QSecurity 月度安全评论（2013 年 4 月）：史上最大 DDoS 攻击、思科存漏洞、TP-Link 路由器后门、Apple ID 安全问题

QSecurity 月度安全评论本月起恢复发布，InfoQ 中文站联合 360 网站安全检测团队对互联网相关的安全问题进行月度复盘，旨在提高开发人员的安全意识，减少安全事故的发生。本期的安全事件如下：

1. 300Gbps!Spamhaus 创造 DDoS 历史

3 月 26 日，对 Spamhaus 的 DDoS 攻击流量超过了 300Gbps！攻击流量吞没了整个网站。诸如 Boing Boing 和 Register 这样的媒体纷纷宣布互联网历史上最大规模 DDoS 攻击的到来。在接受 BBC 的采访时，Spamhuas 的执行官 Linford 说，他们的团队正在竭尽全力恢复系统上线。“我们已经被连续打了一个礼拜了，”Linford 说，“但是我们始终站在那里，没有倒下。你不能想象我们的工程师为此付出了多大的努力——类似这样的进攻可以吞噬掉所有的一切”。

2. 思科被指存技术漏洞 严重威胁我国金融信息安全

据哥伦比亚大学研究人员发布的调查报告显示，多年来思科始终存在网络安全隐患。比如其 VoIP 电话（网络电话）存在严重安全漏洞，黑客通过植入恶意代码便可窃取到思科 VoIP 电话的通话内容。对此，思科给出的安全防护解释也未能让研究人员满意，而这种难以克服的漏洞会给网络安全带来困扰。 从金融业情况来看，中国四大银行及各城市商业银行的数据中心全部采用思科设备，思科所占有的中国金融行业市场份额竟然高达 70% 以上。这一触目惊心的数据背后，在反思之余更显示出中国金融业信息安全的脆弱现状。

3. Facebook 爆出新的 OAuth 漏洞

还记得上次 Facebook 的 OAuth 漏洞吗？该漏洞允许攻击者不需要与受害者有任何互动即可劫持账户。之后，Facebook 安全团队修复了这个漏洞。 最近，Goldshlager 绕过 Facebook 的补丁，再次攻破 Facebook 的 OAuth 的机制。他在一篇博客中记录了完整的入侵 Facebook 的过程。

4. TP-link 被曝路由器存在后门漏洞

近日，TP-LINK 路由器部分型号被曝存在一个有可能被攻击者利用，并且会对用户造成严重威胁的后门漏洞。建议采取紧急防护措施:1. 关闭 WAN 管理接口，例如将 WAN 口远端管理 IP 设置为 0.0.0.0，或者可信任 IP；2. 在 LAN 口设置中，只允许可信任的 MAC 地址访问管理界面。

5. 第三方公司追踪用户 cookie 收集用户隐私

第三方公司通过加放代码窃取用户 cookie。一般情况下，用户电脑中的 cookie 只会被放置它的网站所读取，但这些第三方公司偷偷进行跟踪用户，通过各种手段获取的用户详细信息，更精准地投放广告。

6. 微软部分 Xbox Live”高调”员工的账号遭遇黑客访问

微软 3 月 22 日确认，不少在职和前 Xbox Live“高调”员工的账号遭遇了黑客的登陆访问。这是个黑客组织，先前也涉及了著名的“Swatting”DoS 攻击事件，不久之前该组织还以欺骗 SWAT 特别行动小组的方式令警方作出对假报案的响应闯入记者 Brian Krebs 家中。微软在致媒体的声明中说：“我们意识到一组黑客正利用某些社会工程技术危害到部分高级 Xbox LIVE 账号，这些账号是在职和前职员持有的。”

7. Apple ID 可绕过安全提示问题直接修改密码漏洞

据 The Verge 网站报道，Apple ID 登陆系统被曝有重大安全漏洞，任何拥有用户邮箱地址和生日信息的攻击者都可以重置 Apple ID 的密码。当然，那些开启两步认证的用户不会受到该漏洞的影响。The Verge 网站已经获得了很详细的攻击步骤，只需更改 URL 地址即可完成。因为安全问题，具体的实施方法没有被公布出来。苹果也没有对这篇报道做出回应。担心自己 Apple ID 安全问题的用户可以登陆后更改生日信息。两步认证系统昨天正式推出，该系统能大大增加安全性。

8. 360 网站检测团队发现 OWASP 开源 WAF NAXSI 绕过漏洞

该问题出现在 naxsi_src/naxsi_utils.c 代码中 naxsi_unescape_uri 函数，虽然 NAXSI 对 nginx 原代码做过处理仍然存在绕过漏洞。

