注册       免费体验     服务热线: 400-820-5530    
新闻中心
用户如是说

 

“信任30SOC,感觉我们网站的安全有双监控的眼,我们对网站安全的意识更加提高了,三零卫士完整的网站全生命周期的安全解决方案是我们的信赖”

-- 天治基金 信息中心 文总

 

 

联系我们
  • 电话
  • 电话:

    021-54363010

  当前位置:首页 > 新闻中心 > 安全公告
2015年2月安全公告
2015/3/5

本月安全通告

安全焦点
  2015年2月1日至28日,由三零卫士提供安全服务的上海市各政府、金融、教育、电商等行业重要信息系统整体运行基本正常,没有出现造成严重影响或后果的大规模网络安全事件。三零卫士30SOC监控平台获取本月有近46个政府网站,频繁出现无法正常访问、连接超时、应用程序中的服务器错误、404错误等事件,建议相关政府部门、金融及教育机构能有所重视。
网站监控
  本月三零卫士监控中心对上海市各区门户网站及下属子网站进行监控。并根据监控情况进行分类统计和汇总。
  整体安全情况良好。
  本月出现的安全事件较为平稳,事件主要集中2月6号,由于网络环境原因导致大部分网站出现短暂性连接超时、网页无法打开,其余时间段均未出现太严重影响面积大的安全事件。
 
  从本月的检测数据来看,三零卫士的30SOC监控平台所监控的网站均运行平稳未出现大规模事件发生。
安全动态
  该数据来源主要通过30SOC监控平台及国际安全公布平台获取。在我们的安全公告中重点关注中国的政府网站及教育网站。gov.cn后缀网站为中国政府网站,edu.cn后缀网站为中国教育网站。本月由于30SOC的信息收集引擎调整记录数据为2015-02-1~2015-02-28被黑网站监控数据。
政府类
  本月由30SOC监控平台发现的被黑政府网站共计46个, 与上个月网站数量相比下降较多,安全性工作得到了较好的改善,但仍然希望各个政府网站管理人员能够再接再厉继续加强网站安全管理,及时修复网站漏洞。
被入侵网站举例:
  黑客在不知不觉中为美国国家安全局收集情报
  据美国独立新闻网站Intercept报道, 美国国家安全局及其情报合作伙伴长期以来都在定期对国家资助的黑客及自由黑客所窃取的数据进行筛选,以从中寻找有价值的信息。尽管不断受到黑客的警告威胁甚至冒着被告上法庭的风险。但当涉及各自的国家利益时,美国、加拿大和英国的情报机构还是愿意搭上黑客的顺风船。
  一张来自这些情报机构内部资料的网页上写道“黑客会窃取一些我们目标的电子邮件…….通过收集黑客所窃取的信息,我们一方面可以访问这些电子邮件,另一方面可以知道谁受到了黑客攻击。”这张网页最后修改于2012年, 是前美国国家安全局承包商斯诺登泄露给记者并发布在Intercept网站上的文件之一”。
  这种类型的数据窃取只在由美国、加拿大、英国、澳大利亚和新西兰组成的情报机构五眼联盟(Five Eyes)内部所知晓,代号为“INTOLERANT”, 该组织做事很有条理,对每个事件的受害者都要进行识别、分类并做好标记。对每个网络攻击的受害者还要进行描述,这样可以方便对受害者群体进行划分,并可以跟踪所发起的攻击是成功和失败。
金融类
  网银木马VAWTRAK最新变种瞄准金融机构
  近日, 国内某安全公司的研究员发现一种名为VAWTRAK的网银木马增长迅速,该木马大量使用恶意Word宏和Windows PowerShell脚本,攻击者已经利用该木马瞄准了花旗、汇丰、摩根大通、美国银行在内的国际金融机构。
  攻击链以网络钓鱼邮件开始用来传播该网银木马的诈骗信息都是经过精心制作以使得它们看起来好像来自联邦邮件公司。
  在基于Windows宏感染的其他事例中可以观察到,当邮件收件人打开文档时将首先看到一些乱七八糟的符号,然后会提示受害者为了正确查看该消息需要启用宏。VAWTRAK网银木马能够从不同的来源窃取信息,包括微软Outlook和Windows Mail等邮件服务的登录凭证。
其他新闻事件
  D-Link(友讯)路由器存在远程命令注入漏洞
近日安全研究员在D-Link(友讯)路由器上发现了一个严重的安全漏洞,攻击者可以远程获得设备的最高访问权限(Root),劫持DNS设置或者在设备上执行任意命令。
漏洞详情:
  首先是D-Link DIR636L型号的路由器对“ping”工具上的输入信息过滤不当导致攻击者可以在路由器上注入任意命令;其次是认证机制在执行过程中也出现了错误,以致攻击者可以远程获得设备的root权限。恶意攻击者可利用该漏洞修改路由器上的防火墙或者NAT规则,对其他网络发动DDoS攻击或者直接把连接路由器的计算机暴露于公网。
  基于ping.ccp漏洞的属性,用户只要访问嵌入恶意HTTP form的网页,攻击者就可获得设备的root访问权限,劫持DNS设置或者在受害者设备上执行任意命令。
  受影响的设备,如下:
  D-Link DIR-820L (Rev A) – v1.02B10、D-Link DIR-820L (Rev A) – v1.05B03
  D-Link DIR-820L (Rev B) – v2.01b02、TRENDnet TEW-731BR (Rev 2) – v2.01b01
热门病毒分析
三零安全实验室漏洞分析
  Web Server漏洞全解析[iis nginx apache]
  问题描述:
  Web服务器是Web应用的载体,该载体的安全问题直接影响到网站应用的安全性。Web服务器的安全性取决于应用部署时的运行环境安全, 运行环境包括Web Server、中间件软件以及脚本语言解析器等。现今较为常用的网站脚本语言解析器主要有iis、nginx以及apache等,纵观这些解析器的漏洞史,他们都曾出现许多高危漏洞。下面我们将分别对这3大主流解析器中可能存在的安全漏洞进行分析和汇总。
  IIS安全
  IIS6.0解析漏洞
  1、目录解析
  在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。
  2、文件解析
  在IIS6.0下,分号后面的不被解析,也就是说test.asp;.jpg会被服务器看成是test.asp解析执行。
  Nginx安全
  在默认Fast-CGI开启状况下,攻击者通过上传一个名字为test.jpg,内容为攻击代码的php木马文件,然后访问test.jpg/.php,则test.jpg文件会被当成test.php文件解析执行。
  Apache安全
  Apache是从右到左开始判断解析,如果为不可识别解析,就再往左判断当攻击者上传一个名为test.php.swf.rar的文件时由于“.swf”和”.rar” 这两种后缀是apache不可识别解析,apache便会把test.php.owf.rar解析成php。
  安全小贴士
  问:为什么要关闭或删除系统中不需要的服务?
  答:一些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
  问:为什么了解一些病毒知识?
  答:这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏;了解一些注册表知识、内存知识,可以定期查看注册表的自启动项是否有可疑键值,经常看看内存中是否有可疑程序。
  • 联系地址
  • 总部:
  • 上海市徐汇区宜山路810号
  • 贝岭大厦11楼
  • 电话:021-55313030
  • 传真:021-54363095
  • 分公司>
  •  

© 2001-2016 三零卫士信息安全有限公司, Inc All Rights Reserved.
沪ICP备12002417号-8