故事

网络安全漏洞0月末周网络安全报告利用程序

2019-05-15 00:24:45来源:励志吧0次阅读

1 : 10月末周络安全报告:利用程序漏洞占比93.1%

月入百万 2018互联创业项目加盟

IDC评述()11月10导:根据CNCERT抽样监测结果和国家信息安全漏洞同享平台(CNVD)发布的数据得知,在10月末周(2014⑴0⑵7至2014⑴)期间,我国互联络安全指数整体评价为中。

下面,IDC评述将与大家1起关注在10月27日至11月02日期间,我国互联络安全状态:

(图1)10月末周络安全基本态势图

通过图1,IDC评述了解到,在10月末周,我国互联络安全指数整体评价为中。仔细看图中数据,可知境内感染病毒的主机数量为46.6万,较上月降落了4.3%;境内被篡改站总数高达8251个,环比上周,上升了113.1%,涨幅明显,其中政府站数量有273个;

接下来,请看境内被植入后门站的数据:总数为533个,环比降落了7.3%,而其中的政府站数量更是降落了51.7%;针对境内站的仿冒页面数量有2649个,相比上周,增加了60.4%。

另外,新增信息安全漏洞数量有347个,环比上周,降落了13.7%。其中,高危漏洞数量环比减少了52.8%,25个。

1、 络病毒活动情况

(图2)络病毒活动情况图

如图2所示,可知本周境内感染络病毒的主机数量约为46.6万个,与上周相比,减少约2.1万个。其中被木马或僵尸程序控制的主机约17.8万,环比降落7.7%;而感染飞客(conficker)蠕虫的主机约28.8万,降幅2.0%。

(图3)络病毒活动情况图

根据图3,IDC评述得知,本周新增络病毒名称有21个,环比增加了31.3%;新增络病毒家族为4个,环比增加3个。

(图4)放马站点域名注册所属境内外散布

视察图4,可知本周放马站点域名注册所属地的散布情况是:境外占比减少至81.3%,环比降落了4.2%;境内占比升至17.7%;另外域名属地未知的占比升至1.0%。

(图5)514个放马站点所属域名

由图5可知,在514个放马站点所属域名中,所占份额位列前4的域名是.COM、.NET、.CN、.US。其中,.COM份额,为90.0%,环比有所减小。另外,.NET再次与他人并列第2,只不过对象由.US换成了.CN,二者占比均上升至3.1%。

2、 站安全情况

(图6)我国境内被篡改站按类型散布

如图6所示,在站安全方面,我国境内容易被篡改的站类型是.COM,其份额高达74.4%,环比上周增加了0.4%。其次是.NET,份额为6,6%。接下来顺次是.GOV、.ORG、.BIZ等等。

(图7)我国境内被植入后门的站按类型散布

根据图7数据,IDC评述注意到,在我国境内被植入后门站的类型中,.COM的比重,为58.2%,环比上周,增加0.8%。另外,.NET与.EDU的占比分列2、3名,顺次为8.3%、4.5%。

3、重要漏洞情况

(图8)信息安全漏洞情况图

视察图8数据,可知新增的信息安全漏洞中,有301个中危漏洞,约占总数87%,环比上降落了9.1%,高危漏洞有25个,环比降落了52.8%;而低危级别的漏洞在本周中份额上升了16.7%,数量为21个。

(图9)本周收录漏洞按影响对象类型散布

通过图9,IDC评述得悉,本周收录漏洞按影响对象类型排名前3的顺次是利用程序漏洞、WEB利用漏洞、操作系统漏洞。其中,利用程序漏洞的占比升至93.1%,环比增加了21.5%。而WEB利用漏洞、操作系统漏洞的占比均为2.6%,因此并列第2。

综上,在10月末周期间,我国互联络安全指数整体评价为中。未发现危害较为严重的络安全事件。但用户需特别注意的是,需及时加强系统漏洞的修补加固,安装安全防护软件。在上期间,不要轻易打开络上来源不明的图片、音乐、视频等文件,不要下载和安装1些来历不明的软件,特别是1些所谓的外挂程序,以防受络病毒感染。

2 : 络安全漏洞整改方案

发表于:2012年06月04日17:570

注意:以下所有操作須确认后再实行:

1. OpenSSH 相干漏洞

解决方案

升级OpenSSH为版本,目前为5.9,首先到官(#http)下载:openssh⑸.

