1、 2017中国网站 安全形势分析报告 360 威胁情报中心 2018 年 1 月 23 日 主 要 观 点 网站漏洞问题网站漏洞问题依旧严峻，依旧严峻，教育教育和和政府政府行业行业最值得关注最值得关注 本次报告从漏洞自动检测和人工挖掘角度对国内教育、 政府等十余类典型行业的网站进 行了安全性对比研究。 从漏洞数量来看。云监测平台扫描检测的网站中，教育培训、政府机构和事业单位是存 在漏洞最多的三个行业。在补天平台中，政府机构及事业单位、教育培训和互联网是人工收 录漏洞数最多的三个行业。 从漏洞修复情况来看。 通信运营商、 金融和教育培训类网站是漏洞修复率最高的三个行 业。 96.9%的通信运营商

2、网站漏洞都进行了修复， 90.6%的金融行业的网站漏洞进行了修复， 83.3%的教育培训网站进行了修复。 僵尸网络僵尸网络继续继续瞄准物联网瞄准物联网 在 2016 年 mirai 僵尸网络攻击造成美国东海岸大面积断网事件之后，2017 年以来，又 有三个著名的僵尸网络出现 http81、IoT_reaper 和 Satori。其中，http81 和 IoT_reaper 都是针 对 IoT 设备的僵尸网络。 仅 http81 在国内感染的摄像头设备就超过 5 万台， 而 Satori 则以 12 小时 26 万台的速度感染某品牌家用路由器，成为史上传播速度最快的僵尸网络。 挖矿挖矿木马木马成

3、为成为网站最大现实威胁网站最大现实威胁 2017 挖矿木马疯狂的敛财暗流。 挖矿木马是 2017 年非常流行的一种针对网络服务器进 行攻击的木马程序， 此类木马程序通过自动化的批量攻击感染存在漏洞的网络服务器， 并控 制服务器的系统资源，用于计算和挖掘特定的虚拟货币。由于挖矿木马长期占用 CPU 率达 100%，因此，服务器感染挖矿木马后，最明显的现象是服务器响应非常缓慢，出现各种运 行异常。 如果挖矿木马攻击的是整个云服务平台， 则平台上所有网站和服务系统都会受到严 重影响。 另外，2018 年 1 月 8 日，我们第一次见到 Satori.Coin.Robber 僵尸网络利用“肉鸡”扫 描

4、正在挖矿的设备， 并通过篡改其挖矿设备的算力和代币， 致使其挖掘的虚拟货币流向自己 的口袋。 反人工检测技术反人工检测技术大范围流行大范围流行 2017 年网络黑产大范围使用反人工检测技术，对网站进行黑词黑链篡改，攻击者在向 网页中植入黑词黑链的同时， 还会在页面中加入一段识别程序， 该程序可以识别出访问请求 是来在搜索引擎爬虫还是来自个人用户， 如果访问请求来自搜索引擎爬虫， 则进入带有黑词 黑链等非法信息的页面；如果访问来自个人用户，则显示未经窜改的原始页面，对于未采用 防篡改保护技术及缺乏相关经验的技术人员， 这种攻击很难被发现， 从而使带有非法信息的 页面可以在网站中潜伏更长的时间。

5、WebWebL Logicogic 反反序列化序列化漏洞攻击漏洞攻击可能可能在在 20182018 年年大爆发大爆发 2017 年 12 月末，国外安全研究者 K.Orange 在 Twitter 上爆出有黑产团体利用 Weblogic 反序列化漏洞（CVE-2017-3248）对全球服务器发起大规模攻击，大量企业服务器已失陷且 被安装上了 watch-smartd 挖矿程序；但此类攻击在国内还很少见到。不过，2018 年 1 月 11 日，360 安服团队在应急响应过程中，发现某门户网站遭到了 Weblogic 最新反序列漏洞攻 击。 由于国内外对此漏洞的重视程度明显不足，有可能导致基于该漏

6、洞的网络攻击在 2018 年大规模爆发。 弱密码问题依然弱密码问题依然是网站安全最大隐患是网站安全最大隐患 依然依然普遍存在普遍存在 360 安服团队参与处理的网站安全应急响应事件中，60%以上都与弱密码有关。包括 2017 年大规模流行的挖矿木马，其成功攻击的主要原因也是由于网站管理员使用弱密码。 本报告也总结了大量相关攻击实例，可供读者参考。 摘 要 网站漏洞网站漏洞检测检测分析分析 2017 年 1-10 月，360 网站安全检测平台共扫描检测网站 104.7 万个， 其中，扫出存在漏 洞的网站 69.1 万个（全年去重），共扫描出 1674.1 万次漏洞。扫出存在高危漏洞的网 站 34

7、.5 万个，占扫描网站总数的 32.9%，共扫描出 247.0 万次高危漏洞。 从域名类型统计来看，全球通用域名中.com 域名最多，占比为 64.2%；其次是.cn （23.0%）、.net（5.9%）；作为本土化域名，.gov 占比为 3.6%，.edu 占比为 1.6%。 从网站检测出漏洞的危险等级来看， 2017 年高危漏洞数量占比为 11.5%， 中危漏洞占比 为 5.0%，低危漏洞占比为 83.5%。 360 网站安全检测平台全年共扫描发现网站高危漏洞 247.0 万次， 较 2016 年 480.8 万次 降低了 48.7%，平均每天扫出高危漏洞约 8097 次。 根据 360

8、网站安全检测平台扫描出高危漏洞的情况，跨站脚本攻击漏洞的扫出次数和 漏洞网站数都是最多的，稳居排行榜榜首。其次是 SQL 注入漏洞、SQL 注入漏洞（盲 注）、PHP 错误信息泄露等漏洞类型。下表给出了 2017 年 1-10 月份高危漏洞 TOP10。 应用程序错误信息（287.7 万次）、发现敏感名称的目录漏洞（184.1 万次）和异常页面 导致服务器路径泄露（122.7 万次）这三类安全漏洞是占比最高的网站安全漏洞，三者 之和超过其他所有漏洞检出次数的总和。 2017 年全年，360 云监测平台共对 7.94 万个网站进行扫描检测，扫出存在漏洞的网站 6.35 万个，占比为 80.0%，

9、共扫描检测出 2428.8 万次网站漏洞。其中，扫描出高危漏洞 网站 2.24 万个，共扫描出 121.3 万次高危漏洞。 从 2017 年云监测扫描检测的网站中，人工挑选出十个行业进行分析。教育培训类网站 是检测出网站漏洞最多的行业，总计为 555.3 万次网站漏洞，其次是政府部门的网站， 共检测出 455.9 万次网站漏洞，事业单位的网站，共检测出 92.0 万次网站漏洞。 进一步对不同行业网站扫出的高危漏洞进行分析， 我们发现， 政府部门网站扫描出高危 漏洞次数最多，为 31.76 万次，其次为教育培训类网站，共扫描检测出高危漏洞 16.89 万次。 网站漏洞攻击分析网站漏洞攻击分析 2

10、017 年 1-10 月，360 网站卫士共为 187.5 万个网站拦截各类网站漏洞攻击 26.4 亿次， 较 2016 年 17.1 亿次，增长 54.4%，平均每天拦截漏洞攻击 868.9 万次。 截止到 2017 年 10 月，全年遭到漏洞攻击的网站共计 79.8 万个（全年去重），占 360 网 站卫士覆盖总量（187.5 万）的 42.5%。平均每月约有 8.0 万个网站遭遇各类漏洞攻击， 同比下降 44.2%。 360 网站卫士拦截漏洞攻击次数最多的 10 个漏洞类型，这十个类型共遭到攻击 22.0 亿 次，占到漏洞攻击拦截总量的 83.4%。 59.7%的网站漏洞攻击类型都为“S

