奇安信 2017中国网站安全形势分析报告

2017中国网站安全形势分析报告奇安信威胁情报中心 2018年1月23日主要观点网站漏洞问题依旧严峻，教育和政府行业最值得关注本次报告从漏洞自动检测和人工挖掘角度对国内教育、政府等十余类典型行业的网站进行了安全性对比研究。从漏洞数量来看。云监测平台扫描检测的网站中，教育培训、政府机构和事业单位是存在漏洞最多的三个行业。在补天平台中，政府机构及事业单位、教育培训和互联网是人工收录漏洞数最多的三个行业。从漏洞修复情况来看。通信运营商、金融和教育培训类网站是漏洞修复率最高的三个行业。96.9%的通信运营商网站漏洞都进行了修复， 90.6%的金融行业的网站漏洞进行了修复， 83.3%的教育培训网站进行了修复。僵尸网络继续瞄准物联网在2016年mirai僵尸网络攻击造成美国东海岸大面积断网事件之后， 2017年以来，又有三个著名的僵尸网络出现 http81、IoT_reaper 和Satori。其中， http81和IoT_reaper 都是针对IoT设备的僵尸网络。仅 http81在国内感染的摄像头设备就超过 5万台，而 Satori则以 12 小时 26万台的速度感染某品牌家用路由器，成为史上传播速度最快的僵尸网络。挖矿木马成为网站最大现实威胁 2017挖矿木马疯狂的敛财暗流。挖矿木马是 2017年非常流行的一种针对网络服务器进行攻击的木马程序，此类木马程序通过自动化的批量攻击感染存在漏洞的网络服务器，并控制服务器的系统资源，用于计算和挖掘特定的虚拟货币。由于挖矿木马长期占用 CPU率达 100%，因此，服务器感染挖矿木马后，最明显的现象是服务器响应非常缓慢，出现各种运行异常。如果挖矿木马攻击的是整个云服务平台，则平台上所有网站和服务系统都会受到严重影响。另外，2018年1月8日，我们第一次见到 Satori.Coin.Robber 僵尸网络利用“肉鸡”扫描正在挖矿的设备，并通过篡改其挖矿设备的算力和代币，致使其挖掘的虚拟货币流向自己的口袋。反人工检测技术大范围流行 2017年网络黑产大范围使用反人工检测技术，对网站进行黑词黑链篡改，攻击者在向网页中植入黑词黑链的同时，还会在页面中加入一段识别程序，该程序可以识别出访问请求是来在搜索引擎爬虫还是来自个人用户，如果访问请求来自搜索引擎爬虫，则进入带有黑词黑链等非法信息的页面；如果访问来自个人用户，则显示未经窜改的原始页面，对于未采用防篡改保护技术及缺乏相关经验的技术人员，这种攻击很难被发现，从而使带有非法信息的页面可以在网站中潜伏更长的时间。 WebLogic反序列化漏洞攻击可能在2018年大爆发 2017年12月末，国外安全研究者 K.Ora nge在Twitter上爆出有黑产团体利用 Weblogic 反序列化漏洞（ CVE-2017 -3248）对全球服务器发起大规模攻击，大量企业服务器已失陷且被安装上了 watch -smartd挖矿程序；但此类攻击在国内还很少见到。不过，2018年1月11 日，奇安信安服团队在应急响应过程中，发现某门户网站遭到了Weblogic最新反序列漏洞攻击。由于国内外对此漏洞的重视程度明显不足，有可能导致基于该漏洞的网络攻击在2018 年大规模爆发。弱密码问题依然是网站安全最大隐患依然普遍存在奇安信安服团队参与处理的网站安全应急响应事件中， 60%以上都与弱密码有关。包括 2017年大规模流行的挖矿木马，其成功攻击的主要原因也是由于网站管理员使用弱密码。本报告也总结了大量相关攻击实例，可供读者参考。摘要网站漏洞检测分析  2017年1-10月，奇安信网站安全检测平台共扫描检测网站 104.7万个，其中，扫出存在漏洞的网站 69.1万个（全年去重），共扫描出 1674 .1万次漏洞。扫出存在高危漏洞的网站 34.5万个，占扫描网站总数的 32.9%，共扫描出247.0万次高危漏洞。  从域名类型统计来看，全球通用域名中 .com域名最多，占比为 64.2%；其次是 .cn （23.0%）、 .net（5.9%）；作为本土化域名， .gov占比为 3.6%，.edu占比为 1.6%。  从网站检测出漏洞的危险等级来看， 2017年高危漏洞数量占比为11.5%，中危漏洞占比为5.0%，低危漏洞占比为 83.5%。  奇安信网站安全检测平台全年共扫描发现网站高危漏洞 247.0万次，较 2016年480.8万次降低了48.7%，平均每天扫出高危漏洞约 8097次。  