中国网站安全报告.docx
- 文档编号:9321493
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:75
- 大小:5.21MB
中国网站安全报告.docx
《中国网站安全报告.docx》由会员分享,可在线阅读,更多相关《中国网站安全报告.docx(75页珍藏版)》请在冰豆网上搜索。
中国网站安全报告
2014年
中国网站安全报告
2015年1月8日
摘要
网站漏洞:
✧2014年全年,360网站安全检测平台共扫描各类网站164.2万个;其中,存在安全漏洞的网站为61.7万个,占扫描网站总数的37.6%;存在高危安全漏洞的网站共有27.9万个,占扫描网站总数的17.0%。
✧360网站安全检测全年共扫描发现网站高危漏洞462.1万次,平均每天约13836次。
✧在所有扫出漏洞中,跨站脚本漏洞(33.7%)和报错型SQL注入漏洞(14.5%)这两类高危安全漏洞占比最高,二者之和接近网站所有漏洞检出总次数的一半。
✧网站修复安全漏洞平均周期为78天,其中,高危漏洞修复平均周期最长,为118天,中危、低危漏洞的平均修复周期分别为57天、58天。
✧OpenSSL心脏出血漏洞、Shellshock破壳漏洞、Struts2-021补丁绕过漏洞是2014年最具影响的三大安全漏洞。
网站篡改与后门:
✧2014年全年,360网站安全检测平台共扫描各类网站164.2万个,其中,被篡改的网站
17.7万个,约占扫描网站总数的10.8%。
✧2014年全年,360网站安全检测共对8409台网站服务器进行了网站后门检测,覆盖网站199.6万个,扫描共发现约3465台服务器存在后门,占所有扫描网站服务器的41.2%。
统计显示,服务器删除新发现后门的平均周期为8.28天。
✧2014年,恶意SEO后门的流行和新型网站后门管理工具QuasiBot的出现特别值得关注。
漏洞攻击:
✧2014年全年,360网站卫士共拦截各类网站漏洞攻击7.0亿次,平均每天拦截漏洞攻击
209.6万次。
✧平均每月有11.0万个网站遭遇各类漏洞攻击,其中,11月是网站遭遇漏洞攻击最为频繁的一个月,平均每天约有6667个网站遭到漏洞攻击。
✧从发起漏洞攻击IP的地域分布来看,91.4%攻击者IP来自境内地区,来自境外的攻击仅为8.6%。
其中,境内攻击主要来自北京(32.9%)、江苏(13.9%)、浙江(11.4%)、山东(10.0%)、广东(7.40%)。
✧从遭到漏洞攻击IP的地域分布来看,96.0%受害者IP为自境内地区,境外的受害者仅为4.0%。
其中,境内遭到漏洞攻击最多的地区是北京(18.1%)、河南(14.0%)、四川
(13.8%)、浙江(11.7%)、江苏(7.42%)等。
流量攻击:
✧2014年全年,360网站卫士共拦截各类CC攻击205.0亿次,平均每天拦截CC攻击6138万次。
统计显示,全年共有15.6万个网站被遭遇CC攻击。
✧94.6%的CC攻击来自境内地区,其中,来自浙江CC攻击数量最多,占境内CC攻击的12.0%,其次是广东(11.8%)和山东(6.17%)。
✧2014年全年,360网站卫士平均每月拦截各类DDoS攻击744.4Gb/s。
5月(1389Gb/s)和7月(1444Gb/s)是全年拦截DDoS攻击的高峰期。
网站安全性行业分析:
✧在各行业网站中,电子商务类网站存在高危漏洞比例最高,为26%;其次为生活信息类(24%)、医疗卫生(22%)和企业公司(21%)。
银行类网站相对安全性较高,存在高危漏洞比例最低。
✧各个行业网站修复漏洞平均周期也有很大差别:
音乐影视类、政务网站漏洞平均修复周期最长,分别为97天和86天,其网站安全意识有待提高;而游戏网站、医疗卫生类网站修复漏洞平均周期较短,分别为65天和66天。
