文/鄭先偉

近期有媒體報道部分高校網(wǎng)站的網(wǎng)頁中（包括某校的高考招生錄取查詢頁面）被植入了挖礦代碼，用戶一旦訪問了這些有問題的網(wǎng)頁后，瀏覽器就會被執(zhí)行腳本程序進(jìn)行挖礦，這將大量占用用戶端的系統(tǒng)資源，使得CPU的資源利用率突然大幅提升，甚至到100%，給用戶帶來安全風(fēng)險和不好的用戶體驗。實際上這些被植入了挖礦木馬代碼的網(wǎng)站多數(shù)并不是近期才被入侵控制，可能很早就已經(jīng)被入侵并控制，只是隨著近期高招工作的展開，學(xué)校網(wǎng)站的訪問數(shù)量上升，黑客才把挖礦代碼植入到了相應(yīng)的網(wǎng)頁中以獲取更高的利益。建議相關(guān)學(xué)校應(yīng)該盡快檢查自己的各類網(wǎng)站系統(tǒng)（包括二級院系的網(wǎng)站），檢查是否存在安全隱患。對于那些已經(jīng)被放置了挖礦腳本的網(wǎng)站，應(yīng)該全面檢查相關(guān)系統(tǒng)和服務(wù)的安全問題并及時修補(bǔ)，而不是僅僅把挖礦腳本刪除就了事。

6月與網(wǎng)站安全有關(guān)的事件數(shù)量呈上升趨勢，各類反射型拒絕服務(wù)攻擊也有所上升。

近期沒有新增影響特別廣泛的蠕蟲病毒。

近期新增嚴(yán)重漏洞評述：

1.微軟6月的安全公告共修補(bǔ)了微軟產(chǎn)品線中的122個安全漏洞，包括Windows10 v1803 and WindowsServer, v1803（24個）、Windows 10 v1709 and WindowsServer, v1709（25個）、Windows 10 v1703（24個）、Windows 8.1 and Windows Server2012 R2（8個）、Windows Server 2012（8個）、Windows 7 and Windows Server 2008R2（8個）、Windows Server 2008（6個）、IE瀏覽器（4個）、微軟Edge瀏覽器（8個）和微軟Office軟件（7個）。利用上述漏洞，攻擊者可以在被攻擊者的系統(tǒng)上進(jìn)行權(quán)限提升、繞過安全限制、獲取敏感信息、遠(yuǎn)程執(zhí)行代碼或拒絕服務(wù)攻擊等。其中需要特別關(guān)注的兩個漏洞是Excel遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-8248）和Windows HTTP協(xié)議堆棧遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-8231），前者攻擊者可以通過引誘用戶打開特制的Excel格式的文檔來利用，而后者則只需向Windows的http.sys發(fā)送特殊構(gòu)造的數(shù)據(jù)包就可以被利用。鑒于漏洞的風(fēng)險性，建議用戶盡快使用系統(tǒng)的自動更新功能進(jìn)行補(bǔ)丁更新。

2018年5～6月安全投訴事件統(tǒng)計

2.Adobe公司發(fā)布的安全公告（apsb18-19）中升級了最新的Flash player的版本，用于修補(bǔ)之前版本中存在的4個安全漏洞。其中包括一個已經(jīng)在網(wǎng)絡(luò)上被用來進(jìn)行APT攻擊的Flash軟件0day漏洞（CVE-2018-5002），攻擊者利用在Office文檔中夾雜遠(yuǎn)程調(diào)用的Flash鏈接來利用該漏洞，由于Flash文件并未被包含在Office文件而是直接從遠(yuǎn)程網(wǎng)站中加載，這加大了反病毒檢測的難度。建議用戶盡快使用Adobe的軟件自動更新功能升級系統(tǒng)中的Flash player組件，當(dāng)然也可以直接到Adobe的下載中心下載最新版本安裝：https∶//get.adobe.com/cn/flashplayer/。

3.熱門網(wǎng)站搭建系統(tǒng)Wordpress被曝出存在任意文件刪除漏洞。要利用該漏洞，攻擊者必須具有在網(wǎng)站上編輯和刪除媒體文件的權(quán)限（普通作者權(quán)限），攻擊者通過提交一些特殊構(gòu)造的參數(shù)就可以刪除Wordpress網(wǎng)站文件目錄下的任意文件，利用一些組合性的攻擊方式（例如利用該漏洞刪除Wordpress的wp-config.php配置文件，從而使用重裝功能獲取網(wǎng)站的管理權(quán)限），攻擊者可以完全接管該網(wǎng)站。由于該漏洞存在于Wordpress的核心文件（與插件無關(guān)）中，它幾乎影響所有版本的Wordpress（包括最新版）。該漏洞7個月前就被提交給Wordpress官方，但是官方至今仍未針對該漏洞提供補(bǔ)丁程序，目前漏洞的攻擊方式已經(jīng)在網(wǎng)絡(luò)上被公布，Wordpress網(wǎng)站的管理員應(yīng)該及時關(guān)注官方的動態(tài)，在沒有補(bǔ)丁之前可以用一些臨時的辦法來降低風(fēng)險，具體的操作請參見：https∶//blog.ripstech.com/2018/wordpress-file-delete-tocode-execution/。

安全提示

高招工作已經(jīng)在逐步開展，建議各高校再次加強(qiáng)對學(xué)校的網(wǎng)站進(jìn)行安全檢查和監(jiān)測，包括學(xué)校主頁、熱門院系的二級網(wǎng)站、招辦主頁及各類與招生有關(guān)的業(yè)務(wù)系統(tǒng)。對于一些重要的業(yè)務(wù)系統(tǒng)（如招生錄取查詢系統(tǒng)）建議聘請專業(yè)的滲透測試團(tuán)隊進(jìn)行安全檢測。