文/鄭先偉

網(wǎng)絡(luò)運(yùn)行正常 仍需提防掛馬

文/鄭先偉

5月教育網(wǎng)網(wǎng)絡(luò)運(yùn)行正常，無重大安全事件發(fā)生。近期教育網(wǎng)新增的掛馬網(wǎng)頁數(shù)量有所上升，這主要是因?yàn)榕R近高考以及高招工作即將展開，用戶對(duì)教育網(wǎng)內(nèi)的網(wǎng)站關(guān)注度升高，使得攻擊者將攻擊的重點(diǎn)轉(zhuǎn)到于高校相關(guān)的網(wǎng)站上。建議網(wǎng)絡(luò)管理員能夠?qū)ψ约汗茌牱秶鷥?nèi)的WEB服務(wù)進(jìn)行安全掃描和安全加固，以此來防范網(wǎng)站被攻擊并掛馬。要注意的是需要加固的不僅僅是服務(wù)軟件，網(wǎng)頁代碼本身也是需要進(jìn)行檢驗(yàn)并加固的。

5月的安全投訴事件依然以垃圾郵件和網(wǎng)頁掛馬為主。

病毒與木馬

近期沒有新增影響特別嚴(yán)重的蠕蟲病毒。需要關(guān)注的是利用熱點(diǎn)事件進(jìn)行欺詐傳播的病毒。這類病毒在傳播上并沒有直接利用系統(tǒng)或軟件的漏洞，它通過偽裝成網(wǎng)絡(luò)上的熱門事件（如不雅照片或視頻等）引誘用戶主動(dòng)點(diǎn)擊下載并運(yùn)行。雖然大部分時(shí)候殺毒軟件能夠有效識(shí)別這類病毒，但是一些用戶在獵奇的心態(tài)下不惜關(guān)閉殺毒軟件的主動(dòng)防毒功能來運(yùn)行這些程序。一旦用戶點(diǎn)擊運(yùn)行了這類仿冒的圖片或視頻文件后，仿冒程序就會(huì)下載大量的木馬程序到用戶的機(jī)器上運(yùn)行，破壞系統(tǒng)的防毒軟件和安全措施進(jìn)而完全控制用戶的機(jī)器。

近期新增嚴(yán)重漏洞評(píng)述

5月微軟的安全公告中僅包含兩個(gè)安全公共，涉及的系統(tǒng)包括office軟件和OUTLOOK軟件，用戶應(yīng)盡快安裝相應(yīng)的補(bǔ)丁程序。除了微軟外，其他的一些第三方軟件的安全公告也需要提醒用戶關(guān)注，如Mozilla針對(duì)firefox瀏覽器發(fā)布的補(bǔ)丁程序、Adobe針對(duì)Shockwave Player Director發(fā)布的安全公告，暴風(fēng)影音軟件針對(duì)BaoFeng 2012版本發(fā)布的補(bǔ)丁程序。這些第三方軟件需要用戶根據(jù)自己的安裝情況來選擇安裝相應(yīng)的補(bǔ)丁程序。

以下是近期需要我們管理員特別關(guān)注的漏洞：

nginx文件路徑處理遠(yuǎn)程命令執(zhí)行漏洞

影響系統(tǒng)：

Igor Sysoev nginx 0.8.x

Igor Sysoev nginx 0.7.x

Igor Sysoev nginx 0.6.x

漏洞信息：

nginx是多平臺(tái)的HTTP服務(wù)器和郵件代理服務(wù)器，一般用來構(gòu)建需要高性能的主頁服務(wù)（如學(xué)校的首頁服務(wù)器）。nginx可以被配置為以CGI的方式來支持PHP腳本運(yùn)行，這種方式在處理PHP腳本文件路徑的解析時(shí)存在問題，可能導(dǎo)致攻擊者利用php腳本控制服務(wù)器。這個(gè)漏洞出現(xiàn)在nginx傳遞訪問的URL和后續(xù)的腳本路徑提取過程中，如果服務(wù)器上允許用戶上傳特定的文件（如rar或jpg圖片等），攻擊者就可以上傳包含php腳本命令的圖片文件，如果用戶獲得上傳文件的訪問地址，在其后添加任意php后綴的文件名進(jìn)行訪問，存在漏洞的處理過程會(huì)把上傳的圖片文件當(dāng)作php腳本執(zhí)行，使得攻擊者能控制服務(wù)器。