9. 黑客利用 Evernote 账号控制服务器

黑客使用流行的笔记应用程序 Evernote 进行命令控制服务器，下达指令使感染的计算机安装恶意软件。TrendMicro 发现恶意软件检测为“BKDR_VERNOT.A”试图使用 Evernote 命令与控制服务器进行通信。恶意软件通过一个可执行文件，安装恶意软件提供的动态链接库。然后安装程序捆绑成一个合法的正在运行的 DLL 进程。安装完成后，BKDR_VERNOT.A 会提供命令选项，如下载，执行和几种重命名文件的后门。然后，它从受感染的系统中收集信息，包括：其操作系统，时区，用户名，计算机名，登入记录及用户群组等详细信息。

10. 黑客用密码“root”入侵数十万台终端制作普查报告

2012 年 3 月到 12 月，“卡尔纳”僵尸网络所控制的互联网终端的活跃程度，这 42 万台设备均遭遇同一名黑客非法侵入。此刻，在地球的某个角落，一名黑客的情绪有些不稳定。他既自豪又担忧，因为他做了件前无古人的事情，但却是非法的。2012 年 3 月至 12 月，这名匿名的黑客用自己的方式非法入侵数十万台电脑，获取了世界互联网的抽样数据，并于近期发表一份结论报告。

11. 日本导航网站 goo 被黑客攻破 10 万会员账号泄露

4 月 9 日消息，据国外媒体报道，日本导航网站 goo，上周三传出遭黑客攻击的事件。黑客尝试以违法手段破解会员密码，被害情形在调查期间中不断扩大，截至 4 月 4 日已证实约 10 万会员帐号密码被破解，信用卡、银行帐户与个人资料都有泄露疑虑。经分析攻击 log 后发现，黑客主要使用字典攻击 (dictionary attack) 方式破解会员帐号密码，分批测试成对的帐号密码能否登入，如果不能就立刻送出下一组持续测试。之所以判定帐号密码不是从 goo 直接流出，是因为一部分文字中使用了 goo 服务中不允许使用的字符，证明黑客是利用从某处得来的其他网站帐号密码尝试登入 goo。

12. 全球域名去年底达到 2.52 亿个

北京时间 4 月 9 日消息，根据最近 Verisign 公布的报告，2012 年四季度全球域名注册量超 2.5 亿，总计全球达 2.52 亿个。“.com”域名占了大多数。到 12 月底时“.com”域名达 1.062 亿，“.net”域名达 1490 万台。在新注册的域名中“.com”和“.net”也占了大多数。2012 年四季度，“.com”和“.net”注册量达 800 万，上年同期为 790 万。“.com”和“.net”网站中约 21% 是单页网站，15% 只是注册了但没有指向网页。除了“.com”和“.net”两大域名，国家顶级域名量环比增长 5%，同比增长 21.6%，总量达 1.102 亿。中国国家级域名占了增长的大多数。中国已经是第七大顶级域名。前七大顶级域名分别为：.com、.de（德国）、.net、.tk（南太平洋岛国托克劳 Tokelau）、.uk（英国）、.org.cn（中国）、.info、.nl（荷兰）、.ru（俄罗斯）。最让人惊奇的可能是.tk 域名，该域名可以自由免费注册，它被钓鱼网站大量利用。

13. 我国将立法禁止电信互联网企业泄露用户信息

日前，根据工信部的公告，我国将出台相关法规，禁止电信和互联网企业泄露用户信息，这样的话，困扰广大用户的个人信息泄露问题有望逐步解决，相关责任人将可得到严惩。

14. 黑客通过 Java 0day 漏洞偷盗比特币

美国东部时间 4 月 10 日晚上，一位名为 Mt.Gox 的用户被人利用Java 漏洞盗走了34 比特币，虽然数量不多，但它的价值也相当于5 千美元（根据目前的比特币美元兑换率）。他在比特币论坛上描述了整个过程，这种入侵方法非常典型：有人首先在聊天窗口发布了链接，声称 Mt.Gox 将宣布交易litecoins（另一种受欢迎的数字货币），这个链接当然是恶意链接，它先载入 Java applet ，利用 Java 0day漏洞进行跨站脚本注入攻击，它会下载恶意程序（AdobeUpdate-Setup1.84.exe）然后自动执行，整个攻击专为 Mt.Gox（最大的比特币交易平台）用户定制，它记录了所有的密码，登录进比特币钱包，窃取比特币

15. 黑客演示通过 Android 手机遥控劫持飞机

飞行员 Hugo Teso 本身即精通 IT 技术也是一名飞行员，他将自己的这两种兴趣结合到了一起，结果他发现航空安全系统和通信协议的安全非常让人担忧。他在 Hack In The Box Conference 这个会议中演示了如何使用一台 Android 设备成功遥控劫持一架飞机。

作者介绍

360 网站安全检测（ @360 网站安全检测）是奇虎 360 旗下为网站提供主动保护的服务平台。是全国首家为网站提供一站式全面的漏洞检测、挂马检测和篡改检测服务平台。

360 网站安全检测团队拥有多名国内顶尖的安全技术工程师。他们在安全领域积累的多年行业经验也为 360 网站安全检测的整体系统架构奠定了夯实的服务基础，为用户提供了良好、稳定的产品使用体验。