把OpenSSH 上传到服务器,首先检查升级前版本(以下所有操作均在root下完成):

shell ssh -V # 此命令会显示OpenSSL、OpenSSH的詳細版本号

首先安装OpenSSH:

shell tar xvf openssh⑸.

shell cd openssh⑸.9p1

shell sed -i -e ‘s/_5.9//’ version.h

查询信赖包是否是安装:

shell rpm -qa | grep zlib #如果能看到zlib、zlib-devel,请继续,否则安装后再继续。

shell ./configure –sysconfdir=/etc/ssh

shell make make install

开始配置:

shell /bin/cp /usr/local/sbin/sshd /etc/init.d/sshd

shell mkdir /root/ssh_bak #创建备份目录

shell mv /etc/ssh/* /root/ssh_bak/ #移动到备份目录

shell /bin/cp /usr/local/etc/* /etc/ssh/

shell sed -e ‘s@/usr/bin/ssh-keygen.*@#@’ /etc/init.d/sshd

shell /etc/init.d/sshd restart

shell ssh -V 检查是否是是 OpenSSHp1 开头,如果是,则OpenSSH升级成功。

2.远端WEB服务器上存在/t文件

解决方案:

解决方案: 可直接删除(可参考:)

MP timestamp要求响应漏洞 解决方案:

shell echo “1″ /proc/sys/net/ipv4/icmp_echo_ignore_all

shell echo “echo “1″ /proc/sys/net/ipv4/icmp_echo_ignore_all” /etc/cal

Windows Server 2008 参考:

Windows Server 2003参考:

4. Apache Tomcat 相干漏洞 解决方案:

根据安全厂商给的解决方案链接: 从此页面可得知,有问题的Tomcat版本以下:

= 5.5.34, = 6.0.34, = 7.0.22,而无安全漏洞的 Tomcat版本以下: 5.5.35, = 6.0.35, = 7.0.23

访问: 下载对应的Tomcat版本,例如经分在使用 Tomcat 5.5.34,下载对应的Tomcat 5.5.35;

如在使用Tomcat 6.0.34,下载对应的 Tomcat 6.0.35,依此类推。

4.1 Apache Tomcat sendfile要求安全限制绕过和谢绝服务漏洞:此漏洞也是通过上面的版本升级方式解决。具体请参考官方解释:

#Fixed_in_Apache_Tomcat_5.5.35 和

MP服务存在可读口令 解决方案:

可依照漏洞扫描結果中的进程操作,如问困难,可向系统组同事请教。

6. rpc相干漏洞 解决方案:

(和项目组确认没有使用NFS后再操作)

shell /etc/init.d/portmap stop chkconfig portmap off

shell /etc/init.d/rpcidmapd stop chkconfig rpcidmapd off

shell /etc/init.d/nfslock stop chkconfig nfslock off

7.利用SMTP/EXPN命令可猜想目标主机上的用户名 解决方案(待确认):

acle数据库服务器CREATE ANY DIRECTORY权限提升漏洞 暂时没有解决方案。

9. SNMP服务可以通过SNMPV1访问 解决方案(待确认)

10. Apache HTTP Server相干漏洞 解决方案:

通过下载使用Apache HTTP Server 2.2.22或以上可解决,详情参考:

此页面显示了2.2.22或以上这个版本修复了哪些安全漏洞。官方下载地址:

10.1 Apache Apache::Status和Apache2::Status模块跨站脚本漏洞

10.2 Apache服务器不完全HTTP要求谢绝服务漏洞[精确扫描]:

更改nf中 TimeOut 的值为30秒

11.远端WWW服务支持TRACE要求 解决方案 请参考第10点。

acle tnslsnr没有设置口令 解决方案:

扫描报告已明确写出详细步骤,或DBA自己完成。

13. 料想出远程FTP服务存在可登录的用户名口令 解决方案:

确认账号的密码复杂性,例如检查是否是存在123456 类似这样的密码,如有简单密码,确认后再修改。

14.目标主机showmount -e信息泄漏 解决方案:

确认是否是有NFS服务在运行,如在运行确认是不是关闭,如因有业务影响请在整改报告中明确写出缘由(但绝不能外访问NFS)。

15.检测到远端rlogin服务正在运行中 解决方案:

如果是AIX系统,请在整改报告中明确写出缘由(但绝不能外登录)。

16.远端运行着IDENT服务 解决方案:

漏洞扫描报告中已有详细的操作步骤。

17.检测到远端rsh服务正在运行中 解决方案:

如果是AIX系统,请在整改报告中明确写出缘由(但绝不能外登录)。

18.检测到远端rexec服务正在运行中 解决方案:

漏洞扫描报告中已有详细的操作步骤。

19.存在1个可用的远程代理服务器 解决方案待确认。

20.远程web主机存在目录遍历漏洞 解决方案待确认。

21. 远程主机允许匿名FTP登录 解决方案:

修改配置文件,不准出现匿名登录,由于FTP的类型较多,具体的操作步骤可咨询系统组同事。

P服务器版本信息可被获得 无需整改(因要修改源码重新编译)。

23.远端SSH Server允许使用低版本SSH协议 解决方案:

参考漏洞扫描报告中的操作步骤,或参考第1点直接升级OpenSSH版本(强烈建议)。

24.检测到远端XDMCP服务正在运行中 解决方案:

关闭XDMCP服务

25. PHP相干漏洞 解决方案:

根据 可得知,受影响版本是:

PHP 5.2 = 5.2.13

PHP 5.3 = 5.3.2

目前的办法是升级PHP版本。官方稳定是:PHP 5.3.10。 而5.2.X 版本是:PHP 5.2.173 : 络装备漏洞利用与安全加固

本文分为两大部分,第1部份通过实例演示了络设备漏洞的利用;第2部分讲述了络装备的安全加固技术,并结合实例对安全加固中需要关注的方面进行了介绍。络装备漏洞利用实例[]

路由器是络的出口,所有进出络的流量都要经过路由器。1旦路由器被攻击者完全控制,那末攻击者就能够控制全部络。下面我们就以TP-Link和D-Link这两款主流的SOHO级路由器为例来演示下,如何利用漏洞成功控制目标路由器。

通过漏洞完全控制TP-Link路由器

漏洞名称:TP-Link无线路由器后门漏洞

影响版本:

TP-LINK TL-WDR4300 v1

TP-LINK TL-WR743ND v2.0

TP-LINK TL-WR743ND v1.2

TP-LINK TL-WR941N

TP-LINK TL-WR2041

TP-LINK TL-WDR4310

TP-LINK TL-WDR4320

TP-LINK TL-WR743N

漏洞成因:TP-Link无线路由器某些版本存在1个调试用的后门,利用这个后门,黑客可实行任意系统命令。

测试进程:

检测是不是存在漏洞

访问,如果目标路由器存在linux_ml这个页面,说明漏洞存在,反之则不存在。

图1

履行命令

在上面返回的页面中输入以下账号(osteam)和密码(5up),在指令处输入要实行的命令,然后点击发送便可履行。

图2

图3

通过漏洞完全控制D-Link路由器

漏洞名称:D-Link无线路由器远程命令履行漏洞

影响版本:D-Link DIR⑶00 v2.12和2.13、D-Link DIR⑹00 v2.12b02,2.13b01,2.14b01等

漏洞危害:利用漏洞攻击者可远程履行任意系统命令,导致路由器被攻击者完全控制。

漏洞成因:由于设备未限制对p的访问,致使攻击者可构造特定的HTTP要求,从而履行任意系统命令。

手工测试进程:

检测目标路由器是不是存在p页面

首先,检测目标路由器是否是存在p页面,如果返回200,说明存在漏洞,反之则不存在该漏洞。

图4

构造HTTP要求,实行命令

构造POST要求,然后利用发包工具发送给目标路由器,监听返回数据包。以下图5是1个获得目标路由器Web管理账号、密码的例子:

图5

现在我们已成功取得到了目标路由器的Web管理员账号和密码,那么现在我们就能够登录设备的Web管理界面查看、修改装备的配置了。

图6

利用工具测试漏洞进程:

通过上面的进程我们发现手工测试漏洞比较繁琐,效力也比较低,下面我们使用工具来将漏洞进程自动化。

检测漏洞

图7

实行命令

图8

图9

络装备安全加固实例

从技术角度来讲,络装备的安全加固主要需要从以下几个大的方面着手:

装备本身的安全性,包括设备系统版本是不是存在漏洞和硬件是不是存在后门等

账号口令设置及用户权限分配,如账号的口令是不是满足复杂性要求,是否是存在弱口令, 用户权限分配是不是合适,原则是只为相应的用户分配必要的权限

装备配置是否是得当,包括管理配置和策略配置

不同的络装备在做安全加固时都可以参考以上3个方面的内容,并结合设备本身的特性来具体实行安全加固操作。

安全加固实例

下面我们通过1个瑞星防毒墙的安全加固实例来进行说明,瑞星防毒墙的安全加固主要关注以下几个方面:

及时升级设备系统版本及病毒特点库、URL特点库

图10

图11

账号口令设置及用户权限分配

修改默许管理员账号和密码;根据自己的实际需求,建立相应的用户账号,并为之只分配必要的权限,然后设置1个复杂的密码,并定期修改;修改默许的登录参数,以提高安全性。

图12

装备的访问控制

使用专用的管理口对装备进行管理,并配置只允许特定IP有访问装备管理IP的权限,尽可能不要向外开放设备的访问权限。

图13

装备共提供5种管理方式,分别为“串口”、“HTTP”、“HTTPS”、“SSH”、“Telnet”,建议不要使用“HTTP”和“Telnet”方式对装备进行管理,由于这两种方式在传输用户名和密码时都是明文,很容易被恶意用户嗅探到,,要修改默许的管理端口。

图14

图15

将装备的日志发送到SysLog服务器

设备重启后,有些设备日志会被清空。为了更好地保存日志,建议将日志发送到专门的SysLog服务器保存。这样在出现问题或产生安全事件后,都方便通过日志来分析缘由。

痛经特别严重怎缓解
经间期出血吃什么好
排卵期出血经量少吃什么药
分享到: