深信服大数据：安全威胁分析报告之网站安全篇

2017年是网络安全问题彻底暴露在全球网民视野中的一年。尤其是威胁全球的WannaCry勒索软件事件，大至企业政府机构、小到普通网民无不感受到来自网络攻击的巨大杀伤力。那么，在这一年里，中国的网站安全现状究竟如何？深信服千里目安全实验室从漏洞行业分布、漏洞类型分类、漏洞修复周期分析网站安全检测情况，从网站篡改分类、网站篡改手段分析网站篡改情况，从网站攻击整体情况、网站攻击特征、网站攻击流量来源分析网站攻击防护情况。一篇文了解网站安全形势，获取最佳网站安全防护建议！

网站安全形势整体解读

深信服安全服务平台在2017年授权检测网站30余万个，其中：

（1）共发现386952个高危漏洞，网站安全依然不容乐观；

（2）共拦截攻击86.2亿次，封锁恶意攻击IP 15.9万个，境内外攻击形势依旧非常严峻；

（3）共发现篡改事件75026次，网站被入侵情况依然严重。

同时，在2017的调查中发现，随着安全事件频发，相比2016年的保守防御方式，有接近34%的企业和组织对安全警报和事件的态度逐渐发生改变，从过去的被动响应逐渐转变为主动寻找网站风险，从根本上解决网站安全隐患。

网站安全检测情况

漏洞行业分布

自2017年1月1日起至12月31日，深信服安全服务平台对全国11个行业（其中包括政府、教育、医疗、金融、企业、能源等）30余万个域名（或IP）监测发现：

网站监测中除企业类网站，占比最多的是政府类和教育类网站，政府类网站有52062个，教育类网站有49025个。由此可见，政府和教育类网站管理者安全意识逐渐增强，正在积极寻求安全协助，保障网站安全。

漏洞类型分类

根据漏洞类型的不同，在所有监测网站中共发现高危漏洞386952个，其中，XSS注入160926个、SQL注入84130个、配置不当52470个、命令执行24060个、代码执行24060个、拒绝服务19264个、弱密码12640个、未授权访问8368个、认证绕过6050个。

由此见，常规漏洞XSS注入、SQL注入等依然是危害网站安全的重大杀手。除此之外，由于网站管理员不安全操作导致的配置错误，也是引发网站风险的重要因素。针对这些漏洞，我们建议在网站开发和运维过程中，采取下述手段降低安全隐患：

对网站开发人员进行安全编码培训；

请专业安全人员对网站架构和源代码做全面的安全审计，修复安全漏洞；

网站运营中，及时升级，包括操作系统、数据库、中间件等；

对网站各个组件、服务进行排查，关闭无用服务和组件，修改默认配置及密码，并使用强度较高的密码；

采取备份手段，并时常备份网站的关键业务数据；

对敏感信息加密，包括敏感信息的存储加密和传输加密；

采用专业的Web应用安全产品。

漏洞修复周期

在2017年期间，深信服安全服务平台随机挑选存在漏洞的政府类网站、教育类网站、企业类网站各1000个，进行漏洞修复监测。深信服发现，在所有网站中，高危漏洞修复效率最高，从漏洞检测通告到修复平均用时30天左右。其中大型企业对网站安全的关注度最高，中低危漏洞在检测发布后也在持续减少，教育行业网站建设存在安全隐患最多，且修复周期最长。

造成网站修复率底的原因除了管理员安全意识不足外，还有以下几点：

 用户单位没有专业安全人员，不具备修补安全漏洞的能力；

 第三方厂商担心影响公司荣誉，有意忽略漏洞，不发布安全补丁；

 缺乏统一漏洞推送机制，很多厂商发布安全补丁或者升级服务都直接在官网发布，不会定向推送给网站使用者；

 开发者定制开发的网站系统难以与发布的安全补丁相匹配，影响网站修复速度。

网站篡改情况

2017年1月1日开始至12月31日截止，深信服千里目安全实验室持续监控互联网中已被入侵篡改的网站，共涉及政府、医疗、教育、金融、大中小企业等篡改案例多达75026例。被入侵的网站轻则沦为黑客获利的工具，为黑站引流；重则系统遭到破坏，数据丢失，网站内容被恶意更改，损坏客户利益和公众形象。

网站篡改分类

从篡改表象来看，我国被篡改的网站主要有以下六种类型：1、被植入赌博类网页/关键字/链接；2、被植入色情类网页/关键词/链接；3、被植入游戏私服类网页/关键字/链接；4、被植入违法交易产品信息（办假证/枪支等）页面；5、被植入涉政言论（诋毁党政国家）；6、黑客炫耀技术，植入个人信息增加圈内知名度。

从深信服千里目安全实验室采集到的网站篡改样本来看，以获取经济利益为目的的赌博、色情、游戏私服类篡改占所有篡改总数的80%以上，是网站篡改的常见内容。

网站篡改手段

2017年深信服千里目安全实验室一直在关注和搜集公网中被篡改的网站，除了基于政治目的的恶意诋毁篡改，以及基于炫耀目的的挂黑页篡改以外，其他篡改手段都是基于黑帽SEO技术手段实施。

