跨站脚本攻击成漏洞“老大” 两成服务器被植入后门

12月21日，360互联网安全中心发布《中国网站安全报告（2015）》，对全年网站漏洞、后门情况，漏洞遭受攻击情况、以及个人信息情况等进行了总体研究，报告显示，目前，4成网站存在漏洞，黑客利用漏洞对8万多家网站进行篡改，两成服务器被植入后门，黑客引导网民前往恶意网站。

上百万网站有漏洞 高危漏洞占两成

2015年全年（截至11月18日），360网站安全检测平台共扫描各类网站231.2万个，较2014年的164.2万个增加了40.8%。其中，扫出存在漏洞的网站101.5万个，占比为43.9%，较2014年的61.7万个增长了64.5%。其中，扫出存在高危漏洞的网站30.8万个，占扫描网站总数的13.3%，较2014年的27.9万个增长了10.4%。

从检测出漏洞的危险等级看，高危漏洞占21.7%，中危漏洞占10.2%，低危漏洞占68.1%。

从漏洞数量来看，360网站安全检测平台全年共扫描发现网站高危漏洞265.1万次，约为2014年462.1万次的一半，平均每月扫出高危漏洞约24.1万次；平均每天扫出高危漏洞约0.8万次。

相比于2014年，高中低危漏洞扫出数量大致相当，由于扫描网站数量大大增加，因此，2015年，高中危漏洞的扫出比例大幅下降。

从漏洞类型来看，从网站漏洞类型上看，跨站脚本攻击（XSS）漏洞、异常页面导致服务器路径泄露、SQL注入漏洞等是2015年最为频繁扫出的漏洞类型。三类安全漏洞之和接近网站所有漏洞检出总次数的一半。其中，跨站脚本攻击漏洞占21.9%、异常页面导致服务器路径泄露占11.8%和SQL注入漏洞占16.0%，这相比2014年，“异常页面导致服务器路径泄露”之漏洞是今年的“黑马”漏洞，超过SQL注入漏洞而跃居第二。

排名	漏洞名称	漏洞级别	扫出次数（万）
1	跨站脚本攻击漏洞	中危	270.7
2	异常页面导致服务器路径泄露	低危	197.9
3	SQL注入漏洞	低危	145.9
4	发现目录启用了自动目录列表功能	低危	75.6
5	SQL注入漏洞（盲注）	高危	70.2
6	IIS短文件名泄露漏洞	低危	69.1
7	Mysql可远程连接	低危	56.5
8	发现服务器启用了TRACE Method	低危	42.4
9	发现目录开启了可执行文件运行权限	低危	36.1
10	Flash配置不当漏洞	低危	17.8

两成服务器有被植入后门 黑客密码也用弱口令

黑客入侵网站后，一般有三类常见攻击行为：一是篡改网站内容；二是植入后门程序，三是通过其他方式骗取管理员权限，进而控制网站或进行拖库。

360互联网安全中心对扫描监测的231万个网站进行大数据分析，存在漏洞的网站中被篡改（不包括被植入后门程序）的网站8.4万个，比2014年的17.7万个下降了52.5%，网站遭篡改情况明显好转。

而从每月数据统计来看，2015年前十一个月平均每个月扫描检出被篡改网站1.6万个，比2014年的3.28万，减少了50.5%。

2015年全年（截至11月18日），360互联网安全中心共对21854台网站服务器进行了网站后门检测，覆盖网站322.3万个，扫描发现约4097台服务器存在后门，比2014年的3465台服务器增加了18.2%，约占所有扫描网站服务器的19%。

2015年全年（截至11月18日）360互联网安全中心已扫出各类网站后门文件样本数量多达858.1万个。其中，SEO后门数量占比最高，达45.0%，其次是一句话木马，占比35.0%，多功能木马占比2.0%。与2014年一句话木马占到了网站后门的69.2%不同，今年恶意SEO后门的占比最高。

