11 月 19 - 20 日 Apache Pulsar 社区年度盛会来啦,立即报名! 了解详情
写点什么

QSecurity 月度安全评论(2013 年 4 月):史上最大 DDoS 攻击、思科存漏洞、TP-Link 路由器后门、Apple ID 安全问题

  • 2013-05-09
  • 本文字数:3351 字

    阅读完需:约 11 分钟

QSecurity 月度安全评论本月起恢复发布,InfoQ 中文站联合 360 网站安全检测团队对互联网相关的安全问题进行月度复盘,旨在提高开发人员的安全意识,减少安全事故的发生。本期的安全事件如下:

1. 300Gbps!Spamhaus 创造 DDoS 历史

3 月 26 日,对 Spamhaus 的 DDoS 攻击流量超过了 300Gbps!攻击流量吞没了整个网站。诸如 Boing Boing 和 Register 这样的媒体纷纷宣布互联网历史上最大规模 DDoS 攻击的到来。在接受 BBC 的采访时,Spamhuas 的执行官 Linford 说,他们的团队正在竭尽全力恢复系统上线。“我们已经被连续打了一个礼拜了,”Linford 说,“但是我们始终站在那里,没有倒下。你不能想象我们的工程师为此付出了多大的努力——类似这样的进攻可以吞噬掉所有的一切”。

2. 思科被指存技术漏洞 严重威胁我国金融信息安全

据哥伦比亚大学研究人员发布的调查报告显示,多年来思科始终存在网络安全隐患。比如其 VoIP 电话(网络电话)存在严重安全漏洞,黑客通过植入恶意代码便可窃取到思科 VoIP 电话的通话内容。对此,思科给出的安全防护解释也未能让研究人员满意,而这种难以克服的漏洞会给网络安全带来困扰。 从金融业情况来看,中国四大银行及各城市商业银行的数据中心全部采用思科设备,思科所占有的中国金融行业市场份额竟然高达 70% 以上。这一触目惊心的数据背后,在反思之余更显示出中国金融业信息安全的脆弱现状。

3. Facebook 爆出新的 OAuth 漏洞

还记得上次 Facebook 的 OAuth 漏洞吗?该漏洞允许攻击者不需要与受害者有任何互动即可劫持账户。之后,Facebook 安全团队修复了这个漏洞。 最近,Goldshlager 绕过 Facebook 的补丁,再次攻破 Facebook 的 OAuth 的机制。他在一篇博客中记录了完整的入侵 Facebook 的过程。

4. TP-link 被曝路由器存在后门漏洞

近日,TP-LINK 路由器部分型号被曝存在一个有可能被攻击者利用,并且会对用户造成严重威胁的后门漏洞。建议采取紧急防护措施:1. 关闭 WAN 管理接口,例如将 WAN 口远端管理 IP 设置为 0.0.0.0,或者可信任 IP;2. 在 LAN 口设置中,只允许可信任的 MAC 地址访问管理界面。

5. 第三方公司追踪用户 cookie 收集用户隐私

第三方公司通过加放代码窃取用户 cookie。一般情况下,用户电脑中的 cookie 只会被放置它的网站所读取,但这些第三方公司偷偷进行跟踪用户,通过各种手段获取的用户详细信息,更精准地投放广告。

6. 微软部分 Xbox Live”高调”员工的账号遭遇黑客访问

微软 3 月 22 日确认,不少在职和前 Xbox Live“高调”员工的账号遭遇了黑客的登陆访问。这是个黑客组织,先前也涉及了著名的“Swatting”DoS 攻击事件,不久之前该组织还以欺骗 SWAT 特别行动小组的方式令警方作出对假报案的响应闯入记者 Brian Krebs 家中。微软在致媒体的声明中说:“我们意识到一组黑客正利用某些社会工程技术危害到部分高级 Xbox LIVE 账号,这些账号是在职和前职员持有的。”

7. Apple ID 可绕过安全提示问题直接修改密码漏洞

据 The Verge 网站报道,Apple ID 登陆系统被曝有重大安全漏洞,任何拥有用户邮箱地址和生日信息的攻击者都可以重置 Apple ID 的密码。当然,那些开启两步认证的用户不会受到该漏洞的影响。The Verge 网站已经获得了很详细的攻击步骤,只需更改 URL 地址即可完成。因为安全问题,具体的实施方法没有被公布出来。苹果也没有对这篇报道做出回应。担心自己 Apple ID 安全问题的用户可以登陆后更改生日信息。两步认证系统昨天正式推出,该系统能大大增加安全性。

