未加星标 《中国网站安全报告（2015）发布》—— 跨站脚本攻击成漏洞“老大” 两成服务器被植入后门

上百万网站有漏洞 高危漏洞占两成

2015 年全年（截至 11 月 18 日）， 360 网站安全检测平台共扫描各类网站 231.2 万个，较 2014 年的 164.2 万个增加了 40.8% 。其中，扫出存在漏洞的网站 101.5 万个，占比为 43.9% ，较 2014 年的 61.7 万个增长了 64.5% 。其中，扫出存在高危漏洞的网站 30.8 万个，占扫描网站总数的 13.3% ，较 2014 年的 27.9 万个增长了 10.4% 。 从检测出漏洞的危险等级看，高危漏洞占 21.7% ，中危漏洞占 10.2% ，低危漏洞占 68.1% 。 从漏洞数量来看， 360 网站安全检测平台全年共扫描发现网站高危漏洞 265.1 万次 ， 约为 2014 年 462.1 万次的一半，平均每月扫出高危漏洞约 24.1 万次；平均每天扫出高危漏洞约 0.8 万次。 相比于 2014 年，高中低危漏洞扫出数量大致相当，由于扫描网站数量大大增加，因此， 2015 年，高中危漏洞的扫出比例大幅下降。 从漏洞类型来看，从网站漏洞类型上看，跨站脚本攻击（ XSS ）漏洞、异常页面导致服务器路径泄露、 SQL 注入漏洞等是 2015 年最为频繁扫出的漏洞类型。三类安全漏洞之和接近网站所有漏洞检出总次数的一半。其中，跨站脚本攻击漏洞占 21.9% 、异常页面导致服务器路径泄露占 11.8% 和 SQL 注入漏洞占 16.0% ，这相比 2014 年，“异常页面导致服务器路径泄露”之漏洞是今年的“黑马”漏洞，超过 SQL 注入漏洞而跃居第二。 排名 漏洞名称 漏洞级别 扫出次数（万） 1 跨站脚本攻击漏洞 中危 270.7 2 异常页面导致服务器路径泄露 低危 197.9 3 SQL 注入漏洞 低危 145.9 4 发现目录启用了自动目录列表功能 低危 75.6 5 SQL 注入漏洞（盲注） 高危 70.2 6 IIS 短文件名泄露漏洞 低危 69.1 7 mysql 可远程连接 低危 56.5 8 发现服务器启用了 TRACE Method 低危 42.4 9 发现目录开启了可执行文件运行权限 低危 36.1 10 Flash 配置不当漏洞 低危 17.8 两成服务器有被植入后门 黑客密码也用弱口令 黑客入侵网站后，一般有三类常见攻击行为：一是篡改网站内容；二是植入后门程序，三是通过其他方式骗取管理员权限，进而控制网站或进行拖库。 360 互联网安全中心对扫描监测的 231 万个网站进行大数据分析，存在漏洞的网站中被篡改（不包括被植入后门程序）的网站 8.4 万个，比 2014 年的 17.7 万个下降了 52.5% ，网站遭篡改情况明显好转。 而从每月数据统计来看， 2015 年前十一个月平均每个月扫描检出被篡改网站 1.6 万个，比 2014 年的 3.28 万，减少了 50.5% 。 2015 年全年（截至 11 月 18 日）， 360 互联网安全中心共对 21854 台网站服务器进行了网站后门检测，覆盖网站 322.3 万个，扫描发现约 4097 台服务器存在后门，比 2014 年的 3465 台服务器增加了 18.2% ，约占所有扫描网站服务器的 19% 。 2015 年全年（截至 11 月 18 日） 360 互联网安全中心已扫出各类网站后门文件样本数量多达 858.1 万个。其中 ， SEO 后门数量占比最高， 达 45.0% ，其次是一句话木马，占比 35.0% ，多功能木马占比 2.0% 。与 2014 年一句话木马占到了网站后门的 69.2% 不同，今年恶意 SEO 后门的占比最高。 （下表给出了 2015 年感染服务器最多的十个后门及其恶意行为。其中仅一个 812Byte 后门，便感染了 3253 台服务器。） 排名

