一、安全漏洞（来自漏洞监测平台）

6月份上半月，根据温州市网络与信息安全信息通报中心及云监测平台监测，我校网站和应用系统暂无出现高中危漏洞情况。

根据国家信息安全漏洞共享平台（CNVD）的漏洞通报，6月份上半月主要存在如下安全漏洞：

（1）Linux kernel存在4个拒绝服务漏洞

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。此次漏洞包括4个，对应CNVD-2017-07509、CNVD-2017-07508、CNVD-2017-07507、CNVD-2017-07386，攻击者利用漏洞，可导致系统拒绝服务，且在符合一定利用条件下可导致远程命令执行，包括传输层的TCP、DCCP、SCTP以及网络层的IPv4和IPv6协议均受影响，其中以CNVD-2017-07386最为严重。

漏洞详情及修复方法见：??????show/4168

（2）Windows LNK文件远程代码执行漏洞和Windows搜索远程命令执行漏洞

l Windows LNK文件远程代码执行漏洞

lnk文件是用于指向其他文件的一种文件，通常称为快捷方式文件，且以快捷方式存放在硬盘上，以方便使用者快速的调用。Microsoft Windows在处理恶意的快捷方式（.lnk）文件时存在远程代码执行漏洞，攻击者可以通过可移动驱动器（U盘）或远程共享等方式将包含恶意LNK文件和与之相关的恶意二进制文件传播给用户。当用户通过Windows资源管理器或任何能够解析LNK文件的程序打开恶意的LNK文件时，与之关联的恶意二进制代码将在目标系统上执行。成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。

l Windows搜索远程命令执行漏洞。

Windows搜索服务（WSS）是windows的一项默认启用的基本服务。允许用户在多个Windows服务和客户端之间进行搜索。Windows搜索处理内存中的对象时，存在远程执行代码漏洞。攻击者向Windows Search服务发送精心构造的SMB消息。从而利用此漏洞提升权限并控制计算机。

漏洞详情及修复方法见：??????show/4167

（3）摄像机制造商福斯康姆Foscam相关产品存在18个安全漏洞

2017年6月7日，安全公司F-Secure发布报告称，中国摄像机制造商福斯康姆Foscam的相关摄像头产品存在18个安全漏洞。主要漏洞有不安全的默认凭据和硬编码凭据,攻击者很容易获得未经授权的访问；多个远程命令注入漏洞；全域可写文件和目录允许攻击者修改代码并获得 root 权限；隐藏的 telnet 功能允许攻击者使用 telnet 在设备和周围网络中的发现其他漏洞；防火墙配置不当漏洞等。综合利用漏洞，攻击者可以访问私人视频,并危及连接到同一本地网络的其他设备，还可以永久替换控制照相机的正常固件, 并能在不被检测到的情况下重新启动。甚至能够远程控制摄像头，并利用这些Iot设备发起大规模DDOS攻击。

漏洞详情及修复方法见：??????show/4161

二、防御情况（来自WAF、防火墙）

1、告警分类统计报表

2、告警分类统计数据

上半月，根据我校WAF防护结果统计，主要的攻击威胁如下

1）服务器信息泄露，共拦截964328次（主要为百度等搜索网站进行爬虫）；

2）恶意扫描：共拦截22899次；

2）HTTP协议违背，共拦截14437次；

3）SQL注入攻击，共拦截3506次。

三、下半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告，上半月本周本周境内感染网络病毒的主 机数量约为 35.85 万个，其中包括 境内被木马或被僵尸程序控制的 主机约19.18万以及境内感染飞客 （conficker）蠕虫的主机约 16.67 万。

（1）关于“暗云”木马程序有关情况

 “暗云”系列木马程序通过一系列复杂技术潜伏于用户电脑中，具有隐蔽性较高、软硬件全面兼容、传播性较强、难以清除等特点，且最新的变种“暗云Ⅲ”木马程序可在每次用户开机时从云端服务器下载并更新起功能模块，可灵活变换攻击行为。另外分析发现，“暗云”系列木马程序已具备了流量牟利、发动分布式拒绝服务攻击（以下简称“DDoS攻击”）等能力，具有互联网黑产盈利特性。

截止6月12日，累计发现全球感染该木马程序的主机超过162万台，其中我国境内主机占比高达99.9%，广东、河南、山东等省感染主机数量较多。同时，CNCERT对木马程序控制端IP地址进行分析发现，“暗云Ⅲ”木马程序控制端IP地址10个，控制端IP地址均位于境外，且单个IP地址控制境内主机数量规模均超过60万台。

四、建议防范措施

根据我校6月份上半月整体网络与信息安全情况及外部网络威胁情况，请各学院、各部门做好相应安全措施，建议如下：

1、系统管理员针对 Linux kerne漏洞进行内核升级

2、针对LNK文件远程代码执行漏洞，建议在服务器环境禁用U盘、网络共享及关闭Webclient service        

3、针对Windows搜索远程命令执行漏洞，建议关闭Windows Search服务。

4、针对摄像机漏洞，相关管理人员检查议设备是否在专用本地网络中运行, 并且确保无法从外部网络访问，尽量确保更改所有默认密码并定期检查安全更新。

5、根据“暗云”木马程序的传播特性，建议终端用户近期采取积极的安全防范措施：

1）不要选择安装捆绑在下载器中的软件，不要运行来源不明或被安全软件报警的程序，不要下载运行游戏外挂、私服登录器等软件；

2）定期在不同的存储介质上备份信息系统业务和个人数据。

3）下载360等安全工具进行“暗云”木马程序检测和查杀。