不看不知道，一看嚇一跳。你想好好上個網，其實不太容易，一不小心你就可能中招。

不要不相信，11月16日，中國電信股份有限公司北京研究院與北京神州綠盟信息安全科技股份有限公司（以下簡稱綠盟科技）等單位共同發(fā)布了調研產出的《2016 年上半年中國網站安全報告》，其中給出了一組數據：

相比 2015 年上半年， 2016 年上半年高危漏洞占比有所增加。 2015 年上半年監(jiān)測發(fā)現每個網站平均漏洞數達 658 個，其中，高危漏洞數為 7 個。 2016 年上半年監(jiān)測的網站數據顯示，平均每個網站漏洞數達 773個，其中，高危漏洞數高達 22 個。

七八線地區(qū)的童鞋們更要注意的是，對，你們更危險，請看——

從行業(yè)分布情況來看，地方企業(yè)占比最高，運營商、政府教育及醫(yī)療行業(yè)也存在較多問題。漏洞的行政屬性較為明顯，區(qū)縣及以下單位問題最多，合計有 252969 個高危漏洞，其次是各省市級單位，共曝出 108722 個高危漏洞，可以明確看到區(qū)縣及以下級別單位的漏洞數量要明顯高于部委、集團、省市級單位。

看上去讀者你是不是沒什么觸動的意思？沒關系，看一下以下焦點安全事件盤點，你可能會發(fā)出：“唉呀媽呀，你們說的就是這個事！”或者可能你就是其中一個受害者。

信息安全事件1.LinkedIn 用戶賬戶信息泄露

盆友，坦白跟你說，社交平臺現在是黑客的“關注點”哦！越來越多的問題被發(fā)現，例如數據泄露、詐騙或者其他攻擊。

如果你曾經換過工作，那么這類社交求職平臺可能會毫不留情地把你的信息泄露。如下對話可能會發(fā)生：

A：李先生你好，聽說你要跳槽

B：(十分驚喜狀，以為獵頭來了)，對對對，是的，你有什么好職位？

A：那個，就想問問您，一般跳槽可能會換租房是吧，我是租房中介。

……

這一次，受傷害的是領英（ LinkedIn）。它是全球最大職業(yè)社交網站，會員遍布 200 多個國家和地區(qū)，總數超過4 億人，致力于向全球職場人士提供溝通平臺，并協助他們在職場事半功倍，發(fā)揮所長。加
入后，可瀏覽會員資料、在招職位、行業(yè)消息、人脈圈動態(tài)和對您職業(yè)技能有幫助的相關信息。

2012 年，一名自稱“和平”的俄羅斯黑客攻擊了領英網站，獲取了超過 600 萬條用戶登錄信息，并泄露在網上。

比 2012 年更為嚴重的是 2016 年，仍是一位自稱“和平”的俄羅斯黑客獲取了 1.17 億領英電子郵件 ID 以及用戶的登錄密碼，并在暗網市場上以 5 個比特幣（約 $2200 或￥15000）的價格進行出售。

暗網出售截圖

信息安全事件2.百萬郵件賬戶信息被盜

用過雅虎、hotmail、和Gmail 郵箱的朋友肯定還記得這次災難——

2016 年 5 月 7 日，根據路透社報道，黑客正在黑市上交易高達 272300000 條被盜的郵件賬戶用戶名和密碼，其中， 57000000 條俄羅斯 Mail.ru 郵件賬戶、 40000000 條雅虎郵件賬戶、 33000000 條 hotmail 郵件賬戶以及 2400000 條 Gmail 郵件賬戶。

另外，還包含成千上萬的德國和中國的電子郵件戶，以及數以千計的涉及美國銀行業(yè)、制造業(yè)和零售業(yè)公司員工的用戶名和密碼組合如圖：

信息安全事件3.國內部分網站存在 Ramnit 惡意代碼攻擊

2016年4月，CNCERT 監(jiān)測發(fā)現，一個名為“ Ramnit ”的網頁惡意代碼被掛載在境內近600個黨政機關、企事業(yè)單位網站上，一旦用戶訪問網站有可能受到掛馬攻擊，對網站訪問用戶的 PC 主機構成安全威脅。

