警惕比特幣挖礦入侵超算服務器

文/鄭先偉

3月教育網整體運行平穩，未發生影響嚴重的安全事件。近期有兩類攻擊事件需要引起關注，一類是NTP服務反射放大攻擊，我們已經在教育網內檢測到多起此類攻擊，涉及到NTP服務器及開放了NTP服務的網絡設備。另一類需要關注的攻擊是利用超算服務器進行比特幣挖礦的攻擊，此類攻擊也已經在多個學校的超算中心被發現。

安全投訴事件統計

安全事件中需要關注的是NTP反射放大攻擊，這類攻擊利用了NTP服務的monlist查詢功能的漏洞進行攻擊。monlist命令原本設計用于查詢NTP服務的狀態，當服務程序收到該查詢命令時會返回當前服務器最后服務的600個地址信息，這些地址每6個被封裝在一個數據包里，最多封裝100個，因此理論上發送一個查詢數據包最多可以返回100個數據包，如果按數據包的大小算，返回流量可以是查詢流量的200倍。由于NTP服務使用UDP協議，攻擊者只需將查詢包的源發地址偽造成攻擊的目標地址，就可以達到反射放大攻擊的效果。NTP的服務端口是UDP 123端口，如果您發現網絡上123端口上UDP流量突然變大，就可能是遭受了NTP反射放大攻擊。目前除了專用NTP服務器外，多數網絡設備上也自帶NTP服務，這些網絡設備也一樣可以用來進行反射放大攻擊。

另外一個需要關注的攻擊是利用超算服務器進行比特幣挖礦的攻擊事件。我們已經發現多家高校的超算服務器被控制用來進行比特幣挖礦。經查發現，這類攻擊通常并不是直接攻擊超算服務器，而是先攻擊控制那些有權限在超算服務器上進行運算的客戶端，再通過客戶端登錄超算服務器后運行挖礦程序。

近期沒有新增影響嚴重的木馬蠕蟲病毒，沒有特別需要關注的內容。

2014年2月～2014年3月安全投訴事件統計

近期新增嚴重漏洞評述

2014年Pwn2Own 黑客大會3月12日至14日在加拿大溫哥華舉行，此次大會上包括IE瀏覽器、Firefox瀏覽、Chrome瀏覽器、Safari瀏覽器、Adobe flash player及Adobe Reader軟件都陸續被攻破，這也意味著這些軟件中均存在未知漏洞。截止文章發稿時，Google公司的Chrome瀏覽器及Mozilla公司的Firefox瀏覽器已發布最新版本修補上述漏洞，其他廠商的產品則暫時還未有修補補丁發布。

微軟3月份的安全公告共5個，其中2個為嚴重等級，3個為重要等級。這些公告修補了包括Windows系統、IE瀏覽器及Silverlight中的23個安全漏洞。其

中2月提到的IE 10瀏覽器的0day漏

洞此次得到了修補。針對上述漏洞用

戶應該盡快安裝相應的補丁程序，公

告的詳細信息請參見：http://technet.

microsoft.com/zh-cn/security/bulletin/

ms13-Mar。

除公告中提到的漏洞外，微軟的Word軟件中存在一個遠程代碼執行的0day漏洞，給漏洞是因為Word程序解析畸形的RTF格式數據時存在錯誤導致內存破壞，使得攻擊者能夠執行任意代碼。攻擊者只需構造特殊的RTF格式文件引誘用戶點擊就可利用該漏洞。目前該漏洞已經在網絡上被利用。微軟已經針對該漏洞發布了安全通告（http://technet.microsoft.com/en-us/security/advisory/2953095），并提供了臨時修補工具（https://support.microsoft.com/kb/2953095），但是還未提供正式的補丁程序，在沒有補丁程序前，建議用戶使用臨時修補工具來降低風險。

Adobe公司3月份的安全公告共1個，修補了Flash player軟件中的2個安全漏洞。不過黑客大會中暴露出來的Flash及Reader軟件的漏洞還未得到修補，用戶需要隨時關注Adobe的更新動態。

安全提示

為防范NTP反射放大攻擊，建議管理員做以下操作：

1. 關閉網絡上所有不必要的NTP服務；2. 升級NTP服務到最新版本；3. 關閉現在NTP 服務的 monlist 功能，在ntp.conf配置文件中增加“disable monitor”選項；4. 檢查網絡設備，暫時關閉設備的NTP服務；5.在網絡邊界上限制UDP 123端口的流量。

對于超算服務器，建議做以下操作：

1. 要求使用超算服務器的用戶確保自己系統是安全的；2. 嚴格限制用戶在超算服務器上的權限；3. 利用防火墻限制超算服務器的網絡連接，必要時可以屏蔽所有比特幣的礦池地址；4. 定期檢查超算服務器的計算進程，發現可疑的及時中斷。