站内搜索:

关于2019年第三季度教育系统网络与信息安全情况的通报


    日期:2019-12-27

各市教育局,各高等学校,厅属各单位:

2019年第三季度,我省教育系统网络运行总体稳定,但部分教育行政部门和学校的信息系统(网站)仍多次出现弱口令、信息泄露、SQL注入等安全事件,第三季度共监测发现安全事件340起,比2019年第二季度增加109起。对监测发现的安全事件,我们第一时间通过工作平台(http://gzpt.sdei.edu.cn)进行了通知,对未在规定时间进行处置的进行了书面告知。为进一步加强教育系统网络与信息安全管理,现将第一季度安全漏洞情况通报如下:

一、弱口令漏洞

共发现104次。弱口令指的是仅包含简单数字和字母的口令,例如“abcdef”“123456”等,很容易被破解,黑客可以轻易进入系统获取和篡改数据,而安全设施很难发现。涉及单位:山东师范大学、山东财经大学、青岛农业大学、青岛大学、山东建筑大学、山东科技大学、中国石油大学、山东大学、山东体育学院、山东中医药大学、山东交通职业学院、聊城职业技术学院、齐鲁工业大学、日照职业技术学院、济南大学、山东政法学院、泰山医学院、山东交通学院、德州职业技术学院、滨州医学院、山东农业大学、山东胜利职业学院、淄博职业学院、山东工商学院、济宁职业学院、山东水利职业学院、烟台大学、山东工业职业学院、中国海洋大学、济宁医学院、青岛恒星科技学院、山东管理学院、山东商务职业学院、聊城市教育局、青岛市教育局、济南市教育局、德州市教育局、滕州市教育局、临沂市教育局。

二、信息泄露漏洞

共发现62次。主要是网站发布信息时主动泄露个人身份证号等敏感信息,也包括服务器中源代码等信息可以被直接下载利用导致服务器配置、数据库连接等敏感信息泄露。涉及单位:山东师范大学、山东财经大学、青岛大学、山东科技大学、莱芜职业技术学院、山东大学、山东理工大学、齐鲁师范学院、山东政法学院、东营职业学院、青岛黄海学院、山东胜利职业学院、威海职业学院、泰山学院、青岛科技大学、青岛求实职业技术学院、潍坊工商职业学院、威海海洋职业学院、山东艺术设计职业学院、山东科技职业学院、潍坊护理职业学院、山东外事翻译职业学院、山东省广播电视大学、潍坊科技学院、聊城市教育局、青岛市教育局、济南市教育局。

三、SQL注入漏洞

共发现34次。即黑客通过把SQL(数据库操作语言)语句插入存在漏洞的页面,欺骗服务器执行恶意命令,取得对数据库的操作权限,以达到获取和篡改数据的目的。涉及单位:山东师范大学、青岛农业大学、青岛大学、中国石油大学、莱芜职业技术学院、山东理工大学、聊城职业技术学院、齐鲁工业大学、山东交通学院、鲁东大学、曲阜师范大学、济南幼儿师范高等专科学校、山东商业职业技术学院、聊城市教育局、青岛市教育局、济南市教育局。

四、逻辑漏洞

共发现27次。逻辑漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误,一般出现在任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额。涉及单位:山东师范大学、齐鲁师范学院、聊城大学东昌学院、齐鲁医药学院、齐鲁理工学院、聊城大学、聊城市教育局、青岛市教育局、济南市教育局。

五、MyKings僵尸网络病毒

共发现21次。MyKings 是一个由多个子僵尸网络构成的多重僵尸网络,2017 年 4 月底以来,该僵尸网络一直积极地扫描互联网上 1433 及其他多个端口,并在渗透进入受害者主机后传播包括 DDoS、Proxy、RAT、Miner 在内的多种不同用途的恶意代码。涉及单位:山东师范大学、山东财经大学、山东中医药大学、齐鲁师范学院、临沂大学、泰山医学院、滨州医学院、菏泽学院、日照市教育局。