✧医疗卫生、政府网站和社区论坛最容易遭到漏洞攻击。
一般来说,一个网站遭遇的平均漏洞攻击量越大,也就意味着这个网站对于攻击者来说,利用的价值越高。
✧在2014年遭遇CC攻击最多的100个网站中,社区论坛网站数量最多,占比高达27.0%;其次是企业公司(17.0%)、生活信息(16.0%)、医疗卫生(10.0%)。
✧在遭遇CC攻击的网站中,企业公司网站平均被攻击次数最多,高达1.63亿次。
事实上,向竞争对手的网站发起流量攻击,已经成为部分企业之间恶意竞争的常用手段。
网站攻击战术最新趋势:
✧网站攻击与漏洞利用正在向批量化,规模化方向发展,主要表现在以下五个方面:
撞库攻击越演越烈、全网知识库大大丰富、建站系统漏洞被广泛利用、新漏洞发现与利用的速度越来越快、第三方代码托管平台被攻击。
✧从2014年曝出的多起安全事件分析来看,利用网站服务器与手机APP之间的接口存在的漏洞对网站服务器发起攻击,已经成为一种流行趋势。
✧网页篡改被大量用于钓鱼攻击,2014年下半年,特别是7月-9月间,大量政府教育类网站遭篡改并被植入大量钓鱼页面。
网站防护技术前沿趋势:
✧安全检测从主动式扫描向被动式扫描转变。
✧自动化扫描向自动化扫描与人工漏洞挖掘相结合转变。
补天平台:
✧2014年,补天平台共收录2490名“白帽子”提交的有效0day漏洞24724个,平均每天收录有效0day漏洞70个。
其中,共有1229名白帽子提交了通用漏洞5407个,1883名白帽子提交了事件漏洞19317个。
✧2014全年,补天平台共向357名白帽子发布奖金167.8万元,其中事件漏洞付款金额为
61823元,通用漏洞付款金额为161.6万元。
✧90后目前已经是白帽子的绝对主力,占比高达63.8%,80后占比34.4%,00后占比
1.8%。
此外,在补天平台2490名白帽子中,仅4名为女性,女性仅占不足0.2%。
某种程度上说,白帽子的世界就是男人的世界。
✧企业网站与管理系统的主要安全问题往往并不是那些技术复杂度很高的网站漏洞,而是一些比较低级的技术错误或人为的失误,主要表现在以下三个方面:
密码安全性不足、运维配置不当、SQL注入漏洞。
关键词:
漏洞、篡改、后门、流量攻击、CC、DDoS、补天平台
第一章网站漏洞分析
一、网站漏洞综合分析
2014年全年(截至11月30日),360网站安全检测平台共扫描各类网站164.2万个,较2013年的91.2万个,增加了80.0%。
其中,存在安全漏洞的网站为61.7万个,占扫描网站总数的37.6%。
其中,存在高危安全漏洞的网站共有27.9万个,占扫描网站总数的17.0%。
从总量来看,2014年扫描发现的有漏洞的网站数量与有高危漏洞的网站数量都与2013年相差不多。
但由于360网站安全检测所扫描的网站总数量大幅增加,所以有漏洞和有高危漏洞的网站都较2013年大幅下降。
下图给出了每月扫描出存在高危漏洞的网站个数(当月去重)。
与2013年相比,今年每月扫出的有高危漏洞的网站数较为平均,普遍集中在5.2万个到6.6万个之间,其中,10月扫出的有高危漏洞的网站数最多,达到6.6万个。
360网站安全检测,全年共扫描发现网站高危漏洞462.1万次,平均每天约13836次。
下图给出了2014年每月扫描出网站高危漏洞的次数。
二、网站漏洞特征统计
不同的漏洞对网站安全性的影响也有所不同。
360互联网安全中心将网站安全漏洞划分为高危、中危和低危三个级别。
关于不同级别漏洞的危害性,大致说明如下:
高危:
黑客可以取得服务器控制权限,可以对网站进行肆意更改;中危:
黑客能够入侵网站,且可以造成篡改;低危:
存在扫描行为,可能给网站带来危害。
下图给出了2014年扫出网站漏洞中,高危、中危和低危漏洞的比例分布。
