Archive for the '校园网安全' Category

校园网安全相关信息。

关于“MongoDB和Redis数据库未授权访问漏洞”的安全提示

Posted by 王宇 on 17th 十一月 2017

近期我校发现多个MongoDB或Redis数据库未授权访问漏洞的实例,涉及多台主机和服务器,已经根据学校网络信息安全漏洞处置流
程进行整改。据安全机构对外发布的安全事件案例分析和安全报告统计,目前多数勒索病毒均利用未授权访问等通用漏洞进行植入
、勒索,包括Redis、MongoDB等数据库的未授权访问漏洞,而也未授权访问漏洞本身也存在明显的数据泄漏风险。因此,这里对“
MongoDB数据库和Redis服务器未授权访问漏洞”进行如下安全提示,请各位师生在日常使用MongoDB或Redis数据库时注意进行相应
的安全设置,减少网络安全隐患。以下安全加固建议,请结合自身部署情况自行选择有效的方式。

1、MongoDB数据库未授权访问漏洞
1)漏洞描述
Redis因配置不当可以未授权访问。攻击者无需认证访问到内部数据,可导致敏感信息泄露,也可以恶意执行flushall来清空所有
数据。如果Redis以root身份运行,可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。
2)漏洞加固
可以配置redis.conf文件(在安装目录下):
默认只对本地开放:bind 127.0.0.1
添加登陆密码:requirepass www.secpulse.com
在需要对外开放的时候修改默认端口:port 2333
最后还可以配合iptables或主机防火墙限制开放。

2、Redis数据库未授权访问漏洞
1)漏洞描述
开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,而且可以远程访问数据库,登录的用户可以通过默认端口无需密码对数据库进行增、删、改、查等任意高危操作。
2)漏洞加固
为MongoDB添加认证:
(1)MongoDB启动时添加–auth参数
(2)给MongoDB添加用户:
use admin #使用admin库
db.addUser(“root”, “123456”) #添加用户名root密码123456的用户
db.auth(“root”,”123456″) #验证下是否添加成功,返回1说明成功
禁用HTTP和REST端口:
MongoDB自身带有一个HTTP服务和并支持REST接口。在2.6以后这些接口默认是关闭的。mongoDB默认会使用默认端口监听web服务,一般不需要通过web方式进行远程管理,建议禁用。修改配置文件或在启动的时候选择–nohttpinterface 参数nohttpinterface=false
:限制绑定IP:
启动时加入参数
–bind_ip 127.0.0.1
或在/etc/mongodb.conf文件中添加以下内容:
bind_ip = 127.0.0.1

参见:【脉搏沉淀系列】未授权访问漏洞总结

Posted in 校园网安全 | No Comments »

关于应对Bad Rabbit勒索软件的安全提醒

Posted by 王宇 on 26th 十月 2017

据有关部门网络信息安全监测发现,2017年10月24日晚,俄罗斯、乌克兰等多个东欧国家遭Bad Rabbit勒索软件袭击,政府、交通、新闻等200多家机构受到不同程度影响。目前,美国已发现感染传播情况,国内尚未监测发现被攻击情况。

该Bad Rabbit勒索软件初始通过虚假Flash更新链接传播。当用户访问被入侵控制的合法网站时,网页跳转到虚假的Flash更新网站,一旦用户下载并安装虚假的Flash更新包则系统被感染。目前,监测发现23个被入侵网站,1个位于日本,其他多数为俄语网站。被感染主机可通过SMB等服务端口探测并试图感染内网虚其他主机。

鉴于该勒索软件潜在危害较高,影响较大,建议采取以下紧急措施:

一是谨慎下载和更新Flash相关软件更新;

二是及时关闭TCP 137、139、445端口;

三是检查内网机器设置,暂时关闭设备共享功能;

四是禁用Windows系统下的管理控件WMI服务。

由于勒索类软件对于数据安全危害极大,建议师生了解和关注。需要相关技术支持,可以通过网络中心报修咨询电话沟通。

Posted in 校园网安全 | No Comments »