8. 360 网站检测团队发现 OWASP 开源 WAF NAXSI 绕过漏洞

该问题出现在 naxsi_src/naxsi_utils.c 代码中 naxsi_unescape_uri 函数,虽然 NAXSI 对 nginx 原代码做过处理仍然存在绕过漏洞。

9. 黑客利用 Evernote 账号控制服务器

黑客使用流行的笔记应用程序 Evernote 进行命令控制服务器,下达指令使感染的计算机安装恶意软件。TrendMicro 发现恶意软件检测为“BKDR_VERNOT.A”试图使用 Evernote 命令与控制服务器进行通信。恶意软件通过一个可执行文件,安装恶意软件提供的动态链接库。然后安装程序捆绑成一个合法的正在运行的 DLL 进程。安装完成后,BKDR_VERNOT.A 会提供命令选项,如下载,执行和几种重命名文件的后门。然后,它从受感染的系统中收集信息,包括:其操作系统,时区,用户名,计算机名,登入记录及用户群组等详细信息。

10. 黑客用密码“root”入侵数十万台终端制作普查报告

2012 年 3 月到 12 月,“卡尔纳”僵尸网络所控制的互联网终端的活跃程度,这 42 万台设备均遭遇同一名黑客非法侵入。此刻,在地球的某个角落,一名黑客的情绪有些不稳定。他既自豪又担忧,因为他做了件前无古人的事情,但却是非法的。2012 年 3 月至 12 月,这名匿名的黑客用自己的方式非法入侵数十万台电脑,获取了世界互联网的抽样数据,并于近期发表一份结论报告。

11. 日本导航网站 goo 被黑客攻破 10 万会员账号泄露

4 月 9 日消息,据国外媒体报道,日本导航网站 goo,上周三传出遭黑客攻击的事件。黑客尝试以违法手段破解会员密码,被害情形在调查期间中不断扩大,截至 4 月 4 日已证实约 10 万会员帐号密码被破解,信用卡、银行帐户与个人资料都有泄露疑虑。经分析攻击 log 后发现,黑客主要使用字典攻击 (dictionary attack) 方式破解会员帐号密码,分批测试成对的帐号密码能否登入,如果不能就立刻送出下一组持续测试。之所以判定帐号密码不是从 goo 直接流出,是因为一部分文字中使用了 goo 服务中不允许使用的字符,证明黑客是利用从某处得来的其他网站帐号密码尝试登入 goo。

12. 全球域名去年底达到 2.52 亿个

北京时间 4 月 9 日消息,根据最近 Verisign 公布的报告,2012 年四季度全球域名注册量超 2.5 亿,总计全球达 2.52 亿个。“.com”域名占了大多数。到 12 月底时“.com”域名达 1.062 亿,“.net”域名达 1490 万台。在新注册的域名中“.com”和“.net”也占了大多数。2012 年四季度,“.com”和“.net”注册量达 800 万,上年同期为 790 万。“.com”和“.net”网站中约 21% 是单页网站,15% 只是注册了但没有指向网页。除了“.com”和“.net”两大域名,国家顶级域名量环比增长 5%,同比增长 21.6%,总量达 1.102 亿。中国国家级域名占了增长的大多数。中国已经是第七大顶级域名。前七大顶级域名分别为:.com、.de(德国)、.net、.tk(南太平洋岛国托克劳 Tokelau)、.uk(英国)、.org.cn(中国)、.info、.nl(荷兰)、.ru(俄罗斯)。最让人惊奇的可能是.tk 域名,该域名可以自由免费注册,它被钓鱼网站大量利用。

13. 我国将立法禁止电信互联网企业泄露用户信息

日前,根据工信部的公告,我国将出台相关法规,禁止电信和互联网企业泄露用户信息,这样的话,困扰广大用户的个人信息泄露问题有望逐步解决,相关责任人将可得到严惩。

14. 黑客通过 Java 0day 漏洞偷盗比特币

美国东部时间 4 月 10 日晚上,一位名为 Mt.Gox 的用户被人利用Java 漏洞盗走了34 比特币,虽然数量不多,但它的价值也相当于5 千美元(根据目前的比特币美元兑换率)。他在比特币论坛上描述了整个过程,这种入侵方法非常典型:有人首先在聊天窗口发布了链接,声称 Mt.Gox 将宣布交易litecoins(另一种受欢迎的数字货币),这个链接当然是恶意链接,它先载入 Java applet ,利用 Java 0day漏洞进行跨站脚本注入攻击,它会下载恶意程序(AdobeUpdate-Setup1.84.exe)然后自动执行,整个攻击专为 Mt.Gox(最大的比特币交易平台)用户定制,它记录了所有的密码,登录进比特币钱包,窃取比特币

