2009年8-9月CERNET安全投诉事件统计

　　9月教育网网络运行正常，无重大安全事件发生。通过我们对教育网内挂马网站的监测发现，院校二级网站的安全状况依然不容乐观，被挂马的二级网站仍然大量存在。目前网页挂马攻击已由原先的手动攻击转变为使用程序进行自动化攻击，这就使得一些访问量不大的院校二级网站也被大量挂马。学校的管理部门应该加大对学校二级网站的监管力度，如果可能建议进行统一管理。

　　随着学校的陆续开学，各类安全事件的投诉数量有所增多。

　　易于感染木马下载器病毒

　　9月没有新增影响特别严重的病毒，近期用户易于感染的依然是木马下载器病毒。这类病毒多数通过网页挂马进行传播。用户一旦感染后，木马下载器就会破坏系统中的安全防范措施(如关闭防火墙，破坏杀毒软件等)，并下载大量的盗号木马到用户系统上运行。因此系统一旦感染这类木马病毒后，清除与恢复将变得非常的困难，很多时候只能重装系统。所以对于这类病毒，用户还是应该以防范为主：及时安装各种补丁程序(尤其是第三方软件的补丁)，并安装有效的防病毒软件。

　　关注近期新增两大严重漏洞
　　9月我们首要关注的是微软9月份安全公告中涉及的漏洞， 此次微软发布了5个安全公告，这些公告中所涉及的漏洞均为严重级别，建议用户及时安装相应的补丁。关于微软安全公告相关的详细信息请参见：http://www.ccert.edu.cn/announce/show.php?handle=148。除了微软安全公告中涉及的漏洞外，我们还需关注以下这些漏洞，它们是：

　　微软IIS FTPd服务NLST命令远程栈溢出漏洞(0day)——威胁开放IIS FTP功能的服务器
　　影响系统：
　　Microsoft IIS 6.0
　　Microsoft IIS 5.1
　　Microsoft IIS 5.0

　　漏洞信息：
　　微软IIS内嵌的FTP服务器中存在栈溢出漏洞。如果远程攻击者对带有特制名称的目录发布了包含有通配符的FTP NLST(NAME LIST)命令的话，就可以触发这个溢出，导致执行任意代码。仅在攻击者拥有写访问权限的情况下才可以创建带有特殊名称的目录。这个漏洞同时可以用来进行拒绝服务攻击。

　　漏洞危害：
　　这个漏洞利用需要攻击者拥有服务器上合法的上传账号，并且服务器使用了IIS自带的FTP服务提供上传功能。因此此漏洞只对那些开放IIS FTP功能的服务器有威胁。

　　解决办法：
　　目前厂商还未针对该漏洞发布相应的补丁程序，建议用户随时关注厂商的主页。
　　http://www.microsoft.com/technet/security/
　　在没有补丁的情况下，您可以使用以下临时方法来减轻风险：
　　1. 关闭IIS中的ftp功能，使用其他FTP服务程序替代。
　　2. 不需要提供FTP服务的IIS服务器，使用防火墙阻挡TCP 21端口的连接。

　　Microsoft IIS 5.x/6.0解析文件名漏洞(0DAY)——注意网页上传代码编写规范
　　影响系统：
　　IIS 5.0
　　IIS 6.0

　　漏洞信息：
　　IIS在处理特殊字符的时候存在一个漏洞，在解析文件名中包含分号的特殊构造的JPG文件(如 [zzz].asp;[zzz].jpg)时可能将这个程序当作ASP程序来执行，这就导致一些非法的用户可能绕过系统的安全限制上传ASP木马程序到系统上执行。

　　漏洞危害：
　　漏洞能否成功利用取决于网页上传代码的编写规范与否，如果程序员在编写上传页面时有效地过滤了用户输入的特殊字符的话，这个漏洞就有一定的利用难度。而对于那些提供附件上传功能，又没有有效过滤非法字符的服务器危险非常大。目前该漏洞正在网络上被积极利用。

　　解决办法：
　　厂商目前还未对该漏洞进行修补，建议用户随时关注厂商的主页：
　　http://www.microsoft.com/technet/security/
　　在没有补丁的情况下，您可以采用以下临时解决办法：
　　1. 关闭上传目录的脚本执行权限。
　　2. 在代码中有效地过滤用户的输入，防止用户上传包含分号的文件。

　　安全提示：
　　针对近期的安全漏洞，建议网站管理人员做以下操作：
　　1. 及时更新服务器系统到最新（如2003或2008）；
　　2. 更新IIS服务到系统支持的最高版本；
　　3. 如果不是特别需要，不要开放网站的FTP上传功能；
　　4. 必须开放FTP功能的，使用最新的版本的第三方FTP服务器程序；
　　5. 如果网页中有上传附件功能，需要严格对上传的格式进行限制，并有效地过滤用户输入的文件名信息；
　　6. 对于上传文件存放目录和脚本执行目录进行严格区分，所有上传文件存放目录应该取消脚本执行权限。

　　来源：《中国教育网咯》2009年10月刊