放30680437n31.dll 到%Temp%下并设置系统,隐藏属性;(n31前的数字为随机数字)
释放ctfmon.exe 到%SystemRoot%下;
2)遍历以下进程,并结束他们来进行自我隐藏:
360rp.exe,360sd.exe,360tray.exe,avp.exe,ravmond.exe
3)遍历以下QQ西游的主进程,以便游戏重启时截获用户账号密码:
QQ西游.exe,qy.exe,qqlogin.exe
4)安装全局消息钩子,截获键盘消息
ctfmon.exe HOOK WM_GETMESSAGE
5)进行网络通信,将获取到得账号发送出去。
6)删除自身。
五.事件总结:
分析发现,这次对中国惠山的攻击与往常其他拥有大量用户的网站挂马情况类似,在某个广告页面被ARP攻击。通过分析病毒行为发现这个是个专门针对QQ西游游戏的盗号木马,即便有密保用户也会中招。针对近期出现大量攻击政府网站挂马的行为,希望大家及时更新杀毒软件病毒库,并及时安装软件补丁包防范于未然。
目前畅游精灵已经可以完美拦截该网马的攻击,超级巡警云查杀可以有效识别该木马。超级巡警安全中心提醒用户安装畅游精灵和超级巡警对木马进行有效的拦截。对于已经中毒的用户,巡警安全中心建议您立刻使用超级巡警云查杀进行有效的木马查杀,以此保证自己的系统的安全。
第四篇:网站舆情监测
关于建立网络安全领域监测预警和应急机制的通知
各科室:
为加强网络安全领域监测,进一步提升网络安全预警和管控处置能力,结合单位实际,建立网络安全领域监测预警和工作协调机制。
一、组织领导
市公管办网络安全领域监测预警和应急工作协调机制,由市公管办领导班子成员统一领导下,综合科统筹协调落实,各科室共同配合开展工作。
二、工作重点
一是组织开展对单位网络安全信息内容的检查。重点加强对中心网站、微博、微信等环节的涉稳问题发现、研判、记录和处置,从落实网站主体责任、内容审核管理制度、技术管控手段建设、应急处置工作机制等方面加强检查。
二是组织开展网络安全稳定风险隐患专项治理。以全面实施《网络安全法》为契机,深入开展网络安全隐患排查、打击网络谣言、网络侵犯个人信息等系列专项活动。加强网络生态综合治理,维护好网络安全稳定。
三是加强关键信息基础设施保护和网络安全检查。重点检查各科室信息审核、信息发布、安全管理等,摸清关键信息基础设施风险状况,构建一体化防御体系,防止网络安全事件发生。四是强化网络安全监测预警和信息通报。建立网络安全监测预警和信息通报体系,充分发挥信息通报作用,完善通报机制和平台建设,加强社会资源整合。
五是严格贯彻落实网络意识形态工作主体责任。按照“一岗双责”要求,实行层层负责制,按照《关于规范党员干部网络行为意见》有关要求,切实加强对党员干部网络行为的教育、引导和管理。
六是健全重大网络敏感案事件处置的协同联动机制。遇涉公共资源交易敏感突发舆情,启动网络舆情应急联动工作机制,及时与市网信办、协调沟通,制定舆论引导预案,及时有效地引导好涉及本单位网络舆情。
二〇一七年九月十日
第五篇:DEDE网站安全设置织梦防挂马教程
DEDE网站安全设置织梦防挂马教程
织梦dedecms,功能非常强大,但很多用户并不能完全应用到dede的所有功能。这样的话,你就会长期对某项的相关文件不闻不问,从而给Hack有可乘之机。下面27源码网(http://www.xiexiebang.com)就来为大家解读下织梦dedecms中你容易忽略的几个危险而又无关的文件。
这套简单的教程中为客户讲解了一系列针对DEDE网站的安全设置 只要你按照以下三点操作
可避免99% 网站被挂马的情况
一 精简设置篇:
不需要的功能统统删除。比如不需要会员就将member文件夹删除。删除多余组件是避免被hack注射的最佳办法。将每个目录添加空的index.html,防止目录被访问。
织梦可删除目录列表:member会员功能 special专题功能 install安装程序(必删)company企业模块 plusguestbook留言板 以及其他模块一般用不上的都可以不安装或删除。二 密码设置篇
管理员密码一定要长,而且字母与数字混合,尽量不要用admin,初次安装完成后将admin删除,新建个管理员名字不要太简单。织梦系统数据库存储的密码是MD5的,一般HACK就算通过注入拿到了MD5的密码,如果你的密码够严谨,对方也逆转不过来。也是无奈。但现在的MD5破解网站太过先进,4T的硬盘全是MD5密码,即便你的密码很复杂有时候都能被蒙上。我之前的站点就是这么被黑的。所以一定密码够复杂。三 dede可删除文件列表: DEDE管理目录下的
file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php 这些文件是后台文件管理器(这俩个功能最多余,也最影响安全,许多HACK都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马忒方便了。一般用不上统统删除)。
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。避免HACK利用。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除!
做到以上三点 保证您的网站安全可靠!
点击咨询 