15. 黑客演示通过 Android 手机遥控劫持飞机

飞行员 Hugo Teso 本身即精通 IT 技术也是一名飞行员,他将自己的这两种兴趣结合到了一起,结果他发现航空安全系统和通信协议的安全非常让人担忧。他在 Hack In The Box Conference 这个会议中演示了如何使用一台 Android 设备成功遥控劫持一架飞机。

作者介绍

360 网站安全检测 @360 网站安全检测)是奇虎 360 旗下为网站提供主动保护的服务平台。是全国首家为网站提供一站式全面的漏洞检测、挂马检测和篡改检测服务平台。

360 网站安全检测团队拥有多名国内顶尖的安全技术工程师。他们在安全领域积累的多年行业经验也为 360 网站安全检测的整体系统架构奠定了夯实的服务基础,为用户提供了良好、稳定的产品使用体验。

2013-05-09 02:182735

评论

发布
暂无评论
发现更多内容

【TcaplusDB知识库】TcaplusDB技术支持介绍

数据人er

TDengine ×英特尔®边缘洞见软件包 加速传统行业的数字化转型

TDengine

数据库 tdengine 时序数据库

云上竞技,360°见证速度与激情

天翼云开发者社区

高并发、高可用、弹性扩展,天翼云护航企业云上业务

天翼云开发者社区

云计算 服务器

【TcaplusDB知识库】查看业务密码

数据人er

【TcaplusDB知识库】批量复制游戏区

数据人er

【TcaplusDB知识库】WebClient用户如何读取和修改数据

数据人er

IDC:阿里云获2021中国数据治理平台市场份额第一

阿里云大数据AI技术

数据挖掘 大数据 数据采集

浅谈 SAP 软件里的价格折扣设计原理

Jerry Wang

SAP ERP pricing 企业管理软件 6月月更

CRM 全栈开发工具 WebClient UI Workbench 的设计细节介绍

Jerry Wang

CRM webUI SAP 全栈开发 6月月更

【TcaplusDB知识库】TcaplusDB限制条件介绍

数据人er

【TcaplusDB】祝大家端午安康!

数据人er

中国SSD行业企业势力全景图

ToB行业头条

【TcaplusDB知识库】修改业务修改集群cluster

数据人er

天翼云Web应用防火墙(边缘云版)通过首批可信认证

天翼云开发者社区

这个简单的小功能,半年为我们产研团队省下213个小时

阿里云云效

云计算 阿里云 云原生 产品开发 研发

中能融合携手天翼云打造“能源大脑”

天翼云开发者社区

云计算 大数据 安全

【TcaplusDB知识库】TDR表GOSDK示例代码-查询数据

数据人er

AI落地的新范式,就“藏”在下一场软件基础设施的重大升级里

九章云极DataCanvas

ShardingSphere-Proxy 前端协议问题排查方法及案例

SphereEx

数据库 ShardingSphere

大型体育赛事与犯罪风险

情报分析师

数据分析 警务技术 警务安全 风险分析 犯罪预防

【TcaplusDB知识库】查看tcapdir目录服务器

数据人er

直播预告|大咖共话:汽车行业数字化转型趋势与对策

3DCAT实时渲染

【世界海洋日】TcaplusDB号召你一同保护海洋生物多样性

数据人er

Curve 替换 Ceph 在网易云音乐的实践

网易数帆

分布式 云原生 存储 Ceph curve

终于有人用7部分讲明白了Spring Security OAuth2.0认证授权全过程

Java全栈架构师

Java spring 程序员 面试 springsecurity

提升可观测性 - 业务指标监控实践

bilibili游戏技术

QSecurity月度安全评论(2013年4月):史上最大DDoS攻击、思科存漏洞、TP-Link路由器后门、Apple ID安全问题_安全_360网站安全检测团队_InfoQ精选文章