关于谨慎处理邮件附件预防恶意勒索邮件攻击的安全提醒

Posted by 王宇 on 23rd 十月 2017

接有关部门网络信息安全提醒信息:近期利用电子邮件进行恶意勒索的攻击事件增加,攻击者采用伪造发件人地址的方式发送勒索软件的邮件;当用户受骗打开邮件,执行该附件后计算机上的文件将被加密。
为避免重要文件信息被恶意加密,建议谨慎处理邮件附件,特别是来源不明或者Office文件、zip/rar等压缩包文件。需要相关技术支持,可以通过网络中心报修咨询电话沟通。
勒索邮件相关情况,参见:关于近期频发网络勒索事件的安全警示,请大家关注!

Posted in 校园网安全 | 2 Comments »

网络安全为人民,网络安全靠人民——2017年网络安全宣传周

Posted by 王宇 on 19th 九月 2017

2017年国家网络安全宣传周

9月18日-24日

根据国家网信办、辽宁省教育厅等相关部门要求,开展“网络安全为人民,网络安全靠人民”2017年网络安全宣传周活动,欢迎访问本专题!

关于网络信息安全等的各类问题都可以通过网络中心报修咨询电话或security@mail.neu.edu.cn与我们沟通,我们会第一时间反馈。网络安全为师生,也靠师生,让我们携手努力进一步提升东北大学的网络安全治理水平。

专题参见:网络安全为人民,网络安全靠人民——2017年网络安全宣传周

Posted in 校园网动态, 校园网安全 | 6 Comments »

2017年6月1日起,《中华人民共和国网络安全法》正式施行

Posted by 王宇 on 1st 六月 2017

2017年6月1日起,《中华人民共和国网络安全法》正式施行。正文参见:http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm

《网络安全法》规定,任何个人组织不得出售个人信息;非法获取出售公民个人信息超50条将入罪;无人机进入实名登记时代;5类行李不能入境;下月起微信公号未经许可禁发新闻;关系国家安全重要网络产品应经网络安全审查;安徽修订旅游条例规定“驴友”擅自探险或将受罚……6月1日起,一批新的法律法规将影响我们的生活。

网络安全法:不得出售个人信息

第十二届全国人大常委会第二十四次会议表决通过网络安全法,将于2017年6月1日起施行。法律进一步界定关键信息基础设施范围;明确加强对个人信息保护;对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施;增加惩治网络诈骗等新型网络违法犯罪活动的规定等。

非法获取出售公民个人信息超50条将入罪

5月9日,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》在京发布,进一步明确了侵犯公民个人信息罪的定罪量刑标准。《解释》共十三条,包括明确了“公民个人信息”的范围、非法“提供公民个人信息”的认定标准等十个方面内容,将于今年6月1日起正式施行。

其中,新的司法解释明确,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息等个人敏感信息五十条以上的,即构成犯罪,处三年以下有期徒刑或者拘役。首次明确“人肉搜索”案件中,行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众,实际是向不特定多数人提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役。

同时,还有以下与网络信息安全相关的哦法律法规开始实施:

下月起微信公号未经许可禁发新闻

国家互联网信息办公室5月22日公布《互联网新闻信息服务许可管理实施细则》,自2017年6月1日起施行。

细则提出,互联网新闻信息服务,包括互联网新闻信息采编发布服务、转载服务、传播平台服务。获准提供互联网新闻信息采编发布服务的,可以同时提供互联网新闻信息转载服务。获准提供互联网新闻信息传播平台服务,拟同时提供采编发布服务、转载服务的,应当依法取得互联网新闻信息采编发布、转载服务许可。

此外,细则还对许可变更、续办、注销等环节的条件、材料、程序等提出明确要求,进一步完善许可退出机制。其中,明确《互联网新闻信息服务许可证》有效期为三年。

关系国家安全重要网络产品应经网络安全审查

《网络产品和服务安全审查办法(试行)》自2017年6月1日起实施,旨在提高网络产品和服务安全可控水平,防范网络安全风险,维护国家安全。《办法》指出,关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。