專門針對天朝黨政機關、企事業(yè)單位網站，膽子不小！

Ramnit 惡意代碼是一個典型的 VBScript 蠕蟲病毒，可通過網頁掛馬的方式進行傳播，當用戶瀏覽含有 Ramnit 惡意代碼的 HTML 頁面時，點擊加載 ActiveX 控件，用戶主機就很有可能受到惡意代碼的感染。如下圖所示為 Ramnit 代碼在頁面中駐留的代碼片斷。

Ramnit代碼在頁面中駐留的代碼片斷

Ramnit 主要在用戶% TEMP %文件夾中植入了一個名為“svchost.exe”的二進制文件并執(zhí)行關聯的 ActiveX 控件，受感染的用戶主機會試圖連接到與 Ramnit 相關的一個木馬控制服務器——fget-career.com。

根據 CNCERT 監(jiān)測情況分析，Chrome 和 Firefox 瀏覽器用戶不會受到惡意代碼的影響，而較高版本的 IE 瀏覽器也會對此類 ActiveX 控件進行告警提示而不是自動執(zhí)行。所以，受影響的主要是較低版本的 IE 瀏覽器。建議IE瀏覽器用戶在訪問互聯網站時做好 IE 安全設置（建議設置為中-高安全級別），禁止執(zhí)行不明來源的ActiveX控件。

2015年11月至2016年3月間的巡檢結果顯示境內共計有約 1250 臺境內WEB服務器被掛載過 Ramnit 惡意代碼，被入侵的服務器主要類型為 Microsoft IIS（占比69.3%），其次是 Apache 系列服務器（占比19.2%）。

信息安全事件4.全網服務器安全恐遭“菜刀-Cknife”威脅

2016年7月20日，據國外媒體 softpedia 報道，中國 MS509Team 的兩大安全研究人員 Chora 和 MelodyZX 開發(fā)了新型Webshell管理工具“Cknife”，在 GitHub 開放源代碼供所有人使用，當然黑客也不例外。

2015年12月，跨平臺版中國菜刀—Cknife發(fā)布，它是由Java語言編寫的，包括服務器端組件，可以管理鏈接至 Java、PHP、ASP 和 ASP.NET 服務器。

工具運行原理

創(chuàng)業(yè)公司 Recorded Future 的一份調查研究指出，Chopper 是 2013 年發(fā)布的一款非常有效但卻過時（代碼級別）的 Webshell 管理工具，深受中國各種顏色帽、犯罪組織以及高級持續(xù)性威脅者追捧。Cknife 是 Chopper 的“升級版”。

Cknife 與 Chopper 有一些共同之處，像圖標以及處理HTTP請求中的一些怪異模式。但這兩種工具卻也截然不同，Cknife 用 Java 編寫，而 Chopper 則用 C++ 編寫而成。

此外，Cknife 通過 HTTP 打開 Webshell GUI 與被感染服務器之間的連接，而 Chopper 使用 HTTPS。Recorded Future 表示，Cknife 開發(fā)人員許諾在今后幾個月會支持 HTTPS.

Cknife 是網絡服務器的 RAT 。Cknife 允許用戶一次連接多個服務器，同時連接網絡服務器與數據庫并運行命令行訪問的遠程shell。

Recorded Future 警告稱，“Cknife 是中國攻擊者過去半年以來一直在討論(可能在使用)的可置信威脅?？紤]到圍繞網絡服務器的大范圍攻擊面、Chopper 和 Cknife 各自的應用程序與架構以及 Chopper的成功先例，不久的將來，Cknife 應該應認真解決的合法威脅。”

