網(wǎng)站掛馬是黑客們比較新的攻擊網(wǎng)站的手段，隨著全球網(wǎng)站的數(shù)量增多，黑客下手的機(jī)會越來越多，教育網(wǎng)也不會例外，下面就讓我們看一下對于教育網(wǎng)網(wǎng)站掛馬監(jiān)測分析。

1. 網(wǎng)頁木馬宿主站點(diǎn)分析

根據(jù)網(wǎng)站掛馬監(jiān)測平臺的網(wǎng)頁木馬精確定位和掛馬鏈提取功能，我們網(wǎng)頁木馬宿主站點(diǎn)進(jìn)行了追溯。在平臺對666個(gè)掛馬網(wǎng)站的累計(jì)10,859次檢出結(jié)果中，這些掛馬網(wǎng)站最終裝載了位于1,773個(gè)惡意宿主上的網(wǎng)頁木馬URL，傳播網(wǎng)站數(shù)量最多的網(wǎng)頁木馬宿主站點(diǎn)如表1，最多的宿主站點(diǎn)www.jjeffyfc19.info上的網(wǎng)頁木馬鏈接在46個(gè)教育網(wǎng)網(wǎng)站中植入傳播。

表2顯示了影響掛馬網(wǎng)站數(shù)量最多的網(wǎng)頁木馬宿主站點(diǎn)根域名，以及在這些根域名上所發(fā)現(xiàn)的網(wǎng)頁木馬宿主站點(diǎn)數(shù)量，從中可以看出大量網(wǎng)頁木馬宿主站點(diǎn)利用免費(fèi)域名服務(wù)申請的動態(tài)域名進(jìn)行DNS解析。另外，發(fā)現(xiàn)了29個(gè)gov.cn為根域名的站點(diǎn)被作為網(wǎng)馬宿主站點(diǎn)，從一方面說明了政府類網(wǎng)站的安全情況也不容樂觀，這和監(jiān)測系統(tǒng)針對政府網(wǎng)站的監(jiān)測結(jié)果也比較吻合。

2. 典型案例分析-“精品課程”網(wǎng)站掛馬分析

精品課程建設(shè)工作由教育部在2003年啟動，面向全國高等學(xué)校(包括高職高專院校)實(shí)施，致力于高校的教學(xué)質(zhì)量與教學(xué)改革工程，詳見：國家精品課程資源網(wǎng)(http://www.jingpinke.com/)和全國高等學(xué)校教學(xué)精品課程建設(shè)工作(http://www.jpkcnet.com/)。

北京大學(xué)網(wǎng)站掛馬監(jiān)測系統(tǒng)從2010年初開始，陸續(xù)發(fā)現(xiàn)了包括中國礦業(yè)大學(xué)精品課程網(wǎng)站、同濟(jì)大學(xué)精品課程、華中科技大學(xué)精品課程等50多個(gè)精品課程網(wǎng)站被掛馬(表3)，掛馬網(wǎng)頁多達(dá)3400多條。被掛馬的網(wǎng)頁大多是在頁面的頂端或末尾附上一系列的隱藏iframe，包含十六進(jìn)制的網(wǎng)址，通常使用SQL注入是的掛馬方式，其中的一個(gè)或多個(gè)網(wǎng)址將會鏈接到最終的攻擊頁面，利用的大多為當(dāng)時(shí)的流行漏洞如極風(fēng)等進(jìn)行攻擊。

我們對這種非常特殊的大范圍的高度相似的異常情況經(jīng)過分析發(fā)現(xiàn)：在各高校按規(guī)定建設(shè)精品課程網(wǎng)站后，社會上出現(xiàn)了一些公司，如天空教室、谷秋、中微網(wǎng)絡(luò)、九維等，針對各高校的精品課程網(wǎng)站建設(shè)、申報(bào)等需求，開發(fā)了相應(yīng)的產(chǎn)品。這些產(chǎn)品依照教育部的精品課程申報(bào)評審系統(tǒng)進(jìn)行量身訂制，使得用戶能夠輕松的制作申報(bào)網(wǎng)站和課程網(wǎng)站。

其中，天空教室(http://www.skyclass.cn/index.htm)是各高校精品網(wǎng)站建設(shè)中最普及的工具，它從2003年第一屆國家精品課程評選工作開始參與，并在之后不斷推陳出新，擁有最廣泛的用戶群。但 “天空教室”工具的一些版本，因存在ASP變量過濾不嚴(yán)格的問題，因此能輕易地被黑客入侵，采用SQL注入方式在網(wǎng)站中嵌入非法內(nèi)容。

因此導(dǎo)致眾多高校的精品課程網(wǎng)站被大范圍掛馬。也提醒我們對網(wǎng)站使用第三工具需要加強(qiáng)安全測試，網(wǎng)站工具的開發(fā)者需要投入更多的資源，關(guān)注到軟件本身的安全問題中。

3. 網(wǎng)頁木馬利用的安全漏洞

網(wǎng)站掛馬監(jiān)測平臺對發(fā)現(xiàn)的被掛馬網(wǎng)站，使用網(wǎng)馬場景自動保全技術(shù)保全網(wǎng)馬原始的攻擊場景，利用該場景數(shù)據(jù)可以進(jìn)一步對網(wǎng)頁木馬進(jìn)行深入分析，根據(jù)對固化保全的網(wǎng)頁木馬攻擊場景進(jìn)行人工輔助分析的結(jié)果，我們總結(jié)了2010年下半年檢出網(wǎng)頁木馬所主要利用的安全漏洞和攻擊方式：網(wǎng)馬利用最為流行和普遍的漏洞莫屬IE瀏覽器中爆出的MS10-018(國內(nèi)又稱”極風(fēng)”)和MS10-002(”極光”)；另外Adobe公司的Flash和PDF由于應(yīng)用面廣泛、支持內(nèi)嵌ActionScript和JavaScript等腳本語言，也已經(jīng)成為網(wǎng)馬攻擊的常用途徑。

4. 總結(jié)

北京大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室、中國教育和科研網(wǎng)緊急響應(yīng)組(CCERT)、中國教育網(wǎng)體檢中心合作，通過中國教育網(wǎng)體檢中心(www.nhcc.edu.cn)為教育網(wǎng)3.5萬多個(gè)網(wǎng)站提供監(jiān)測范圍，通過一年多監(jiān)測分析，共檢出來自490多個(gè)頂級域名的1,853個(gè)網(wǎng)站被掛馬，網(wǎng)站掛馬率達(dá)到5.26%，這說明教育網(wǎng)網(wǎng)站的安全狀況仍不容樂觀。

網(wǎng)站掛馬的分析就結(jié)束了，希望高校網(wǎng)絡(luò)安全管理部門和人員能夠充分重視，對相關(guān)網(wǎng)站進(jìn)行全面檢測和安全加固，積極預(yù)防，盡量避免網(wǎng)站掛馬等安全事件的發(fā)生。

【編輯推薦】

1. 教育網(wǎng)網(wǎng)站掛馬監(jiān)測分析
2. 黑客演示網(wǎng)站掛馬攻擊案例
3. 網(wǎng)站掛馬新動向——瘋狂的廣告馬
4. 網(wǎng)站掛馬來襲 聯(lián)想網(wǎng)御提供主動防御