篡改手段一：直接篡改网页文本、链接和图片

此类篡改一般通过技术手段入侵网站后台或者服务器，修改网页文字/图片，较为简单，一般以恶作剧为目的。网站管理员面对此类篡改，需要删除篡改关键字，修改后台密码，同时全站检查后门漏洞。

篡改手段二：植入单个篡改网页

这种篡改手段在实现上并不需要特别高深的技术手段，黑客通常利用寄生虫工具获取互联网中网站，批量植入后门和黑页，变成自己的所有品，在互联网刷存在感。对于这种篡改手段，网站管理员直接删除服务器上的黑页即可，随后再对网站进行全站检查，清除后门，修补漏洞。

篡改手段三：DNS劫持

DNS劫持又叫域名劫持，通过攻击域名解析服务器（DNS），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。DNS劫持危害严重，一方面可能影响用户的上网体验，用户被引到假冒的网站进而无法正常浏览网页，尤其是用户量较大的网站域名被劫持后恶劣影响会不断扩大；另一方面用户可能被诱骗到冒牌网站进行登录等操作导致隐私数据泄漏。

遇到此类篡改的网站管理员，需立即修改域名管理平台密码，加强密码复杂度，并将恶意解析的IP地址换成正确的服务器IP地址。

篡改手段四：网站前端劫持

网站前端劫持又称之为跳转劫持，其表象为用户输入地址A，在浏览器中访问后跳转到地址B。通常是在网站的相应页面中插入JS脚本，通过JS来进行跳转劫持。目前此类劫持通常还会加入附加条件，使得劫持更加隐蔽，难以发现。判断条件一般会根据IP归属地、user-agent或referer进行判断。针对这种篡改案例，需要清除网站页中JS跳转代码，同时全站查找后门，修复漏洞。

篡改手段五：网站服务器劫持

此手法往往是通过修改网站服务器asp/aspx/php等后缀名文件，达到网页劫持的目的。针对此类篡改需要在服务器上检测全局脚本文件，分析其是否被恶意修改，并修改配置文件。

基于以上篡改手段，针对被篡改的网站，建议网站管理员：

定期修改域名解析管理密码、网站后台管理密码，并保证密码复杂度；

 定期检测网站漏洞，及时修复漏洞；

 定期备份网站文件，并检查文件完整性，尤其是一些不常修改的配置文件；

 对于已被入侵的网站，及时清理篡改和暗链，并在全站查找清除后门，最后通过专业漏扫工具或安全渗透专员查找网站漏洞，完全修补漏洞。

网站攻击防护情况

网站攻击情况整体解读

2017年是网络攻击达到高峰的一年，各种安全事件频发，攻击工具泛滥，导致2017年的攻击流量比2016年多出52%。

自2017年1月1日起至12月31日，深信服下一代防火墙、信服云盾等安全防护产品对全国11个行业（其中包括政府、教育、医疗、金融、企业、能源等）超过10万个域名（或IP）做安全防御，共拦截网络攻击86.2亿次。封锁恶意攻击IP 15.9万个。

从攻击流量数据来看，2017年攻击流量最多的三个月分别是4月、5月和10月。由此可见，在重大安全事件爆发时期，以及国家重大会议活动期间，黑客活动猖獗，建议用户在特殊时期更应该进行网络安全防护加固，避免中招。

网站攻击特征分析

深信服千里目安全实验室通过对86.2亿次拦截的攻击流量进行特征分析发现，大部分攻击流量为自动化探测工具发送，其中常见的Web漏洞、服务器漏洞、0DAY漏洞扫描探测、管理登录页面、后门页面、数据库页面爬取以及DDoS攻击流量占比最高，各类攻击拦截次数TOP10如下表所示：

其中，高居首位的DDoS攻击可用自动化程序瞬间发动成千上万肉鸡对目标进行攻击，攻击成本小，但对被攻击的目标却很容易造成宕机等严重后果。排名第二的管理登录页面扫描攻击是黑客常用的攻击方式，几乎所有扫描工具都会对管理页面进行探测，以达到暴力破解获取系统许可权的目的。

如今市面上种类繁多的自动化攻击工具，极大地降低了攻击成本，技术能力较差的人员也能够使用自动化工具对网站进行扫描或发起其他攻击。自动化攻击或探测工具是目前网络攻击流量的最主要来源。

网站攻击流量来源分析

深信服千里目安全实验室对被封锁的15.9万恶意IP进行统计，发现广东地区是攻击流量的主要直接来源地，其中有3.2万恶意IP归属地为广东，总攻击达到24.46亿次，占总攻击流量的23%。其次是香港和境外（美国、日本等地）。

其中针对境外攻击流量，目前国内缺乏有效的追踪手段，因此，通过国外流量进行攻击备受黑客青睐。经研究，境外攻击流量的原因有两点，一是国内攻击有意使用境外IP做跳板，逃避电子取证法律追究；二是来自境外有组织有计划的攻击行动。无论哪种原因，都对我国网络安全造成严重威胁。