信息安全事件5.只針對中國用戶的勒索軟件CuteRansomware

上次雷鋒網邀請 360 的專家給大家科普過勒索軟件——在黑客的眾多牟利手段當中，勒索軟件可能是最普遍的一種。這種惡意軟件通常會通過受感染的郵件附件、被篡改的網站或網頁廣告散布。勒索軟件會對用戶電腦上的文件進行加密，除非受害者交付特定數額的贖金，否則受影響的文件將會一直處于不可用的狀態(tài)。

那么，在實際案例中，有沒有真的只針對中國用戶的的勒索軟件呢？歷史告訴大家，真的有！

2016年7月15日，有安全研究人員發(fā)現了一個名為 cuteRansomware 的新惡意勒索軟件。該惡意軟件代碼的注釋及勒索內容全部使用的中文，這就意味著，該勒索軟件目前只將中國用戶作為攻擊目標。再仔細查看代碼并比對 AVG 研究人員發(fā)現的版本之后，研究人員還發(fā)現該版本還采用谷歌文檔表格作為其 C&C服務器。

cuteRansomware 會感染計算機，生成 RSA 加密密鑰，然后通過 HTTPS 將密鑰傳送到谷歌文檔表格中。

信息安全事件6.WinRT PDF 存在網頁掛馬攻擊漏洞

WinRT PDF 作為 Windows 10 系統的默認 PDF 閱讀器，能夠像過去幾年爆發(fā)的 Flash、Java、Acrobat漏洞相似允許黑客通過 Edge 瀏覽器發(fā)起一系列攻擊。Windows Runtime（WinRT）PDF 渲染庫或者簡稱 WinRT PDF，是內嵌至 Windows 10 系統中的重要組件，允許開發(fā)者在應用中輕松整合PDF閱讀功能。該渲染庫被已經在 Windows Store 上架的應用廣泛使用，包括 Windows 8/8.1 的默認閱讀應用和微軟最新的Edge瀏覽器。

2016年3月3日，來自 IBM X-Force Advanced 研究團隊的安全專家 Mark Vincent Yason 近期發(fā)現 WinRT PDF 存在和過去幾年曾用于 Flash 和 Java 上相似的網頁掛馬攻擊（drive-by attacks）漏洞。在WinRT PDF 作為 Edge 瀏覽器的默認 PDF 閱讀器之后，任何嵌入至網頁的 PDF 文檔都能夠在這個庫中打開。聰明的攻擊者能夠通過 PDF 文件來利用這個 WinRT PDF 漏洞，使用包含 CSS 的 iframe 定位來秘密打開包含惡意程序的 PDF 文件并執(zhí)行惡意程序。

攻略：為何你中招，如何不再中招？

如果你曾經不小心遇到上述問題，可能不是你運氣差。綠盟科技告訴雷鋒網，通過對 200 余個單位的網站安全管理情況進行了調研分析，他們發(fā)現了這些問題：

• 在基礎管理方面，雖然目前有 95% 的單位有專人負責安全運維工作，但是超過 5 人的安全團隊不足 20%，同時有將近一半的單位缺失安全制度及應急響應流程。意思是，大事不好了，然而網站運維也蒙圈了。

• 在資產管理方面，有將近 50% 的單位沒有進行網站資產的定期梳理，導致很多新建站點數據庫等端口在公網暴露，往往這些單位也不清楚下轄單位的網站資產全集。同時，有 70% 以上網站都是外包建站， 40% 以上是外包運營，如果對于外包過程掌控不足，很容易留下大量安全隱患。意思是，我把內衣、底褲都掛到攝像頭下了，還特別喜歡找別人幫我晾衣服，被拿走了都不知道。

• 在建站開發(fā)方面，使用第三方軟件框架種類繁多，有各類開源服務器（如 apache、
  Lighttpd 等 )、開源數據庫 ( 如 mysql、 PostgreSQL 等 )、開源論壇框架（如 phpwind、phpcms 等）等，這些開源產品如果不能很好地管理，會導致大量配置相關的風險隱患。
  