6月1日起我国统一网信执法证据标准

国家互联网信息办公室日前公布的《互联网信息内容管理行政执法程序规定》,将自2017年6月1日起正式施行。国家互联网信息办公室有关负责人表示,出台《规定》旨在规范和保障互联网信息内容管理部门依法履行行政执法职责,正确实施行政处罚,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展。

 

Posted in 校园网安全 | 22 Comments »

关于部署应对网络勒索病毒安全防护措施和加强安全信息上报的通知

Posted by 王宇 on 15th 五月 2017

各位师生,大家好:

2017年5月12日20时左右,全球爆发大规模勒索软件感染事件。根据教育部统一要求,为控制病毒感染扩散,确保我校不发生连片式的网络安全事件,现就应对网络勒索病毒安全防护措施和加强安全信息上报的有关事项通知如下:

一、部署安全防护措施

各位师生应系统排查本人电脑终端状态,检查Windows系统补丁升级状况,参照《附件一:防范网络勒索病毒的安全措施建议》做好安全防护措施。

二、加强安全信息上报

如发现勒索病毒感染情况,应立即断开网络,第一时间上报漏洞感染情况,并参照《附件二:感染网络勒索病毒的应急处置建议》进行处置,漏洞修复后方可恢复联网。

信息上报:信息化建设与网络安全办公室 024-83687662,赵佳鑫 13188588860

技术支持:信息技术研究院 024-83681656,王宇 13840230506,王卫东 18602451042

信息技术研究院[信息化建设与网络安全办公室]

2017年5月15日

附件一:防范网络勒索病毒的安全措施建议

附件二:感染网络勒索病毒的应急处置建议

网络勒索病毒防范帮助手册

永恒之蓝系统漏洞在线检测发现,推荐使用!

Posted in 校园网安全 | 26 Comments »

关于加强安全防护措施应对近期网络勒索病毒的安全提示

Posted by 王宇 on 13th 五月 2017

信息技术研究院(网络中心)从高教信息化分会网络安全工作组、360安全、安天科技等渠道获知,近期国内外爆发了基于Windows平台的勒索病毒感染事件,主机内重要文件被加密,并显示类似下图所示的勒索界面:

经初步调查,此类勒索病毒是利用基于445端口传播的Windows系统SMB漏洞进行感染,而不是此前通常的携带病毒Office文档的电子邮件传播(参见:http://network.neu.edu.cn/archives/2272)。被勒索病毒感染后,主机内大量重要文件(如Word、Excel等)被加密,由于加密强度高解密难度大,只能通过支付高额的比特币赎金才能解密恢复文件,对被感染主机威胁严重。远程利用代码和4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用黑客工具包有关。其中的ETERNALBLUE模块是SMB漏洞利用程序,可以攻击开放445端口的 Windows主机,实现远程命令执行。微软在今年3月份发布的MS17-010补丁,修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传,除了捆绑勒索病毒,还发现有植入远程控制木马等其他多种远程利用方式。
根据安全公司统计,目前国内平均每天有不低于5000台机器遭到基于ETERNALBLUE的远程攻击,并且攻击规模还有进一步扩大趋势。
此次利用的SMB漏洞影响以下未自动更新的操作系统:
Windows XP/Windows 2000/Windows 2003
Windows Vista/Windows Server 2008/Windows Server 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016

我们在做好校园网络层面可实施的各项安全防护措施的基础上,建议师生加强安全防护措施,降低被网络勒索病毒感染风险。具体个人主机防护措施建议如下:
1.升级操作系统补丁到最新(推荐)
通过Windows官方渠道、主要安全厂商安全客户端等,将Windows主机系统更新升级到最新状态;
安装可信安全厂商安全防护软件,Windows系统设置补丁自动升级;
保持良好的网络使用习惯(不随意打开不明来源的Office文档、可执行文件;使用Chrome、Firefox、360安全等安全防护功能较好的浏览器;不打开来源不明的网络连接;不下载和安装来源不明的主机应用和移动应用)。
2.临时设置防火墙和取消文件共享设置(不推荐,临时缓解):
若不具备升级Windows补丁到最新的条件,建议启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。

