防范兩種掛馬攻擊新手段

文/鄭先偉

防范兩種掛馬攻擊新手段

文/鄭先偉

9月與10月的安全投訴事件中網頁掛馬的數量在繼續減少。從我們近段時間掌握的網頁掛馬數據分析來看，攻擊者正在千方百計地使用新技術手段規避主動掛馬檢測系統的掃描。有一種手段是將攻擊代碼隱藏于多媒體文件（Flash文件、視頻文件或音頻文件）中而不是直接在網頁代碼中使用JavaScript腳本，因為多媒體文件解碼占用的系統資源較多，一般的主動掛馬檢測系統并不會對這類文件進行解碼分析，也就無法判斷出文件中的攻擊代碼。還有一種規避的方式是在被控的網站中放置獨立鏈接的掛馬網頁，由于是獨立的鏈接，所以主動掛馬檢測系統通過爬蟲的方式是無法獲得這類掛馬網頁鏈接的，也就無從進行檢測，而攻擊者自己可以通過向用戶發送完整的掛馬網頁鏈接地址來進行攻擊。這類方式同樣也被用在釣魚網站和網頁后門控制程序中。

2011年9月～2011年10月教育網安全投訴事件統計

關注惡意后門程序

9月和10月沒有新增影響特別嚴重的蠕蟲病毒，流行較多的依然是盜號類的木馬病毒程序。近期需要關注的是一類感染系統動態庫文件的惡意后門程序，這類后門程序會通過感染系統中的LPK.dll文件（該文件用于對系統多語言環境提供支持）來達到劫持.exe執行文件的目地。由于LPK.dll文件可以被系統上的絕大部分.exe文件調用，所以對這類病毒的清除非常復雜，即便是在格式化系統盤后重裝系統的情況下，用戶二次感染的幾率也很高。如果用戶發現自己系統中存在多個LPK.dll文件，就有可能是感染此類病毒。一旦發現感染，請到各殺毒軟件廠商的主頁下載相應的專殺工具進行查殺。

近期新增嚴重漏洞評述

微軟10月份發布了8個安全公告，其中2個為嚴重等級，6個為重要等級，共修補Windows系統、IE瀏覽器、Office軟件、Windows開發軟件及訪問控制軟件中的23個安全漏洞。涉及IE瀏覽器的多個安全漏洞可能被用來進行網頁掛馬攻擊，用戶應該盡快利用系統自帶的更新功能安裝相應的補丁程序。除微軟外，Adobe公司也針對其旗下的PDF編輯及閱讀軟件Acrobat／Reader、Flash播放軟件Flash Player發布了相應的安全公告及最新版本，修補了這幾個軟件之前版本中的多個安全漏洞，其中包括一個正在網絡上被利用的Flash Player遠程代碼執行的0day漏洞。用戶應該盡快下載最新版本的Acrobat／Reader軟件和Flash Player軟件安裝。漏洞的詳細信息請參見：

http://www.adobe.com/support/security/bulletins/apsb11-24.html

http://www.adobe.com/support/security/bulletins/apsb11-26.html

還有一個要關注的廠商公告是Oracle公司今年10月份發布的例行安全公告，修復了其公司下Oracle數據庫、Sun Solairs系統、Oracle Text組件、Oracle Waveset組件、Oracle OpenSSO組件 、Java程序等產品中的76個安全漏洞。這些漏洞的詳情參見：

http://www.oracle.com/technetwork/topics/security/cpuoct2011-330135.html

http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html

除了上述漏洞外，8月底Apache和Nginx這兩款常用的Web服務軟件爆出嚴重的安全漏洞，值得廣大管理員注意。

Apache Http Server軟件拒絕服務攻擊漏洞

影響系統：Apache httpd server 的所有版本。

漏洞信息：Apache是目前網絡上使用最為廣泛的Web應用程序。當Apache程序處理包含大量Ranges頭的HTTP請求時，ByteRange過濾器存在一個錯誤，使得攻擊者可以向服務器發送特制HTTP請求，消耗大量內存，造成應用程序崩潰。

要成功利用漏洞，需要Apache http服務器啟用Byte Range filter和mod_deflate/mod_gzip，這2個功能可以提高網站打開大型PDF文檔和圖片的速度。

漏洞危害：攻擊者可以遠程發送特制的數據包，從而導致使用Apache程序的Web服務器資源被全部消耗。目前攻擊代碼已經在網絡上被公布。

解決辦法：目前廠商已經在最新的版本中修補了這些漏洞，請管理員盡快更新相應的版本：

http://httpd.apache.org/download.cgi

Nginx %00空字節執行任意代碼(PHP)漏洞

影響系統：nginx 0.5.*、nginx 0.6.*、nginx 0.7 <= 0.7.65、nginx 0.8 <= 0.8.37。

漏洞信息：Nginx是一款高性能的Web服務器，使用非常廣泛，不僅經常被用作反向代理，也可以非常好地支持P H P的運行。Ngnix在遇到%00空字節時與后端FastCGI處理不一致，即在圖片中嵌入PHP代碼，然后通過訪問xxx.jpg%00.php來執行其中的代碼。

漏洞危害：攻擊者使用服務器開放的上傳功能（如論壇允許上傳圖片的功能）來上傳包含PHP代碼的圖片文件，并在稍后訪問運行這些PHP代碼，達到控制服務器的目的。

解決辦法：廠商還未發布補丁程序，用戶應隨時關注動態：

（作者單位為中國教育和科研計算機網應急響應組）

安全提示

鑒于近期的安全風險，網站管理員應該：

1. 及時更新服務器操作系統補丁程序；

2. 查看Web服務程序的版本，盡可能將其升級到最新版本；

3. 嚴格限制網站的目錄執行權限，尤其是上傳目錄的執行權限。

4. 嚴格限制網站的上傳功能，如果有必要，可以暫時關閉上傳功能。