后门名称

后门类型

感染服务器个数 大小 恶意行为描述 1 ASP 一句话木马 asp 一句话木马 3253 812 Byte 插入到图片中的一句话木马代码，用来远程执行任意 asp 代码 2 dede 一句话木马 P hp 一句话木马 2561 111 Byte dede 建站系统的一句话木马变形，针对 dedecms 系统漏洞自动被植入 3 Asp 一句话木马变种 asp 一句话木马 2531 122 Byte asp 的一句话木马变形，用来远程执行任意 asp 代码 4 php 一句话木马 Php 一句话木马 2459 29 Byte Php 一句话木马，密码 511348 ，黑客可远程执行任意 php 代码 5 Asp 一句话木马变种 2 asp 一句话木马 2312 92 Byte asp 的一句话木马变形，用来远程执行任意 asp 代码 . 可绕过一些专杀 6 隐藏型 Asp 一句话木马 asp 一句话木马 2253 311 Byte 可隐藏自身的一句话木马后门文件。黑客可执行任意 asp 代码 7 不正常文件包含 Php 恶意文件包含 1864 44Byte 包含不正常文件，可执行任意 php 代码 8 Asp 小马 Asp 木马 1701 913Byte Asp 小马，可执行系统命令以及删除指定文件 9 PHP 加密后门 Php 加密后门 1599 135 Byte php 的 ddos 攻击脚本，用来攻击远程计算机系统 10 Asp seo 后门 Asp seo 后门 1477 18.5 Kb Asp seo 类木马后门。可生成大量 seo 类文件 目前，大部门网站后门都暗藏恶意域名链接，这些恶意域名链接会指向一个受黑客控制的恶意网站 。下表为 2015 年网站后门中出现次数最多的 10 个恶意网站域名。 排名 恶意域名 感染文件数量 1 http://php1.sh1850.com 13437372 2 http:// www.yuanzhangyi.com 8231259 3 http://hb.sb9906.com 7031676 4 http://295544.com 6792239 5 http://news.qu9999.com 4312857 6 http://7609000.com 4275196 7 http://www.8596666.com 3994499 8 http://xksf.awf9.com 3597664 9 http://www.478866.com 3543291 10 http://933947.com 3495562 一般来说，黑客会在植入控制类木马时设置密码，目的是防止其他黑客使用自己植入的后门。但 DDoS 脚本木马通常则不会设置密码，一般只需要填写要攻击的 host 和端口，就可以发动流量攻击。 有意思的是，很多网站被成功入侵的原因之一就是管理员使用了弱密码或弱口令。但通过对网站后门的分析研究也发现，黑客在设置后门程序密码时，也会习惯性的使用一些常见密码。 （下表就列出了 2015 年检出的网站后门中，使用率最高的 10 个密码及其被扫出的次数。） 排名 密码 使用次数 排名 密码 使用次数 1 alihack.com 280428 6 pass 27721 2 autoshell 182081 7 zzz 26792 3 c 124390 8 ninja 23767 4 sb 57645 9 # 12620 5 semhat 41589 10 diaosi 12575

因漏洞 个人信息泄露将雪崩出现

2015 年，关于网站被拖库、撞库的新闻时时见诸于各类媒体。 记者根据报告统计显示，在 2015 年（截至 2015 年 11 月 18 日）中国最大的漏洞信息响应平台补天平台收录的网站漏洞中，共有 1410 个漏洞可能造成网站上的个人信息泄露，这些漏洞共涉及网站 1282 个，可能泄露的个人信息量（本章下文简称泄露信息量）高达 55.3 亿条。 这一数字较 2014 年的 23.6 亿条翻了一倍还多。如果按照中国网民总数为 6.5 亿计算，这一数字也就意味着，仅仅在 2015 年这一年，平均每个中国网民就至少可能泄漏了 8 条以上的个人信息。 报告指出，目前，个人信息的泄漏已经成为电信骚扰和网络盗号、网络诈骗等网络犯罪频发的首要原因。越来越多的黑客和犯罪分子参与到个人信息的盗窃和交易当中。未来三至五年内，个人信息的泄漏可能仍将呈现不可逆的，雪崩式的增长。 在万物互联时代，物联网、车联网、互联网 + 金融、 O2O 创业等领域方兴未艾，事实证明， 厂商重视客户端应用界面的快速上线，而忽略了应用背后常规、基础的安全保障功能，以致对安全投入成本跟不上，导致大量应用及网站服务器端漏洞曝出。 专家说法：大数据保障网络安全 裴智勇博士介绍， 网站漏洞通常为事件型漏洞和通用型漏洞，事件性漏洞不易被自身监测。网站加入补天平台，通常意味着网站会安排专人对补天平台报告的漏洞进行响应和处理，但是，统计显示，加入补天后，网站信息漏洞呈直线下降趋势，安全性大大提高。在 2015 年被报告漏洞的备案网站中，有 22.0% 的网站已加入补天平台，还有近八成的网站未加入。 裴智勇博士介绍，， 2015 年，“数据驱动安全”的全新技术理念正在逐步取代传统的被动防御、静态防御、孤立防御的技术理念，成为广泛认可的重要的网络安全发展趋势，并且已经取得了一系列的重要成果。威胁情报将是未来一两年内，最具发展潜力的新兴安全服务技术。人工智能、机器学习以及大数据可视化等一系列新兴的网络安全技术，将成为网络安全企业竞争力的核心体现。

【责任编辑：张存 TEL：（010）68476606】