中国被黑站点统计系统 2006年9月分析报告

源：中国被黑站点统计系统[ http://www.zone-h.com.cn]
amxku[amxku_at_msn.com]
自在轮回[zizailunhui_at_msn.com]
wayking[wayking_at_hotmail.com]

目录
0- 总述
1- 分析
2- 相关防护
3- 总结

0- 总述

根据我们对中国被黑站点统计系统所有数据的分析，截至2006年9月19日0时，被篡改网站数量已达13000多个（其中有很多网站是多次被篡改），平均每天约有25个站点被篡改且被举报；又据CNCERT/CC（国家计算机网络应急技术处理协调中心）统计，2006年3月，全球被篡改网站数量超过3万个，平均每1.5分钟，就有一个网站被篡改…… 这些数目不是危言耸听。
网站篡改就发生在我们身边：
2006年03月12日，河北省政府采购网被篡改；
2006年03月18日，广州外事办网被篡改；
2006年03月11日，洛阳大学网站被篡改；
2006年04月13日，大冶政府网被篡改；
2006年04月10日，搜狐CS站被篡改；
2006年05月09日，网易社区被篡改；
2006年07月03日，雅虎中国被篡改；
2006年07月03日，163竟价广告联盟被篡改；
2006年07月11日，网易2006 世界杯足球公园被篡改；
2006年07月22日，天津中医药大学网站被篡改；
2006年09月14日，TCL通讯科技控股有限公司网站被篡改；
2006年09月16日，蒙牛、伊利两大国内牛奶集团官方网站被篡改；
…………
其间，国内有多个网络安全站点、组织也难逃厄运。被篡改的网站多为政府、学校、信息综合门户、知名企业等影响力高、受众面广的网站……，且不论黑客攻击的动机，仅在后果上，这些网站可谓遭遇了不同程度的尴尬。在众多被篡改的网站中，政府网站成了重灾区。在今年召开的中国计算机网络安全应急年会上，国家计算机网络应急技术处理协调中心副总工程师杜跃进博士谈到，“根据中心统计，网页篡改去年在大陆发生13000多次，其中六分之一攻击对象是政府网站，对电子政务构成严重威胁” 。频频发生的攻击能否给政府网站网络安全敲响一次“警钟”。


1- 分析

经过对统计数据的分析，对被篡改的主要原因做以下诠释：
1、网站脚本程序安全问题；
2、服务器设置问题；
3、社会工程学；
4、不可预见的问题。

网站脚本程序安全问题
网站脚本程序安全问题，网站管理员对脚本程序没有做任何处理，表现在网站的默认数据库，默认管理帐号，如admin，root，manager等
网站程序设计存在安全问题，网站程序设计者在编写时，对相关的安全问题，没有做适当的处理，诸如SQL注入，上传，跨站等。
服务器设置问题
服务器设置问题导致被入侵，如系统安装优化与补丁，0day，策略问题，权限，Serv-U，SQL Server，PCangwhere 等相关设置。

社会工程学
现在管理员素质参差不齐，作好对员工自身素质的培训与内部协调，培养员工的保密意识和安全意识。制订完善的保密制度和保密机制，对不同级别的信息保密级别，设置不同的保密应急机制。

不可预见的问题
未知漏洞，本人能力有限，对此不做描述。


2- 相关防护

1. 系统问题
对于系统设置方面这里不做过多介绍。
补丁问题，这个是比较重要的问题，一般服务器需要开的服务，排除第三个程序，关闭不用的一些服务。微软的自动更新功能，另外有一个重要的地方就是，微软的补丁只不是一处，还有很多管理员经常忽略某些方面，比如OFFICE等等，几年前的溢出，时至今日还依然有效。这里不得不提醒一下管理员，想问题要从总体上来考虑，不要局限于某个细节，有个全局观。

2. 策略问题

这里包括密码策略，账户策略等等。这里对于密码，可以采用策略，密码定期更改，密码长度限制，更改默认的用户组等等。同时采用TCP/IP策略对没有端口进行限制，还有IPSEC对特定端口进行身份验证。
一般情况下，比较好的方法是对外只开两个端口，一个是80端口，一个是代理端口。代理端口加上高强度的密码，对于FTP，其它等端口，可以采用连接上代理后，用SockCap等工具来连接；对于Serv-U可以更改本地密码，端口，改更启动权限等。这样可以一定程度上防范一些来自0day的攻击，如Serv-U溢出等。当然，这里所谓的策略并不只是这么几个，需要管理员灵活利用。
设置屏幕保护密码，很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。
系统所能提供的安全机制，对于防范系统有着很重要的意义。