11、QL 注入”，稳坐第一。其次为“Webshell”和“通 用漏洞”，占比分别为 8.2%和 3.6%。 从遭到漏洞攻击网站服务器 IP 的地域分布来看，83.4%受害者 IP 来自境内地区 IP，境 外的受害者仅为 16.6%。 从境内受害者的 IP 地域分布来看， 23.1%来自北京， 居于首位； 其次分别为浙江（15.8%）、广东（11.7%）等。 从发起漏洞攻击 IP 的地域分布来看，45.3%的攻击者 IP 来自境内地区，来自境外的攻 击占比为 54.7%。从境内攻击者的 IP 地域分布来看，21.5%来自北京，居于首位；其次 分别为江苏（16.5%）、河南（12.3%）等。 漏洞攻击

12、在一周之内的分布统计。 星期四是一周中漏洞攻击最为集中的一天， 占总攻击 量的 15.3%，周日仅居其次，为 15.2%，而周五的攻击量则相对最少，仅占总攻击量的 14.5%。就平均性而言，周一周二周六较安全，而周四、周日最危险。 人工挖掘漏洞分析人工挖掘漏洞分析 2017 年全年，补天平台 SRC 共收录各类网站安全漏洞报告 22706 个，共涉及 14416 个 网站。其中，3 月份收录的网站漏洞数量最多，为 3338 个。 在补天平台被报告漏洞涉及的政企机构中，平均约有 29.6%的网站已注册加入补天平台。 从补天平台收录网站漏洞的性质来看，通用型漏洞比例很低，仅为 4.1%，95.9%

13、的网站 漏洞都为事件型漏洞。 从补天平台收录网站漏洞的危害等级来看，高危漏洞占比为 24.2%，中危漏洞占比为 45.8%，低危漏洞占比为 30.0%。 从补天平台收录网站漏洞的具体类型来看，SQL 注入漏洞最多，占比为 32.1%，其次是 命令执行和信息泄露，占比分别为 27.4%和 10.5%。占比较高的还有弱口令（10.2%）、 代码执行（4.3%）。 在补天平台收录网站漏洞中， 74.4%的网站漏洞已经进行了修复，25.6%的网站漏洞未进 行修复。 从省级地域分布来看，补天平台收录网站漏洞最多的十个省份占到了总量的 74.5%。其 中， IP 地址在北京的网站漏洞最多， 占比为 28.

14、8%， 其次广东省为 8.9%， 浙江省为 6.4%。 从城市地域分布来看，补天平台收录网站漏洞最多的十个城市占总量的 66.0%。其中， IP 地址在北京市的网站漏洞最多，高达 43.5%，其次上海市为 6.6%，杭州市为 3.1%。 补天平台收录的网站漏洞中，政府机构及事业单位网站的漏洞数量是最多的，占比为 24.9%；其次，教育培训网站漏洞为 20.8%，互联网行业为 17.7%。每个行业的网站漏洞 分布情况。 被报告漏洞涉及的不同行业网站中，通信运营商行业网站注册率最高为 62.4%，其次， 制造业网站注册率为 50.0%，IT 信息技术行业网站注册率为 49.7%。 从高危漏洞网站来

15、看， 通信运营商和 IT 信息技术的网站高危漏洞占比最多， 均为 45.4%， 其次是金融网站高危漏洞为 43.1%。 96.9%的通信运营商网站漏洞都进行了修复， 其次， 90.6%的金融行业的网站漏洞进行了 修复，83.3%的教育培训网站进行了修复。 网络网络扫描扫描 2017 年全年，360 威胁情报中心在全球范围内共监测发现扫描源 IP 1400 万个，累积监 测到扫描事件 3.93 亿次。全球平均每日活跃的扫描源 IP 大约有 13.3 万个，对应的日均 扫描事件约 107.6 万起。 网络扫描活动的具体技术方法多种多样， 但从扫描的具体目的来看， 主要可以分为三种 类型：常规恶意扫