六、Webshell漏洞

共发现18次。webshell是指运行于服务器端的一段网页代码,通过某些危险的操作,可获得敏感的技术信息或者通过渗透提权获得服务器的控制权,一般是攻击者控制服务器的一条通道,比一般的入侵更具有隐蔽性。涉及单位:山东师范大学、青岛农业大学、青岛大学、莱芜职业技术学院、山东大学、山东体育学院、山东警察学院、烟台职业学院、聊城市教育局、青岛市教育局。

七、暴力破解漏洞

共发现15次。暴力破解指攻击者枚举其准备的用户名和密码字典同时进行登录,通过响应结果从而得到正确用户名和密码的过程。恶意攻击者可以利用此漏洞,可对网站进行暴力破解攻击。涉及单位:山东师范大学、山东财经大学、青岛大学、山东警察学院、青岛市教育局、济南市教育局。

八、跨站请求伪造漏洞

共发现11次。CSRF(跨站请求伪造)漏洞指攻击者引诱用户访问页面,攻击页面使用该用户身份在第三方网站自动进行操作。攻击者可利用该漏洞诱骗用户在不知情情况下执行未授权操作。涉及单位:山东师范大学、鲁东大学、山东现代大学、聊城市教育局。

九、远程命令执行漏洞

共发现12次。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过发送恶意构造的HTTP数据包,利用该漏洞在受影响服务器上执行系统命令,最终可完全控制该服务器,造成拒绝服务、数据泄露、网站遭篡改等后果。涉及单位:青岛农业大学、青岛大学、山东交通职业学院、德州职业技术学院、山东华宇工学院、曲阜远东职业技术学院、聊城市教育局。

十、未授权访问漏洞

共发现9次。未授权访问指需要安全配置或权限认证的授权页面可以直接访问,导致重要权限可被操作、企业级重要信息泄露。涉及单位:山东师范大学、山东建筑大学、山东科技大学、山东大学、山东理工大学、曲阜师范大学、山东医学高等专科学校、青岛市教育局。

十一、任意文件上传漏洞

共发现7次。任意文件上传指攻击者通过上传可执行脚本功能的文件从而获取服务器端可执行命令的权限。恶意攻击者可以利用此漏洞,可获得网站Webshell权限,可任意操作网站及数据信息。涉及单位:青岛农业大学、山东建筑大学、山东中医药大学、青岛黄海学院、山东农业大学、威海职业学院、济宁市教育局。

十二、暗链漏洞

共发现7次。暗链是黑客通过网站漏洞篡改页面源代码,以隐蔽的方式植入不易被觉察的代码链接到其他网站,达到对其他网站的宣传,因此被植入暗链一般说明网站已被攻陷。暗链往往被链接到黄赌毒、诈骗甚至反动等非法网站,对政府和企事业单位的影响较大。涉及单位:日照职业技术学院、聊城市教育局、济宁市教育局。

十三、跨站脚本漏洞

共发现5次。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括JavaVBScriptActiveXFlash或者普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话cookie等各种内容。涉及单位:东营职业学院、聊城市教育局

十四、目录遍历漏洞

共发现4次。目录遍历是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是Web根目录以外的文件),甚至执行系统命令。涉及单位:山东师范大学、青岛大学、青岛市教育局、济南市教育局。

十五、任意文件读取漏洞

共发现3次。一些网站由于业务需求,往往需要提供文件查看或文件下载功能,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件,这就是文件查看与下载漏洞。涉及单位:山东交通学院、山东华宇工学院、青岛市教育局。

十七、服务器端请求伪造

共发现1次。SSRF(Server-Side Request Forgery:服务器端请求伪造) 是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制,比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等。导致攻击者可以构造形成由服务端发起请求的一个安全漏洞。涉及单位:聊城市教育局。 

请以上安全事件涉及单位确认已修复安全漏洞(具体信息见附件),切实消除安全事件影响。对未及时处理安全事件的单位我厅将再次通报督办或约谈。各单位务必加强组织领导,明确主体责任,增强安全防范意识和防护能力,提高发现问题和处置安全事件的能力。

             附件:安全事件具体信息(略)

 

                                                                                                                                                        山东省教育厅

                                                                                                                                                       2019年10月15日