下表给出了被扫出次数最多的十大类典型网站安全漏洞
排名
漏洞名称
漏洞级别
扫出次数(万)
1
跨站脚本攻击漏洞
高危
414.0
2
报错型SQL注入漏洞
低危
178.1
3
页面异常导致本地路径泄漏
中危
114.3
4
IIS短文件名泄露漏洞
低危
73.4
5
目录启用自动列表功能
中危
73.0
6
SQL注入漏洞(盲注)
高危
57.8
7
服务器启用了TRACEMethod
低危
35.3
8
Flash配置不当漏洞
中危
22.6
9
发现FCKeditor编辑器
低危
21.5
10
目录开启了可执行文件运行权限
中危
15.8
表1扫出数量最多的10类漏洞
下图给出了各类网站安全漏洞被扫出次数的比例分布情况。
从图中可以看出,跨站脚本漏洞(33.7%)和报错型SQL注入漏洞(14.5%)这两类高危安全漏洞仍然是占比最高的网站安全漏洞,二者之和接近网站所有漏洞检出总次数的一半。
三、网站漏洞修复周期
通过对360网站安全检测的用户网站的统计分析发现,网站修复一个新发现的安全漏洞的平均周期为78天。
其中,高危漏洞修复周期最长,为118天,中危、低危漏洞的平均修复时间相差不多,分别为57天、58天。
之所以会出现高危漏洞的修复周期要远远长于中低危漏洞的情况,主要是因为:
绝大多数的中低危网站安全漏洞可以通过安装和配置防火墙得到解决;而高危漏洞则往往需要人工编写的漏洞补丁才能修复,一般很难简单的通过安装和配置防火墙来解决。
总体而言,目前国内网站漏洞修复周期还是较长,造成这种情况的主要原因有以下几个方面:
1)发布补丁遮遮掩掩
建站系统供应商推出漏洞补丁的速度本身就很慢,而且推出补丁后,供应商又往往由于担心影响企业商誉,所以对发布补丁的相关信息总是遮遮掩掩,把补丁的下载链接隐藏的很深,网站用户很难注意到相关信息。
2)没有统一的补丁推送机制
国内外提供建站系统服务的企业有很多,但到目前为止还没有建立起统一的补丁推送机制。
因此,建站系统的补丁还不能向Windows补丁那样简单快速的送达用户。
3)只向商业用户发布漏洞警示
某些建站系统供应商只会向其商业用户发布漏洞警示并推送系统补丁,而不会向免费用户发出警示和推送补丁,从而使大量免费使用建站系统的用户无法在第一时间打好补丁。
4)开发者定制影响系统升级
某些开发者会在建站系统基础上,进行很多的定制性开发。
而这些定制性开发并不一定能够与升级补丁之间相互匹配。
有些定制程度较高的网站在升级系统之后会出现网站瘫痪或无法打开等问题。
这种情况也就制约了漏洞的及时修复。
5)缺乏有效的沟通渠道
有些网站管理员虽然能够认识到修复建站系统漏洞的重要性,但却由于缺乏于供应商之间有效的、快捷的沟通渠道,从而延误了系统漏洞的修复。
四、2014年重大网站安全漏洞解读
(一)OpenSSL心脏出血漏洞漏洞编号:
CVE-2014-0160
一句话描述:
近年来影响范围最广的高危漏洞,可被用于窃取服务器敏感信息,实时抓取用户的帐号密码。
爆发时间:
2014年4月
影响版本:
OpenSSL1.0.1、1.0.1a、1.0.1b、1.0.1c、1.0.1d、1.0.1e、1.0.1f、Beta1of
OpenSSL1.0.2等版本。
漏洞介绍:
Heartbleed漏洞,可以直译为“心脏出血”,是OpenSSL的源代码中存在的一个重大安全漏洞。
攻击者可以构造异常的数据包对存在这一漏洞的网站发起攻击,每次读取服务器内存中64K数据,不断的迭代获取,就能取出了可能包含证书私钥、用户名、用户密码、用户邮箱等敏感信息的数据。
影响危害:
OpenSSL是互联网应用最广泛的安全传输方法,被各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站所广泛使用。