16、描、针对性突发扫描和安全监控扫描。 通过对 2017 年全年网络扫描器扫描的端口分析发现，扫描器扫描的端口主要为具备远 程控制能力的端口和存在信息泄露的端口。 23 端口和 2323 端口是被扫描次数最多的端 口，网络扫描事件中约 61.8%会扫描 23 端口，约 23.9%会扫描 2323 端口。 从扫描事件的数量来看，60.9%的网络扫描事件是从中国大陆发起的，5.0%是从巴西发 起的，而美国、俄罗斯和印度位列其后，占比分别为 4.0%、3.4%和 2.6%。 而从扫描器的数量来看，43.3%的扫描源 IP 位于中国大陆境内；9.0%的扫描源 IP 位于 巴西；印度、俄罗斯、阿根廷分列三到

17、五位，比例分别为 5.4%、4.6%和 4.2%。 网站网站 DDoS 攻击攻击情况情况 2016 年 12 月 5 日至 2017 年 12 月 5 日，360 威胁情报中心监测到 626.2 万个 IP 在过去 一年曾遭到过 1064.3 万次攻击。 针对 DDoS 攻击的端口中，80 端口是 DDoS 攻击最常用的端口，占比为 47.8%，其次为 4444 端口（17.0%）、3074 端口（8.7%）。 DDoS 攻击的网站域名中，51.7%为.com 域名，其占据了半壁江山。其次是.net 和.cn 域 名，占比分别为 24.5%和 11.0%。 DDoS攻击类型中， amp_flo

18、od类型最多， 占比为55.4%， 其次为syn_flood和simple_flood， 占比分别为 13.7%和 13.5%。 从攻击时长来看， 超过五成的 DDoS 攻击持续时间小于 10 分钟， 而持续时间在 10 分钟 至 30 分钟的攻击占比约为 22.5%，30 分钟至 1 小时的攻击占比约为 8.1%，持续时间超 过 1 小时的攻击占比不足 10%。 DDoS 攻击主要由受控的僵尸网络发动。xor 家族是最为活跃的 DDoS 僵尸网络家族， 占比为 38.1%；其次，elknot 家族为 29.5%；gafgyt 家族为 14.7%。 僵尸网络攻击的端口也很受大家的关注。80 端

19、口仍是大多数僵尸网络攻击的主要目标， 占比为 62.8%，其次是 53 端口为 7.5%，3074 端口为 6.7%。 在2017年的DDoS僵尸网络攻击中， syn_flood攻击次数达到22.8万次， 其次是udp_flood 6.5 万次、STD 为 3.3 万次等。 DDoS 僵尸网络攻击的国家中， 美国是重灾区 （7.05 万次） 。 中国排名第二 （5.53 万次） ， 其次为韩国和法国，分别为 3.21 万次和 3.19 万次。 白帽子与安全人才白帽子与安全人才 2017 年全年，共有 4199 名白帽子向补天平台提交有效漏洞 2.27 万个，总计获得奖金 489 万元。 201

20、7 年获补天平台奖金最多的三位白帽子分别是 lakes、depy 和 jkgh006。从报给补天 平台并被收录的漏洞总数来看，挖洞最多的是 carry_your，共贡献 695 个漏洞，大约每 天挖洞 2 个。而获得奖金最多的是 lakes，共获得 49.3 万元。 2017 上半年，向补天平台提交漏洞的白帽子中，女性白帽子占比仅为 5.8%，男性白帽 子占比为 94.2%。 根据白帽子的注册信息统计，在 2017 年上半年向补天平台提交漏洞的白帽子中，年龄 最小的 14 岁，年龄最大的 67 岁。其中，18 岁-28 岁之间的白帽子数量最多，约占总数 的 79.9%。 而从年龄段来看， 年轻

21、的 “90 后” 目前仍然是白帽子的绝对主力， 占白帽子总量的 75.2%， “80 后”次之，占 10.8%，00 后正在崛起，占比为 9.1%。值得注意的是，相比 2016 年 “00 后”白帽子仅占 2.6%，今年约有 9.1%的白帽子是 17 岁及以下的青少年。 关键词：关键词： 网站安全、漏洞、补天、白帽子、扫描、DDoS、挖矿 目 录 第一章 网站漏洞检测分析 . 1 一、 漏洞数量概况 . 1 二、 扫描网站介绍 . 2 三、 漏洞危险等级情况 . 2 四、 漏洞类型分析 . 4 五、 不同行业网站漏洞扫描情况 . 5 第二章 网站漏洞攻击分析 . 7 一、 漏洞攻击数量统计 .