漏洞危害：

該漏洞是0day漏洞，漏洞的攻擊方式已經(jīng)在網(wǎng)絡(luò)上被公布。一旦使用nginx的網(wǎng)站允許用戶上傳文件，這個(gè)漏洞就很容易被利用。目前監(jiān)測(cè)發(fā)現(xiàn)已經(jīng)有部分網(wǎng)站的該漏洞被利用后進(jìn)行了掛馬攻擊。

解決辦法：

目前廠商還未針對(duì)該漏洞發(fā)布補(bǔ)丁程序，建議您隨時(shí)關(guān)注廠商的動(dòng)態(tài)：

http://nginx.net/

在沒有補(bǔ)丁程序前，您可以使用以下的臨時(shí)辦法來減輕風(fēng)險(xiǎn)：

修改PHP的配置文件php.ini，把默認(rèn)的如下行：

cgi.fix_pathinfo=1

修改為：

cgi.fix_pathinfo=0

修改后重啟nginx服務(wù)器。

MySQL COM_FIELD_LIST命令遠(yuǎn)程溢出漏洞

影響系統(tǒng)：

Oracle MySQL 5.1

Oracle MySQL 5.0

漏洞信息：

MySQL是目前使用最為廣泛的開源多平臺(tái)數(shù)據(jù)庫軟件。MySQL的5.0和5.1版本中存在一個(gè)安全漏洞，如果MySQL允許遠(yuǎn)程數(shù)據(jù)庫連接，那么攻擊者可以通過向MySQL數(shù)據(jù)庫提交包含有超長(zhǎng)表格名稱參數(shù)的COM_FIELD_LIST命令觸發(fā)緩沖區(qū)溢出，導(dǎo)致執(zhí)行任意代碼。

漏洞危害：

MySQL是很多網(wǎng)站使用的后臺(tái)數(shù)據(jù)庫系統(tǒng)，默認(rèn)情況下MySQL數(shù)據(jù)庫是禁止遠(yuǎn)程連接的，但是由于很多網(wǎng)站的WEB服務(wù)和數(shù)據(jù)庫服務(wù)并不在一臺(tái)服務(wù)器上，管理員會(huì)開放遠(yuǎn)程連接功能。如果用戶的數(shù)據(jù)庫端口允許遠(yuǎn)程連接的話，這個(gè)漏洞就非常容易被利用。

解決辦法：

目前廠商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問題，請(qǐng)到廠商的主頁下載補(bǔ)丁升級(jí)：

http://bugs.mysql.com/bug.php?id=53237

（作者單位為CERNET國家網(wǎng)絡(luò)中心應(yīng)急響應(yīng)組）

安全提示

為防范服務(wù)器被掛馬，建議管理員執(zhí)行以下操作：

1.及時(shí)升級(jí)WEB服務(wù)器的補(bǔ)丁程序；

2.盡量更新WEB服務(wù)程序和數(shù)據(jù)庫程序到最新版本；

3.關(guān)閉WEB服務(wù)器上不必要的服務(wù)及端口；

4.使用防火墻保護(hù)WEB服務(wù)器；

5.檢查主頁代碼中包含數(shù)據(jù)庫操作和用戶輸入操作的代碼，防范SQL注入和跨站腳本漏洞；

6.WEB服務(wù)器要專機(jī)專用，禁止在WEB服務(wù)器上做一些無關(guān)的操作（如訪問網(wǎng)頁或收取電子郵件等）；