此漏洞被普遍认为是近年来危害最严重的安全漏洞。
该漏洞可以让黑客轻松在https开头的网址服务器上,实时抓取用户的帐号密码。
从该漏洞被公开到漏洞被修复的这段时间内,已经有黑客利用OpenSSL漏洞发动了大量攻击,有些网站用户信息或许已经被黑客非法获取。
未来一段时间内,黑客可能会利用获取到的这些用户信息,在互联网上再次进行其他形式的恶意攻击,针对用户的“次生危害”(如网络诈骗等)会大量集中显现。
据360攻防实验室2014年4月7日-2014年4月12日数据分析,包括HTTPS(443)、
IMAPS(993)、SMTPS(465)和PCP3S(995)等类型的网站在内,全球共有约220万台服务器受心血漏洞影响。
在受心血漏洞影响的服务器中,境外服务器占比约为95.5%,境内服务器的占比仅为4.54%。
其中,境外服务器受心血漏洞影响的主要地区是美国(44.5%)、欧洲
(25.8%)、南北美其他地区(11.8%)和亚洲其他地区(4.5%)等;而境内服务器受心血漏洞影响的主要地区依次分别是香港(26.6%),台湾(22.7%)和北京(21.4%)。
国外部分受影响的网站:
加拿大税务局(CRA)因心脏出血安全漏洞,关闭了电子服务网站。
平台维护者,如维基媒体基金会,建议他们的用户更改密码。
国内部分受影响的网站:
淘宝主站运营维护不当导致可以登录随机用户并且获取服务器敏感信息微信网页版和公众帐号版运营维护不当可随机登录微信用户并获取服务器敏感信息中国银联运营维护不当导致可能存在随机登录银联账户并获取服务器敏感信息
12306新版订票系统运营维护不当导致可以登录随机用户并且获取服务器敏感信息比特币中国运营维护不当导致随机用户明文密码泄漏搜狗通行证服务器运营维护不当导致信息泄露乐视网运营维护不当导致敏感信息泄露凤凰网运营维护不当导致泄漏敏感信息京东某分站存在此漏洞导致敏感信息泄露及全站随机用户登录(证明可登录)搜狐畅游运营维护不当导致黑客可获取服务器敏感信息联想官网运营维护不当导致可获取服务器敏感信息相关名词:
OpenSSL:
一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。
这是互联网应用最广泛的安全传输方法,被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用。
(二)Shellshock破壳漏洞
漏洞编号:
CVE-2014-6271
一句话描述:
黑客利用Shellshock漏洞,可以对目标机发起远程攻击,危害性超过“心血漏洞”。
爆发时间:
2014年9月
影响版本:
GNUBash<=4.3
漏洞介绍:
2014年9月25日,爆发了Shellshock破壳漏洞,黑客利用了Bash这个环境变量的不当处理漏洞,可远程完全控制系统。
换句话说,借助这个漏洞,黑客可以非常隐蔽的在系统中执行命令,从而有可能获取最高权限。
影响危害:
Shellshock是继今年四月的“心血漏洞”之后,业界发现的首个重大互联网威胁。
由于并非所有运行Bash的电脑都存在漏洞,所以受影响的系统数量或许不及“心血漏洞”,不过,Shellshock本身的破坏力却更大,因为黑客可以借此完全控制被感染的机器,不仅能破坏数据,甚至会关闭网络,或对网站发起攻击。
该漏洞已超过了“心血漏洞”的危害,已经监测到大量的远程攻击,且已经出现了蠕虫传播,广大企业、网站和网民都应该提高警惕。
相关名词:
Bash:
Unixshell的一种,在1987年由布莱恩·福克斯为了GNU计划而编写。
1989年发布第一个正式版本,原先是计划用在GNU操作系统上,但能运行于大多数类Unix系统的操作系统之上,包括Linux与MacOSXv10.4都将它作为默认shell。
它也被移植到