• 在漏洞管理方面，有將近 40% 的單位認為高危漏洞處于個位數，但事實比這糟糕得多，
  有 61% 的單位低估了漏洞的數量以及危害，另外 96% 的單位在徹底修復漏洞前沒有
  做任何漏洞防御措施。意思是，狼來了，但是以為羊來了。

• 在威脅管理方面，僅有 6% 的單位能對掃描行為和模擬的攻擊行為進行攔截。在事件管理方面，僅有 20% 的單位明確進行了網站各類事故的監(jiān)測，其余各單位有將近一半反饋沒有做網站事故災害監(jiān)測，而另一半則不確認本單位是否做了安全事故災害監(jiān)測。

為此，除了建立健全安全管理組織形式，明確清晰安全管理工作職責，構建落實安全管理體系框架，綠盟科技著重建議建立完善安全管理運營流程。

以監(jiān)測、發(fā)現、與處理一項網站漏洞為例，以下為高能實操攻略：

1.如何發(fā)現漏洞這個小妖精？

辦法一，日常漏洞監(jiān)測與掃描。這其中包含Web 漏洞和系統漏洞的監(jiān)測與發(fā)現，由于網站安全漏洞會不斷被發(fā)現和公開，所以使用掃描設備對網站漏洞進行監(jiān)測是個持續(xù)的過程，并且需要納入到日常管理工作范疇。
辦法二，緊急漏洞通告的輿情監(jiān)測。緊急漏洞通告一般是指業(yè)內將漏洞及漏洞驗證代碼同時公開的漏洞，這些漏洞往往有高風險、波及范圍廣、對應的攻擊代碼傳播快的特點。通常在緊急漏洞公開之前或公開的同一天會出現利用該漏洞的攻擊工具。所以，對一些第三方的漏洞通報平臺、各安全廠商發(fā)布緊急漏洞信息的平臺、各類黑客論壇進行情報監(jiān)測。

2.發(fā)現漏洞以后怎么辦？

發(fā)現漏洞以后，需要對漏洞進行驗證和分析，驗證過程通常是根據漏洞詳情驗證漏洞的真?zhèn)?，掃描設備、各類漏洞通告有較高的頻率出現誤報，所以在發(fā)現漏洞后首先要對漏洞進行驗證，確認網站系統是否存在漏洞或受到漏洞的影響。

在確認漏洞的真?zhèn)魏螅ǔχ懈呶Ｂ┒葱枰獌?yōu)先分析，分析的目的在于確認漏洞被利用后會對資產或企業(yè)造成何種影響，相同的漏洞給不同的網站帶來的風險是完全不同的，應該由網站維護人員和安全管理員共同判斷。在對網站進行驗證分析后，需要網站管理人員作出決策，凡有可能對網站造成機密性、完整性、可用性破壞的漏洞都應該考慮及時采取措施預防和修復。有部分不會對網站造成任何影響的漏洞可采取接受風險的策略。

3.漏洞未能修復之前怎么辦？

在漏洞未能修復之前采取的臨時措施，通常是在漏洞修復之前采用技術手段將來自外部的風險（漏洞利用）屏蔽。這個過程可以通過修改 Web 程序來實現，也可以依賴于網站的防護設備，通過追加臨時安全防護策略可以攔截外部攻擊者利用漏洞的行為。

在漏洞預防策略實施后，需要再次通過人工方式或設備驗證漏洞預防策略是否已生效。當然，漏洞預防措施的實施不代表漏洞不需要修復，因為來自內部的威脅照樣存在，徹底解決的辦法還是修復漏洞。如果發(fā)現漏洞后可以快速修復漏洞，甚至可以不采取漏洞預防的措施。

4.如何修復？

針對網站已有的漏洞在技術上進行修復，根據不同種類的漏洞采取的手段各不相同，同一類型的漏洞也可以采用不同的手段修復和規(guī)避，降低風險。按照漏洞的幾種常見類型，漏洞的修復方法可以按照如表所示：

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。