（下表给出了2015年感染服务器最多的十个后门及其恶意行为。其中仅一个812Byte后门，便感染了3253台服务器。）

排名	后门名称	后门类型	感染服务器个数	大小	恶意行为描述
1	ASP一句话木马	asp一句话木马	3253	812 Byte	插入到图片中的一句话木马代码，用来远程执行任意asp代码
2	dede一句话木马	Php一句话木马	2561	111 Byte	dede建站系统的一句话木马变形，针对dedecms系统漏洞自动被植入
3	Asp一句话木马变种	asp一句话木马	2531	122 Byte	asp的一句话木马变形，用来远程执行任意asp代码
4	Php一句话木马	Php一句话木马	2459	29 Byte	Php一句话木马，密码511348，黑客可远程执行任意php代码
5	Asp一句话木马变种2	asp一句话木马	2312	92 Byte	asp的一句话木马变形，用来远程执行任意asp代码.可绕过一些专杀
6	隐藏型Asp一句话木马	asp一句话木马	2253	311 Byte	可隐藏自身的一句话木马后门文件。黑客可执行任意asp代码
7	不正常文件包含	Php恶意文件包含	1864	44Byte	包含不正常文件，可执行任意php代码
8	Asp小马	Asp木马	1701	913Byte	Asp小马，可执行系统命令以及删除指定文件
9	PHP加密后门	Php加密后门	1599	135 Byte	php的ddos攻击脚本，用来攻击远程计算机系统
10	Asp seo后门	Asp seo后门	1477	18.5 Kb	Asp seo类木马后门。可生成大量seo类文件

目前，大部门网站后门都暗藏恶意域名链接，这些恶意域名链接会指向一个受黑客控制的恶意网站。下表为2015年网站后门中出现次数最多的10个恶意网站域名。

排名	恶意域名	感染文件数量
1	http://php1.sh1850.com	13437372
2	http:// www.yuanzhangyi.com	8231259
3	http://hb.sb9906.com	7031676
4	http://295544.com	6792239
5	http://news.qu9999.com	4312857
6	http://7609000.com	4275196
7	http://www.8596666.com	3994499
8	http://xksf.awf9.com	3597664
9	http://www.478866.com	3543291
10	http://933947.com	3495562

一般来说，黑客会在植入控制类木马时设置密码，目的是防止其他黑客使用自己植入的后门。但DDoS脚本木马通常则不会设置密码，一般只需要填写要攻击的host和端口，就可以发动流量攻击。

有意思的是，很多网站被成功入侵的原因之一就是管理员使用了弱密码或弱口令。但通过对网站后门的分析研究也发现，黑客在设置后门程序密码时，也会习惯性的使用一些常见密码。

（下表就列出了2015年检出的网站后门中，使用率最高的10个密码及其被扫出的次数。）

排名	密码	使用次数	排名	密码	使用次数
1	alihack.com	280428	6	pass	27721
2	autoshell	182081	7	zzz	26792
3	c	124390	8	ninja	23767
4	sb	57645	9	#	12620
5	semhat	41589	10	diaosi	12575

因漏洞 个人信息泄露将雪崩出现

2015年，关于网站被拖库、撞库的新闻时时见诸于各类媒体。记者根据报告统计显示，在2015年（截至2015年11月18日）中国最大的漏洞信息响应平台补天平台收录的网站漏洞中，共有1410个漏洞可能造成网站上的个人信息泄露，这些漏洞共涉及网站1282个，可能泄露的个人信息量（本章下文简称泄露信息量）高达55.3亿条。这一数字较2014年的23.6亿条翻了一倍还多。如果按照中国网民总数为6.5亿计算，这一数字也就意味着，仅仅在2015年这一年，平均每个中国网民就至少可能泄漏了8条以上的个人信息。

报告指出，目前，个人信息的泄漏已经成为电信骚扰和网络盗号、网络诈骗等网络犯罪频发的首要原因。越来越多的黑客和犯罪分子参与到个人信息的盗窃和交易当中。未来三至五年内，个人信息的泄漏可能仍将呈现不可逆的，雪崩式的增长。

在万物互联时代，物联网、车联网、互联网+金融、O2O创业等领域方兴未艾，事实证明，

厂商重视客户端应用界面的快速上线，而忽略了应用背后常规、基础的安全保障功能，以致对安全投入成本跟不上，导致大量应用及网站服务器端漏洞曝出。

专家说法：大数据保障网络安全

裴智勇博士介绍， 网站漏洞通常为事件型漏洞和通用型漏洞，事件性漏洞不易被自身监测。网站加入补天平台，通常意味着网站会安排专人对补天平台报告的漏洞进行响应和处理，但是，统计显示，加入补天后，网站信息漏洞呈直线下降趋势，安全性大大提高。在2015年被报告漏洞的备案网站中，有22.0%的网站已加入补天平台，还有近八成的网站未加入。

裴智勇博士介绍，，2015年，“数据驱动安全”的全新技术理念正在逐步取代传统的被动防御、静态防御、孤立防御的技术理念，成为广泛认可的重要的网络安全发展趋势，并且已经取得了一系列的重要成果。威胁情报将是未来一两年内，最具发展潜力的新兴安全服务技术。人工智能、机器学习以及大数据可视化等一系列新兴的网络安全技术，将成为网络安全企业竞争力的核心体现。

原文发布时间为：2015-12-24

本文来自云栖社区合作伙伴至顶网，了解相关信息可以关注至顶网。