教育网网站挂马监测分析续

网站挂马是黑客们比较新的攻击网站的手段，随着全球网站的数量增多，黑客下手的机会越来越多，教育网也不会例外，下面就让我们看一下对于教育网网站挂马监测分析。

1. 网页木马宿主站点分析

根据网站挂马监测平台的网页木马精确定位和挂马链提取功能，我们网页木马宿主站点进行了追溯。在平台对666个挂马网站的累计10,859次检出结果中，这些挂马网站最终装载了位于1,773个恶意宿主上的网页木马URL，传播网站数量最多的网页木马宿主站点如表1，最多的宿主站点www.jjeffyfc19.info上的网页木马链接在46个教育网网站中植入传播。

表2显示了影响挂马网站数量最多的网页木马宿主站点根域名，以及在这些根域名上所发现的网页木马宿主站点数量，从中可以看出大量网页木马宿主站点利用免费域名服务申请的动态域名进行DNS解析。另外，发现了29个gov.cn为根域名的站点被作为网马宿主站点，从一方面说明了政府类网站的安全情况也不容乐观，这和监测系统针对政府网站的监测结果也比较吻合。

2. 典型案例分析-“精品课程”网站挂马分析

精品课程建设工作由教育部在2003年启动，面向全国高等学校(包括高职高专院校)实施，致力于高校的教学质量与教学改革工程，详见：国家精品课程资源网(http://www.jingpinke.com/)和全国高等学校教学精品课程建设工作(http://www.jpkcnet.com/)。

北京大学网站挂马监测系统从2010年初开始，陆续发现了包括中国矿业大学精品课程网站、同济大学精品课程、华中科技大学精品课程等50多个精品课程网站被挂马(表3)，挂马网页多达3400多条。被挂马的网页大多是在页面的顶端或末尾附上一系列的隐藏iframe，包含十六进制的网址，通常使用SQL注入是的挂马方式，其中的一个或多个网址将会链接到最终的攻击页面，利用的大多为当时的流行漏洞如极风等进行攻击。

我们对这种非常特殊的大范围的高度相似的异常情况经过分析发现：在各高校按规定建设精品课程网站后，社会上出现了一些公司，如天空教室、谷秋、中微网络、九维等，针对各高校的精品课程网站建设、申报等需求，开发了相应的产品。这些产品依照教育部的精品课程申报评审系统进行量身订制，使得用户能够轻松的制作申报网站和课程网站。

其中，天空教室(http://www.skyclass.cn/index.htm)是各高校精品网站建设中最普及的工具，它从2003年第一届国家精品课程评选工作开始参与，并在之后不断推陈出新，拥有最广泛的用户群。但 “天空教室”工具的一些版本，因存在ASP变量过滤不严格的问题，因此能轻易地被黑客入侵，采用SQL注入方式在网站中嵌入非法内容。

因此导致众多高校的精品课程网站被大范围挂马。也提醒我们对网站使用第三工具需要加强安全测试，网站工具的开发者需要投入更多的资源，关注到软件本身的安全问题中。

3. 网页木马利用的安全漏洞

网站挂马监测平台对发现的被挂马网站，使用网马场景自动保全技术保全网马原始的攻击场景，利用该场景数据可以进一步对网页木马进行深入分析，根据对固化保全的网页木马攻击场景进行人工辅助分析的结果，我们总结了2010年下半年检出网页木马所主要利用的安全漏洞和攻击方式：网马利用最为流行和普遍的漏洞莫属IE浏览器中爆出的MS10-018(国内又称”极风”)和MS10-002(”极光”)；另外Adobe公司的Flash和PDF由于应用面广泛、支持内嵌ActionScript和JavaScript等脚本语言，也已经成为网马攻击的常用途径。

4. 总结

北京大学网络与信息安全实验室、中国教育和科研网紧急响应组(CCERT)、中国教育网体检中心合作，通过中国教育网体检中心(www.nhcc.edu.cn)为教育网3.5万多个网站提供监测范围，通过一年多监测分析，共检出来自490多个顶级域名的1,853个网站被挂马，网站挂马率达到5.26%，这说明教育网网站的安全状况仍不容乐观。

网站挂马的分析就结束了，希望高校网络安全管理部门和人员能够充分重视，对相关网站进行全面检测和安全加固，积极预防，尽量避免网站挂马等安全事件的发生。

【编辑推荐】