最近网络安全运行中需要关注的事件是5月19日晚由暴风影音软件引起的DNS请求拒绝服务攻击。由于学生中使用暴风影音软件的人数较多，因此很多校园网都受到攻击风波的影响。此次事件生动地给我们上了一堂安全课。对DNS服务的拒绝服务攻击作为一种操作简单但影响面巨大的攻击方式，未来可能越来越频繁地被利用。DNS服务的安全需要我们花费更多的精力去关注。

　　挂马锁定高校二级网站

　　6月随着高考的结束和高招工作的临近，教育网内高校网站的访问量大大增加。为避免用户在访问网页时感染病毒，国家计算机应急响应中心(CNCERT)联合教育网网络安全应急响应组(CCERT)对教育网内的挂马网站进行了专项清理，本次清理的挂马网站有45个，涉及到的院校35所。这些被挂马的网站均为学校的二级网站，被挂马的原因主要有以下四种：

　　1. 网页代码编写不规范存在漏洞，被人利用SQL注入漏洞在网页代码中挂马。
　　2. 网站服务器长期缺乏维护，存在系统漏洞被人入侵在网页代码中挂马。
　　3. 网页服务器感染病毒，网页被病毒程序插入挂马链接。
　　4. 网页服务器所在网段的其他服务器感染病毒，通过ARP欺骗攻击在网页代码中挂马。
　　从上面可以看出，被挂马的网站多数是那些维护不及时(甚至是长期都无人管理)的网站。建议学校的管理员尽快对自己学校的各类二级网站进行检查，避免在高招期间被人利用，对用户造成不必要的损失。
　　6月没有新增危害较大的木马病毒，值得关注的还是那些通过网页挂马传播的木马病毒。排在挂马网站漏洞利用首位的依然为MS08-067漏洞。

　　首要关注微软DirectShow漏洞

　　6月我们首要关注的是微软6月份安全公告中涉及的漏洞， 本次微软公发布了10个安全漏洞，涉及的漏洞数量多达31个。相关的信息请参见：http://www.ccert.edu.cn/announce/show.php?handle=145

　　除了公告中涉及的漏洞外，我们还需关注微软DirectShow漏洞，这个漏洞到目前还没有补丁程序，但是利用该漏洞的攻击程序已经开始被网页挂马利用。

　　DirectShow漏洞分析

　　影响系统
　　DirectX 9.0、DirectX 8.1、DirectX 7.0
　　漏洞信息
　　DirectX是Windows系统中的流媒体支持组件，它为视频或者游戏提供声音及图像的支持，是Windows的基础组件之一。Windows DirectX的DirectShow组件(quartz.dll)在解析畸形的QuickTime媒体文件时存在错误，用户受骗打开了恶意的媒体文件就会导致执行任意代码。
　　漏洞危害
　　由于此漏洞存在于Windows的DirectXShow组件中，所以并不需要用户安装QuickTime播放软件就能被利用。攻击者可以通过特制的网页引诱用户点击来利用此漏洞，成功利用此漏洞可以以当前用户的权限执行任意代码。目前该漏洞正被积极地利用来进行网页挂马攻击。
　　解决办法
　　厂商目前还没有针对该漏洞发布相关的补丁程序，建议用户随时关注微软的官方网站：http://www.microsoft.com/technet/security/。

　　在没有安装补丁程序前，您可以使用临时的方法来缓解漏洞的风险：
　　对于 32 位 Windows 系统
　　1. 单击“开始”，单击“运行”，在“打开”框中键入 Regedit，然后单击“确定”。
　　2. 找到以下子项：
　　HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
　　3. 在“文件”菜单上，单击“导出”。
　　4. 在“导出注册表文件”对话框中，键入 Quicktime_Parser_Backup.reg，然后单击“保存”。 (注意 默认情况下，此操作将在“我的文档”文件夹中创建此注册表项的备份。)
　　5. 按键盘上的“Delete”键删除该注册表项。 当系统提示您通过“确认项删除”对话框删除注册表项时，单击“是”。

　　对于 64 位 Windows 系统：
　　1. 单击“开始”，单击“运行”，在“打开”框中键入 Regedit，然后单击“确定”。
　　2. 找到以下子项：
　　HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
　　3. 在“文件”菜单上，单击“导出”。
　　4. 在“导出注册表文件”对话框中，键入 Quicktime_Parser_Backup1.reg，然后单击“保存”。 (注意 默认情况下，此操作将在“我的文档”文件夹中创建此注册表项的备份。)
　　5. 按键盘上的“Delete”键删除该注册表项。 当系统提示您通过“确认项删除”对话框删除注册表项时，单击“是”。
　　6. 找到以下子项：
　　HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
　　7. 在“文件”菜单上，单击“导出”。
　　8. 在“导出注册表文件”对话框中，键入 Quicktime_Parser_Backup2.reg，然后单击“保存”。 (注意 默认情况下，此操作将在“我的文档”文件夹中创建此注册表项的备份。)
　　9. 按键盘上的“Delete”键删除该注册表项。 当系统提示您通过“确认项删除”对话框删除注册表项时，单击“是”。

　　安全提示
　　为防范网页被挂马，建议网站管理员执行以下操作：
　　1. 检查自己网页的代码，对用户输入数据进行严格检查；
　　2. 如果使用开源代码搭建的网站，请随时关注开源代码版本和补丁的更新;
　　3. 及时升级网站服务器的补丁程序(操作系统补丁和服务程序补丁);
　　4. 为网站服务器安装有效的杀毒软件，并保证专机专用，减少病毒感染途径；
　　5. 为网站的数据库用户设置较小的权限(最少权限原则)；
　　6. 虚拟网站请严格设置各网站用户的权限，避免一个网站出问题影响到所有网站。

　　(作者单位为CERNET国家网络中心应急响应组)

　　来源：《中国教育网络》2009年7月刊