另外,对于有大量重要文档信息的主机,请经常进行重要文件备份,并将备份介质离线保存(也就是将备份的硬盘断开与主机的USB等连接来存放);停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统,及时升级操作系统补丁到最新

参考链接:
https://technet.microsoft.com/zh-cn/library/security/MS17-010

关于近日大量学校电脑感染勒索病毒的说明

信息技术研究院(网络中心)作为学校校园网络软硬件建设和信息化建设技术支持的主要部门,将竭诚为师生服务!

信息技术研究院(网络中心)

2017年5月13日

PS:

MS17-010漏洞相关补丁升级包参见:https://technet.microsoft.com/zh-cn/library/security/MS17-010

如仍在使用Windows XP、Windows 2003等微软公司已停止支持的操作系统的用户,请参考如下微软公告进行补丁更新:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Posted in 校园网安全 | 40 Comments »

转发:关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告

Posted by 王宇 on 16th 四月 2017

原文地址:http://www.cnvd.org.cn/webinfo/show/4110

安全公告编号:CNTA-2017-0029

北京时间4月14日晚间,Shadow Brokers(影子经纪人)组织在互联网上发布了此前获得的部分方程式黑客组织(Equation Group)的文件信息,包含针对Windows操作系统以及其他服务器系统软件的多个高危漏洞利用工具。由于其发布的攻击工具集成化程度高、部分攻击利用方式较为高效,有可能引发互联网上针对服务器主机的大规模攻击。

一、事件情况简要分析

Shadow Brokers发布了黑客使用的大量针对Windows操作系统、银行专用系统以及其他广泛应用的服务器软件产品的工程化工具,涉及的产品包括:Windows操作系统及其IIS和SMTP客户端服务组件、IBM Lotus办公服务组件、MDaemon邮件系统、IMAIL邮件系统等,其中威胁较大的漏洞利用工具如下:

此外, Shadow Brokers发布的数据还包括一些演示文稿和excel表格,方程式攻击了中东一些使用了 SWIFT结算系统的银行信息系统。CNVD对上述已知的或未收录漏洞的综合评级均为“高危”。

二、应急处置建议

根据微软官方发布的声明称,上述表项中涉及的大部分漏洞已在微软支持的产品中修复,微软官方公告的解决方案对应表如下表所示。由于微软已经停止对Windows XP和Windows Server 2003的安全更新,因此对于XP和2003用户以及其他未打补丁的用户直接构成攻击威胁。

表 微软官方公告解决方案对应表

截止4月16日要本公告发布时,其他涉及的邮件系统厂商和办公系统软件厂商还未对发布的漏洞攻击情况进行回应。考虑到近期有可能出现的攻击威胁,CNVD建议相关单位和个人用户做好以下措施:

(一)关闭135、137、139、445、3389等端口的外部网络访问权限,在服务器上关闭不必要的上述服务端口;

(二)加强对135、137、139、445、3389等端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;

(三)做好本单位Window XP和Windows server 2003主机的排查,使用替代操作系统;

(四)IMAIL、IBMLotus、MDaemon等软件产品用户需要及时关注厂商安全更新,及时修复。

附:参考链接:

http://thehackernews.com/2017/04/window-zero-day-patch.html?m=1&from=groupmessage

https://github.com/misterch0c/shadowbroker/blob/master/file-listing

https://github.com/x0rz/EQGRP_Lost_in_Translation/

https://yadi.sk/d/NJqzpqo_3GxZA4

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0(微软发布的官方安全公告)

 

Posted in 校园网安全 | 10 Comments »

网络安全小水滴:普通员工也是黑客攻击的目标

Posted by 王宇 on 22nd 一月 2017

Posted in 校园网安全 | 28 Comments »

大学生防骗信息宣讲,供参考

Posted by 王宇 on 12th 十二月 2016

Posted in 校园网安全 | 8 Comments »