22、 7 二、 漏洞攻击类型分析 . 8 三、 漏洞攻击地域分析 . 8 四、 漏洞攻击时域分析 . 11 第三章 人工挖掘漏洞分析 . 13 一、 漏洞报告数量 . 13 二、 漏洞类型分析 . 14 三、 漏洞修复情况 . 15 四、 有漏洞网站地域分布 . 16 五、 不同行业网站漏洞情况 . 17 第四章 网络扫描 . 20 一、 全网扫描活动监测概况 . 20 二、 不同类型的扫描活动 . 21 三、 扫描活动扫描的主要端口 . 22 四、 扫描源 IP 地域分布 . 22 第五章 网站 DDOS 攻击情况 . 25 一、 DDOS 攻击情况 . 25 二、 DDOS 僵尸网络 . 27

23、 三、 DDOS 攻击造成的经济损失 . 29 四、 2017 年新型僵尸网络. 29 第六章 白帽子与安全人才 . 32 一、 白帽子获奖情况 . 32 二、 白帽子性别分布 . 32 三、 白帽子年龄分析 . 33 第七章 网站安全的典型案例 . 35 一、 挖矿木马攻击与响应典型案例 . 35 二、 某大型机构门户网站的服务器被恶意篡改 . 38 三、 某知名软件公司的服务器遭恶意部署 . 39 四、 某事业单位门户网站疑似被 CC 攻击 . 40 五、 某监管机构被上传添加注册人员命令 . 41 六、 某国家单位服务器存在后门 . 42 七、 某新闻门户网站被攻击，下载恶意木马 . 4

24、3 八、 某关键基础设施公共服务器被加密 . 44 九、 某大型能源企业网站遭遇 APT 入侵 . 45 第八章 网站安全威胁前沿趋势 . 47 一、 不当信息公开导致大量政府网站信息泄露 . 47 二、 勒索软件大量入侵服务器 . 47 三、 挖矿木马的疯狂敛财暗流 . 47 四、 反人工检测技术大范围流行 . 48 五、 物联网威胁的更加突出 . 48 六、 WEBLOGIC反序列化漏洞攻击可能爆发 . 49 第九章 网站安全技术前沿趋势 . 50 一、 HTTPS 的大量普及 . 50 二、 政务云推动云安全技术升级 . 50 三、 IPV6 促进安全技术革新 . 51 第十章 2017

25、 网络安全制度建设要点与趋势 . 52 一、 确立关键信息基础设施 . 52 二、 督促提升安全漏洞防护能力 . 52 三、 强化网络运营者与监管部门各自责任 . 53 四、 严格实施个人信息保护 . 54 五、 政府网站集约化建设 . 54 附录 1 2017 年重大网站安全漏洞 . 55 一、 CVE-2017-3248 ：WEBLOGIC 远程代码执行. 55 二、 CVE-2017-5638 ：STRUTS2 远程代码执行（S2-045） . 55 三、 CVE-2017-5638 ：STRUTS2 远程代码执行（S2-046） . 55 四、 CVE-2017-3531 ：WEBLO

26、GIC远程代码执行 . 55 五、 CVE- ：JENKINS远程代码执行 . 56 六、 CVE-2017-9791 ：STRUTS2 远程代码执行（S2-048） . 56 七、 CVE-2017-9822 ：DOTNETNUKE远程代码执行 . 56 八、 CVE-2017-9805 ：STRUTS2 远程代码执行（S2-052） . 56 九、 CVE-2017-10366 ：PEOPLESOFT远程代码执行 . 57 十、 CVE-2017-11283 ：ADOBE COLDFUSION远程代码执行 . 57 附录 2 2017 年威胁网站安全的典型病毒 . 58 一、 暗云 . 58 二、 XSHELL后门 . 58 三、 IOT_REAPER 僵尸网络 . 58 四、 BRICKERBOT恶意软件 . 58 五、 SATORI僵尸网络 .