360互联网安全中心：2017中国网站安全形势分析报告(79页)（79页）.pdf

1、 2017中国网站 安全形势分析报告 360 威胁情报中心 2018 年 1 月 23 日 主 要 观 点 网站漏洞问题网站漏洞问题依旧严峻，依旧严峻，教育教育和和政府政府行业行业最值得关注最值得关注 本次报告从漏洞自动检测和人工挖掘角度对国内教育、 政府等十余类典型行业的网站进 行了安全性对比研究。 从漏洞数量来看。云监测平台扫描检测的网站中，教育培训、政府机构和事业单位是存 在漏洞最多的三个行业。在补天平台中，政府机构及事业单位、教育培训和互联网是人工收 录漏洞数最多的三个行业。 从漏洞修复情况来看。 通信运营商、 金融和教育培训类网站是漏洞修复率最高的三个行 业。 96.9%的通信运营商

2、网站漏洞都进行了修复， 90.6%的金融行业的网站漏洞进行了修复， 83.3%的教育培训网站进行了修复。 僵尸网络僵尸网络继续继续瞄准物联网瞄准物联网 在 2016 年 mirai 僵尸网络攻击造成美国东海岸大面积断网事件之后，2017 年以来，又 有三个著名的僵尸网络出现 http81、IoT_reaper 和 Satori。其中，http81 和 IoT_reaper 都是针 对 IoT 设备的僵尸网络。 仅 http81 在国内感染的摄像头设备就超过 5 万台， 而 Satori 则以 12 小时 26 万台的速度感染某品牌家用路由器，成为史上传播速度最快的僵尸网络。 挖矿挖矿木马木马成

3、为成为网站最大现实威胁网站最大现实威胁 2017 挖矿木马疯狂的敛财暗流。 挖矿木马是 2017 年非常流行的一种针对网络服务器进 行攻击的木马程序， 此类木马程序通过自动化的批量攻击感染存在漏洞的网络服务器， 并控 制服务器的系统资源，用于计算和挖掘特定的虚拟货币。由于挖矿木马长期占用 CPU 率达 100%，因此，服务器感染挖矿木马后，最明显的现象是服务器响应非常缓慢，出现各种运 行异常。 如果挖矿木马攻击的是整个云服务平台， 则平台上所有网站和服务系统都会受到严 重影响。 另外，2018 年 1 月 8 日，我们第一次见到 Satori.Coin.Robber 僵尸网络利用“肉鸡”扫 描

4、正在挖矿的设备， 并通过篡改其挖矿设备的算力和代币， 致使其挖掘的虚拟货币流向自己 的口袋。 反人工检测技术反人工检测技术大范围流行大范围流行 2017 年网络黑产大范围使用反人工检测技术，对网站进行黑词黑链篡改，攻击者在向 网页中植入黑词黑链的同时， 还会在页面中加入一段识别程序， 该程序可以识别出访问请求 是来在搜索引擎爬虫还是来自个人用户， 如果访问请求来自搜索引擎爬虫， 则进入带有黑词 黑链等非法信息的页面；如果访问来自个人用户，则显示未经窜改的原始页面，对于未采用 防篡改保护技术及缺乏相关经验的技术人员， 这种攻击很难被发现， 从而使带有非法信息的 页面可以在网站中潜伏更长的时间。

5、WebWebL Logicogic 反反序列化序列化漏洞攻击漏洞攻击可能可能在在 20182018 年年大爆发大爆发 2017 年 12 月末，国外安全研究者 K.Orange 在 Twitter 上爆出有黑产团体利用 Weblogic 反序列化漏洞（CVE-2017-3248）对全球服务器发起大规模攻击，大量企业服务器已失陷且 被安装上了 watch-smartd 挖矿程序；但此类攻击在国内还很少见到。不过，2018 年 1 月 11 日，360 安服团队在应急响应过程中，发现某门户网站遭到了 Weblogic 最新反序列漏洞攻 击。 由于国内外对此漏洞的重视程度明显不足，有可能导致基于该漏

6、洞的网络攻击在 2018 年大规模爆发。 弱密码问题依然弱密码问题依然是网站安全最大隐患是网站安全最大隐患 依然依然普遍存在普遍存在 360 安服团队参与处理的网站安全应急响应事件中，60%以上都与弱密码有关。包括 2017 年大规模流行的挖矿木马，其成功攻击的主要原因也是由于网站管理员使用弱密码。 本报告也总结了大量相关攻击实例，可供读者参考。 摘 要 网站漏洞网站漏洞检测检测分析分析 2017 年 1-10 月，360 网站安全检测平台共扫描检测网站 104.7 万个， 其中，扫出存在漏 洞的网站 69.1 万个（全年去重），共扫描出 1674.1 万次漏洞。扫出存在高危漏洞的网 站 34