3. 权限问题

一个是目录权限问题，一个是系统自带的程序权限问题。
目录权限，要注意的是系统盘有些默认是执行权限的，所以需要设置成没有执行权限。程序主要是对cmd.exe，cacls.exe，ftp.exe，net.exe，net1.exe，tftp.exe，tftpd.exe，cscript.exe……等等，所以可能用到的东西都进行设置，另外要注意完整性，例如net.exe，最好用dir /s net*.exe，系统自带的有好多个，如果你只限制一个的话，其它的照样可以用，这样一来还是会影响到系统的安全。具体设置请参见相关的文档。
SQL Server 可以删除一些危险的内置存储过程； 以下列出危险的内置存储过程：
xp_cmdshell
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite
ActiveX自动脚本：
sp_OACreate
sp_OADestroy
sp_OAMethod
sp_OAGetProperty
sp_OASetProperty
sp_OAGetErrorInfo
sp_OAStop
限制SQL用户的权限，防止被列目录 等。

4. WEB安全问题

为每个站点设置单独的启动用户，删除不常用到的ISAPI的类型，采用iis防火墙做相关的限制等。
常见的攻击，诸如注入，暴库这类问题，可以在每个网页写个发邮件的脚本，当有出现500，403错误时，自动向管理员信箱里放送一封邮件，这样可以有针对性的对寻找对应网页，目录等启到一定的防护，同时对一些常见的页面，采用屏换的方式，这样一来可以解决一些来自暴力破解和注射时提供的一些敏感信息。
不要忽略了默认数据库等这类低级错误。
对于SQL注入可以加防注入系统，过滤特殊字符等，可以起到一定的防护作用。
跨站相关防护处理，转义相关字符，如
ASP
str=replace(str,"&","&")
str=replace(str,":","：")
str=replace(str,"=","=")
str=replace(str,"<","<")
str=replace(str,">",">")
str=replace(str," "," ")
str=Replace(Str,"""",""")
PHP
str_replace("/n", "<br />", $content);
str_replace("/t", " ", $content);
str_replace("", "", $content);
str_replace("<","<", $content);
str_replace(">",">", $content);
str_replace("/t", ' ', $content);
str_replace("chr(10)","", $content);
………………
对于后台最好做身份限制，另外对上传目录做没有执行权限设置，这里要注意的就是不要忽略了其它脚本语言的支持，对于Access数据库，我们建议，把数据库放在web根目录的上方，这样，即使插了马也没法提交shell。
对于web还有一个比较重要的地方就是对组件的选择性控制，FSO,Shell.Application等组件，可以采用选择性的删除或改名，例如FSO，如果不是虚拟机的话，个人认为可以选择删掉。
如果是PHP的站点的话，在条件允许的情况下，开启安全模式。
总之，要根据具体情况而定，管理员可以随机应变。


5. 0day的攻击

对于0day的攻击，目前来说我们能做的东西很少，可以选择采用监控的方式来对系统进行控制，对于日志文件，请不要给于删除的权限，这样可以从一定程度上得到被入侵后的相关信息，以便日后追击入侵者等。

6. ARP(地址转发协议)欺骗


利用协议的不足，在交换网络的混杂模式下，通过嗅探可以到一些很重要的数据，诸如明文的SQL Server密码，http数据包，SMTP，FTP等等。通常我们可以采用将MAC卡和IP绑定，但是在真实网络环境，有好多管理员并没有把mac卡和ip真正绑定好。或改用HTTPS方式访问，可以对ARP欺骗启到一定的限制。详情可以参考相关文档。

7. 社会工程学、钓鱼

举一个例子(此例来源linzi[B.C.T])说明:
有一天有一个人收到了一个信息，说他中了QQ的大奖，将一个QQ号1234567，密码是1234567，然后叫中奖者速修改密码，从这里，如果我是中奖者一般不会怀疑什么，因为他没有从我身上得到些什么，但，当中奖者把密码改完后，发现自己QQ被盗了，究其原因，钓鱼者利用了，很多人的一个弱点，就是使用同一个密码的习惯，当中奖者将密码改完后，钓鱼者去官方去查改后的密码，再用改后的密码去试中奖者的QQ，成功的话，用户的很多隐私被窃取，虚拟财产受侵犯.当然现在的QQ没法查改后的密码，我这里主要是提出一种思路.转到社工，问问你自己，是否在很多论谈使用差不多相同的ID，是否密码只有三个以内，你的ID是不是可以被google搜出来，攻击者可以攻入你注册过的站点，收集到你一定的密码档，然后，通过已收集的资料，做成一个字典，再对你进行暴破.个人建议自己的密码最好能弄进算法，个个密码都做到不同，这样一来，不只是对自己的隐私起保护作用，同时也保护了站点，域等的安全性。


3 总结
这里我们可以看出很多的安全问题，都出于管理员对网络安全没有深入的认识。
建议网站管理员，多关注网络安全相关动态，了解入侵者常用的入侵手段，以做好即时防护措施，把风险降到最低。
这里我们只是对当前统计得到的数据做了简单的分析，并不通用，具体情况及实施办法请参见相关技术文档。

由于本人的水平有限，有不妥之处还望斧正。
<script type="text/javascript"> </script><script src="http://pagead2.googlesyndication.com/pagead/show_ads.js" type="text/javascript"> </script>