精品课程建设工作由教育部在2003年启动，面向全国高等学校(包括高职高专院校)实施，致力于高校的教学质量与教学改革工程，详见：国家精品课程资源网(http://www.jingpinke.com/)和全国高等学校教学精品课程建设工作(http://www.jpkcnet.com/)。

　　北京大学网站挂马监测系统从2010年初开始，陆续发现了包括中国矿业大学精品课程网站、同济大学精品课程、华中科技大学精品课程等50多个精品课程网站被挂马(表3)，挂马网页多达3400多条。被挂马的网页大多是在页面的顶端或末尾附上一系列的隐藏iframe，包含十六进制的网址，通常使用SQL注入是的挂马方式，其中的一个或多个网址将会链接到最终的攻击页面，利用的大多为当时的流行漏洞如极风等进行攻击。

　　我们对这种非常特殊的大范围的高度相似的异常情况经过分析发现：在各高校按规定建设精品课程网站后，社会上出现了一些公司，如天空教室、谷秋、中微网络、九维等，针对各高校的精品课程网站建设、申报等需求，开发了相应的产品。这些产品依照教育部的精品课程申报评审系统进行量身订制，使得用户能够轻松的制作申报网站和课程网站。其中，天空教室(http://www.skyclass.cn/index.htm)是各高校精品网站建设中最普及的工具，它从2003年第一届国家精品课程评选工作开始参与，并在之后不断推陈出新，拥有最广泛的用户群。但 “天空教室”工具的一些版本，因存在ASP变量过滤不严格的问题，因此能轻易地被黑客入侵，采用SQL注入方式在网站中嵌入非法内容。因此导致众多高校的精品课程网站被大范围挂马。也提醒我们对网站使用第三工具需要加强安全测试，网站工具的开发者需要投入更多的资源，关注到软件本身的安全问题中。

表3   北京大学网站挂马监测系统曾检测到的“精品课程”类挂马网站

　　4. 网页木马利用的安全漏洞

　　网站挂马监测平台对发现的被挂马网站，使用网马场景自动保全技术保全网马原始的攻击场景，利用该场景数据可以进一步对网页木马进行深入分析，根据对固化保全的网页木马攻击场景进行人工辅助分析的结果，我们总结了2010年下半年检出网页木马所主要利用的安全漏洞和攻击方式：网马利用最为流行和普遍的漏洞莫属IE浏览器中爆出的MS10-018(国内又称”极风”)和MS10-002(”极光”)；另外Adobe公司的Flash和PDF由于应用面广泛、支持内嵌ActionScript和JavaScript等脚本语言，也已经成为网马攻击的常用途径。

　　5. 总结

　　北京大学网络与信息安全实验室、中国教育和科研网紧急响应组(CCERT)、中国教育网体检中心合作，通过中国教育网体检中心(www.nhcc.edu.cn)为教育网3.5万多个网站提供监测范围，通过一年多监测分析，共检出来自490多个顶级域名的1,853个网站被挂马，网站挂马率达到5.26%，这说明教育网网站的安全状况仍不容乐观。希望高校网络安全管理部门和人员能够充分重视，对相关网站进行全面检测和安全加固，积极预防，尽量避免网站挂马等安全事件的发生。

　　详细报告下载：2010年下半年教育网网站挂马监测报告