欢迎来到天天文库
浏览记录
ID:34654592
大小:1.23 MB
页数:13页
时间:2019-03-08
《2010年上半年教育网网站挂马监测报告》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、2010年上半年教育网网站挂马监测分析报告北京大学网络与信息安全实验室,中国教育和科研网紧急响应组,中国教育网体检中心2010年7月网站挂马近年来一直是国内互联网安全最严重的安全威胁之一,也对教育网网站构成了现实普遍的危害。随着高考招生拉开帷幕,教育网网站,特别是高招网站,将成为广大考生和家长频繁浏览的热门站点,也不可避免地成为恶意攻击者的关注目标。北京大学网络与信息安全实验室(ercis.icst.pku.edu.cn)于去年完成了网站挂马监测平台系统的研发,通过与中国教育网体检中心(www.nhcc.edu.cn)、中国教育和科研网紧急响应组(www.ccert.edu.cn)合作,在中国
2、教育网体检中心向教育网网站提供公益性的网站挂马监测服务。从今年1月份开始对教育网上可公开访问的3.5万多个网站进行周期性的持续监测,上半年累计检测到425个教育网顶级域名下的1,374个网站被挂马,且在高考高招期间呈现快速增长趋势。本文尝试通过对上半年教育网网站挂马监测数据的全面分析,并结合典型案例分析,展示网站挂马威胁的发展态势,并建议高校安全管理部门和人员加强意识,通过多种渠道对高校网站进行安全检测与加固,以防止被恶意攻击和挂马。1.被挂马网站数据统计分析2010年上半年网站挂马监测平台累计检测到425个教育网顶级域名下的1,374个网站被挂马,上半年挂马率为3.88%(即在上半年周期内,
3、教育网内有3.88%比例的网站曾被检测出挂马)。每月在教育网中检出的挂马网站数量和月度的挂马率变化趋势如图1所示,总体呈现快速增长趋势。2月份由于春节假期等因素挂马网站数量较少,进入3月份中下旬由于当时IE浏览器中爆出iepeers零日漏洞(又称为”极风”),以及攻击该漏洞的网马在黑客社区中广泛流传,3月份和4月份的教育网挂马网站数量成倍攀升,并在4月及5月高考高招来临前保持在高位状态,月度挂马率接近2%,6月份挂马率稍稍回落至1.67%,共检出590个挂马网站,可能的原因是部分高校网站,特别是高招网站开始重视起网站的安全性。图12010年上半年教育网网站挂马数量和月度挂马率统计对于监测平台所
4、检出的教育网挂马网站,我们也在检出后第一时间查询Google安全浏览(GoogleSafeBrowsing)API接口,获取Google是否对这些网站进行恶意标注的结果。结果发现Google在平台于5-6月份检出的833个挂马网站中,标注了340个,未标注比例达到近60%。该数据说明虽然Google安全浏览计划监测面很广,但对中国教育网的监测覆盖面尚不够充分。在2010年上半年检出的1,374个挂马网站中,我们进一步对这些网站在平台每轮监测中检出次数和挂马检出的持续时间进行了统计,其分布如图2所示:挂马网站的平均检出次数为3.9,检出次数最多的网站达到了28次,是某高校的精品课程网站;检出持续
5、时间最长的143天,为某高校生物技术学院,在1月下旬检出后一直保持被挂马状态,持续被平台1检出,而检出挂马网站的平均挂马持续时间为25.7天,这说明教育网部分网站对挂马的检测和响应还远远不够主动和迅速,也使得挂马网站持续地对访问者构成安全威胁。检出的1,374个挂马网站分布于425个教育网顶级域名(即大致分布于400多个高校和科研院所单位),检出挂马网站最多顶级域名(haue.edu.cn),从2月3日至6月28日,在该域名下持续有48个不同的网站被检出挂马,检出次数达到233次。经分析,该高校网站大部分都建在同一IP的服务器上,且均采用了ASP动态页面建站,而被植入的网页木马也都属于同一渗透
6、代码工具包(ExploitKit)且宿主域名源于同一动态域名服务,因此可以推测该高校大量网站被挂马是同一攻击者(团伙)所为,通过攻入服务器,在不同虚拟主机目录的网页中插入恶意挂马链接,从而实施网站挂马攻击。在检出挂马网站的425个顶级域名中,平均每个域名下有3.2个挂马网站,这些检出挂马网站的顶级域名所属单位也几乎囊括了目前国内所有985及211高校。图22010年上半年教育网挂马网站检出次数和挂马持续时间分布1单次检出的挂马持续时间视为1天。图3教育网检出挂马网站数量和次数的顶级域名分布情况2.网页木马宿主站点分析网站挂马监测平台具有网页木马精确定位和挂马链提取功能,对于检测到的挂马网站,能
7、够追溯网页木马宿主站点。基于这些原始数据,我们对上半年教育网检出的网页木马宿主站点进行统计分析,从而尝试揭示出一些攻击者构建挂马攻击场景的技术规律。在平台对1,374个挂马网站的累计26,956次检出结果中,这些挂马网站最终装载了位于1,001个恶意宿主上的网页木马URL,传播网站数量最多的网页木马宿主站点如表1,最多的宿主站点o.lookforhosting.com上的网页木马链接在145个教育
此文档下载收益归作者所有