中国被黑站点统计系统分析报告--中国,被黑,站点,统计,系统,分析,报告

作者：佚名来源：网上收集发布时间：2006-11-22 21:50:43

00- 综述
=====

       随着秋天的离去，网络上的站点也迎来了一次新的革命。
       新期国内几大社区先后被攻击。
       动易,风迅,新云,Phpwind,Discuz等系统都先后出现了安全漏洞。
      我们强烈建议使用这些系统的用户立刻检查一下您的系统是否受此漏洞影响。

01- 分析
=====

经过对统计数据的分析，对被篡改的主要原因做以下诠释：
           1、网站脚本程序安全问题；
           2、服务器系统漏洞;
           3、不可预见的问题。

1、网站脚本程序安全问题

       动易,风迅,新云,Phpwind,Discuz等系统都先后出现了安全漏洞，其中这些漏洞属于“紧急”风险级别。攻击者利用这些漏洞可能远程入侵并完全控制服务器。需要立刻安装相关补丁。

2、服务器系统漏洞

       微软刚刚发布了6个最新的安全公告: MS06-066到MS06-071。这些安全公告分别描述了9个安全问题，分别是有关各版本的Microsoft Windows、Internet Explorer、XML Core Services和第三方等Macromedia Flash Player系统和应用的漏洞。
       我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响，并按照我们提供的解决方法予以解决。

3、不可预见的问题

       未知漏洞，本人能力有限，对此不做描述。

02- 防护
=====

1、网站脚本程序安全问题

       新云网站管理系统任意文件可下载漏洞[详情:http://www.sebug.net/show.php?v=353]
       风迅网站管理系统存在安全漏洞[详情:http://www.sebug.net/show.php?v=354]
       WordPress 2.04 多重安全漏洞[详情:http://www.sebug.net/show.php?v=377]
       雷驰新闻管理系统任意用户上传[详情:http://www.sebug.net/show.php?v=499]
       动易2006最新漏洞[详情:http://www.sebug.net/show.php?v=523]
       动易最新未公开Bug[详情:http://www.sebug.net/show.php?v=552]
       动网7.1.0存在泄露绝对路径漏洞[详情:http://www.sebug.net/show.php?v=498]
       动易User_Message.asp注射漏洞[详情:http://www.sebug.net/show.php?v=464]
       Phpwind论坛存在严重安全[详情:http://www.sebug.net/show.php?v=333]
       Discuz许愿池插件远程包含漏洞[详情:http://www.sebug.net/show.php?v=160]

2、服务器系统漏洞

       1. MS06-066 - NetWare客户端服务中的漏洞可能允许远程执行代码
             http://www.sebug.net/show.php?v=517
       2. MS06-067 - Internet Explorer累积安全更新
             http://www.sebug.net/show.php?v=519
             http://www.sebug.net/show.php?v=514
             http://www.sebug.net/show.php?v=512
       3. MS06-068 - Microsoft Agent中的漏洞可能允许远程执行代码
             http://www.sebug.net/show.php?v=516
       4. MS06-069 - Adobe Macromedia Flash Player中的漏洞可能允许远程执行代码
            http://www.sebug.net/show.php?v=518
       5. MS06-070 - Workstation服务中的漏洞可能允许远程执行代码
             http://www.sebug.net/show.php?v=515
       6. MS06-071 - Microsoft XML核心服务中的漏洞可能允许远程执行代码
             http://www.sebug.net/show.php?v=513

      对于0day的攻击，目前来说我们能做的东西很少，可以选择采用监控的方式来对系统进行控制，对于日志文件，请不要给于删除的权限，这样可以从一定程度上得到被入侵后的相关信息，以便日后追击入侵者等。
       可以对CMD进行加密[http://www.amxku.net/?action=show&id=777]等。

  03- 总结
=====

       这里我们可以看出很多的安全问题，都出于管理员对网络安全没有深入的认识。
       建议网站管理员，多关注网络安全相关动态，及时更新系统补丁，以做好即时防护措施，把风险降到最低。
       这里我们只是对当前统计得到的数据做了简单的分析，并不通用，具体情况及实施办法请参见相关技术文档。

04- 声明
=====

本安全报告仅用来描述可能存在的安全问题，Zone-h.com.cn不为此安全报告提供任何保证或承诺。由于传播、利用此安全报告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，Zone-h.com.cn以及安全报告作者不为此承担任何责任。Zone-h.com.cn拥有对此安全报告的修改和解释权。如欲转载或传播此安全报告，必须保证此安全报告的完整性，包括版权声明等全部内容。未经Zone-h.com.cn允许，不得任意修改或者增减此安全报告内容，不得以任何方式将其用于商业目的。