MicrosoftWindows上的Cygwin与MinGW,或是可以在MS-DOS上使用的DJGPP项目。
在NovellNetWare与Andriod在上也有移植。
(三)Struts2-021补丁绕过漏洞
漏洞编号:
CVE-2014-0094
一句话描述:
建站系统漏洞,可用于攻陷服务器,获取网站数据信息,潜在安全威胁大。
爆发时间:
2014年4月
影响版本:
Struts2.0.0-Struts2.3.16.1
漏洞介绍:
ApacheStruts2的远程代码执行漏洞风暴影响刚刚散去,4月23日晚,安全人员研究发现Apache公司提供的升级版本并未完全修复漏洞,补丁中的相关安全机制仍可被黑客绕过。
Struts2上次远程代码执行漏洞,是由于黑客通过ParametersInterceptor接口可以操控服务器运行环境中的一些对象,因此补丁中禁用了此接口,但是由于防护规则不完善,导致安全机制仍可被攻击者绕过。
建设银行、工商银行、中国银行、淘宝、京东、中国移动官网等都采用Struts2框架,此漏洞对上述网站服务器构成了拒绝服务和远程控制的威胁。
影响危害:
攻击者利用此漏洞,可以远程对目标服务器执行任意系统命令,轻则可窃取网站数据信息,重则可取得网站服务器控制权,从而造成信息泄露并给网站运行带来严重的安全威胁。
特别是政府、公安、交通、金融和运营商等尤其需要重视该漏洞,这些单位和机构的敏感信息泄漏有可能对国家造成沉重的打击,甚至会违反相关的法律规定。
在最近几年APT攻击横行的时期,黑客早已不再以挂黑页炫耀为目的,攻击者可能通过该漏洞作为突破口渗透进入其内部网络并长期蛰伏,不断收集各种信息,直到收集到重要情报。
相关名词:
Apache:
ApacheHTTPServer(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。
它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中。
Struts框架:
Apache软件基金会(ASF)赞助的一个开源项目。
它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。
它通过采用JavaServlet/JSP技术,实现了基于JavaEEWeb应用的MVC设计模式的应用框架,是MVC经典设计模式中的一个经典产品。
第二章网站篡改与后门
黑客入侵网站后,一般会有三类典型的攻击行为:
一是篡改网站内容,植入黑词黑链;二是植入后门程序,达到控制网站或网站服务器的目的;三是通过其他方式骗取管理员权限,进而控制网站或进行拖库。
本章将主要根据360网站安全检测的网站扫描情况,分析网站被篡改和被植入后门程序的情况。
一、网站篡改分析
2014年全年(截至11月30日),360网站安全检测平台共扫描各类网站164.2万个,较2013年的91.2万个,增加了80.0%。
其中,被篡改(不包括被植入后门程序)的网站17.7万个(全年去重),约占扫描网站总数的10.8%,比2013年增多了2.1个百分点。
而从每月数据统计(当月去重)来看,2014年前十一个月平均每个月扫描检出被篡改网站3.28万个,比2013年的1.34,增长了144.8%。
其中,7月份检出数量最多,达到11.7万个,其次是8月份(7.8万个)、9月份(4.0万个)。
下图给出了每月检出的被篡改网站数。
二、网站篡改实例
2014年,网站遭篡改攻击最主要的一个新特点就是大量政府和教育类网站被入侵并植入钓鱼页面。
这种以钓鱼为目的的篡改攻击,在2014年7-9月达到最高潮。
下面给出两个具体的实例。
更多参考案例,请见“附录2网站被篡改植入钓鱼网页实例”。
1)网站域名:
,网站(备案)名称:
中华人民共和国住房和城乡建设部
2)网站域名:
,网站(备案)名称:
北京大学国际合作部网站
网站篡改除了植入钓鱼页面外,还有黑词黑链植入、泛域名解析、搜索引擎劫持等多种攻击方式。
这些篡改方式的规模和特点与2013年相比变化不大,本次报告不再一一举例了。
三、网站后门分析
后门是一段恶意代码,攻击者通过植入这段精心设计的代码来控制网站,同时还可获得某些敏感的信息,进一步获得服务器的控制权限。
后门一般具有很强的隐蔽性,从而来达到长期控制网站的目的。
2014年全年(截至11月30日),360网站安全检测共对8409台网站服务器进行了网站后门检测,覆盖网站199.6万个,扫描发现约3465台服务器存在后门,占所有扫描网站服务器的41.2%,比2013年增多了7.4个百分点。
总体而言,2014年,服务器被检出后门的绝对数量和比例都较2013年有大幅提升。
截至2014年11月30日,360网站安全检测已扫出各类网站后门文件样本354.6万个。
下图给出了目前扫出的网站后门类型的比例分布。
其中,一句话木马是指那些代码非常简短,通常只由一行代码构成的网站木马,如
phpeval($_POST['密码'])?
>等,可以看出,一句话木马占到了网站后门的60%以上。
下表给出了2014年感染服务器最多的十个后门及其恶意行为。
其中仅一个143byte后门,便感染了2546台服务器,影响范围及其之广。
排名
后门名称
后门类型
感染服务器个数
大小
恶意行为描述
1
guige一句话木马
一句话木马
2546
143Byte
针对dede建站系统的一句话木马.用来远程执行任意php代码
2
dede一句话木马
一句话木马
2471
141Byte
前面dede建站系统的一句话木马变形
3
普通一句话木马
一句话木马
1813
29Byte
php的一句话木马,密码511348,用来远程执行任意php代码
4
威盾加密php后门
php加密后门
1731
9.67Kb
加密的php后门,隐蔽性很强。
5
变形的一句话木马
一句话木马
1687
59Byte
变形的php一句话木马,密码511348,黑客可远程执行任意php代码
6
图片一句话木马
asp一句话木马
1643
812Byte
隐藏在图片中的asp一句话木马,隐蔽性强,可执行任意asp代码
7
base64编码的php木马
加密php文件
1592
7.66Kb
加密的php后门,隐蔽性很强,用来执行远程命令
8
加密asp木马
asp木马
644
103Kb
加密的asp木马后门,用来执行远程命令
9
ddos攻击脚本
ddos攻击脚本
583
15.9Kb
php的doos攻击脚本,用来攻击远程计算机系统
10
加密php一句话
php一句话木马
577
125Byte
加密的php一句话木马,用来远程执行任意php代码
表2感染服务器数量TOP10后门
下表给出了2014年感染后门量最多的十台服务器的IP以及其感染后门数量。
其中,江苏省服务器感染后门总量最多,高达103.9万个;其次是上海市54.3万个,居于第二位。
排名
感染服务器IP
感染后门数量
IP所在地
1
222.184.*.*
823475
江苏
2
116.55.*.*
478485
云南
3
114.80.*.*
235790
上海
4
210.209.*.*
235691
香港
5
222.184.*.*
215737
江苏
6
118.193.*.*
165651
北京
7
61.152.*.*
164786
上海
8
121.10.*.*
160000
广东
9
61.172.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中国 网站 安全 报告