根据奇安信网站安全检测平台扫描出高危漏洞的情况，跨站脚本攻击漏洞的扫出次数和漏洞网站数都是最多的，稳居排行榜榜首。其次是 SQL注入漏洞、SQL注入漏洞（盲注）、 PHP错误信息泄露等漏洞类型。下表给出了2017年1-10月份高危漏洞 TOP10。  应用程序错误信息（ 287.7万次）、发现敏感名称的目录漏洞（ 184.1万次）和异常页面导致服务器路径泄露（122.7万次）这三类安全漏洞是占比最高的网站安全漏洞，三者之和超过其他所有漏洞检出次数的总和。  2017年全年，奇安信云监测平台共对7.94万个网站进行扫描检测，扫出存在漏洞的网站6.35万个，占比为80.0%，共扫描检测出 2428 .8万次网站漏洞。其中，扫描出高危漏洞网站 2.24万个，共扫描出 121.3万次高危漏洞。  从2017年云监测扫描检测的网站中，人工挑选出十个行业进行分析。教育培训类网站是检测出网站漏洞最多的行业，总计为 555.3万次网站漏洞，其次是政府部门的网站，共检测出 455.9万次网站漏洞，事业单位的网站，共检测出 92.0万次网站漏洞。  进一步对不同行业网站扫出的高危漏洞进行分析，我们发现，政府部门网站扫描出高危漏洞次数最多，为31.76万次，其次为教育培训类网站，共扫描检测出高危漏洞 16.89 万次。网站漏洞攻击分析  2017年1-10月，奇安信网站卫士共为 187.5万个网站拦截各类网站漏洞攻击 26.4亿次，较2016年17.1亿次，增长 54.4%，平均每天拦截漏洞攻击 868.9万次。  截止到 2017年10月，全年遭到漏洞攻击的网站共计 79.8万个（全年去重），占奇安信网站卫士覆盖总量（187.5万）的42.5%。平均每月约有 8.0万个网站遭遇各类漏洞攻击，同比下降 44.2%。  奇安信网站卫士拦截漏洞攻击次数最多的 10个漏洞类型，这十个类型共遭到攻击 22.0 亿次，占到漏洞攻击拦截总量的 83.4%。  59.7%的网站漏洞攻击类型都为 “SQL注入”，稳坐第一。其次为“ Webshell”和“通用漏洞”，占比分别为 8.2%和3.6%。  从遭到漏洞攻击网站服务器 IP的地域分布来看， 83.4%受害者 IP来自境内地区 IP，境外的受害者仅为 16.6%。从境内受害者的 IP地域分布来看， 23.1%来自北京，居于首位；其次分别为浙江（ 15.8%）、广东（ 11.7%）等。  从发起漏洞攻击 IP的地域分布来看， 45.3%的攻击者 IP来自境内地区，来自境外的攻击占比为 54.7%。从境内攻击者的 IP地域分布来看， 21.5%来自北京，居于首位；其次分别为江苏（ 16.5%）、河南（ 12.3%）等。  漏洞攻击在一周之内的分布统计。星期四是一周中漏洞攻击最为集中的一天，占总攻击量的 15.3%，周日仅居其次，为15.2%，而周五的攻击量则相对最少，仅占总攻击量的 14.5%。就平均性而言，周一周二周六较安全，而周四、周日最危险。人工挖掘漏洞分析  2017年全年，补天平台 SRC共收录各类网站安全漏洞报告 22706个，共涉及 14416个网站。其中， 3月份收录的网站漏洞数量最多，为 3338个。  在补天平台被报告漏洞涉及的政企机构中，平均约有29.6 %的网站已注册加入补天平台。  从补天平台收录网站漏洞的性质来看，通用型漏洞比例很低，仅为 4.1%，95.9 %的网站漏洞都为事件型漏洞。  从补天平台收录网站漏洞的危害等级来看，高危漏洞占比为 24.2%，中危漏洞占比为 45.8%，低危漏洞占比为 30.0%。  从补天平台收录网站漏洞的具体类型来看， SQL注入漏洞最多，占比为 32.1 %，其次是命令执行和信息泄露，占比分别为 27.4 %和10.5 %。占比较高的还有弱口令（ 10.2 %）、代码执行（ 4.3%）。  在补天平台收录网站漏洞中，74.4%的网站漏洞已经进行了修复， 25.6%的网站漏洞未进行修复。  从省级地域分布来看，补天平台收录网站漏洞最多的十个省份占到了总量的 74.5 %。其中，IP地址在北京的网站漏洞最多，占比为 28.8%，其次广东省为8.9%，浙江省为 6.4%。  从城市地域分布来看，补天平台收录网站漏洞最多的十个城市占总量的 66.0%。其中， IP地址在北