一、安全漏洞

11月份上半月，根据瓯海区网络与信息安全通报中心通报，近期观测到Satan(撒旦)勒索病毒有入侵趋势，该病毒本体于2010你年出现，经过多次变种，今年来已经成为RaaS（勒索即服务）模式，勒索者可以在暗网内的RaaS平台上付费定制病毒样本，并生成带有恶意宏代码的Word文档或CHM文件，通过诱使点击的方式传播。

根据国家信息安全漏洞共享平台（CNVD）的漏洞通报，11月份上半月主要存在如下安全漏洞：

（1）WordPress WPDB SQL注入漏洞

近日，国家信息安全漏洞共享平台（CNVD）收录了WordPress WPDB SQL注入漏洞（CNVD-2017-32143）。远程攻击者利用该漏洞可造成SQL注入攻击，获取数据库敏感信息。漏洞的详细细节已公开，近期被不法分子利用进行大规模攻击尝试的可能性较大。

WordPress是使用PHP语言和MySQL数据库开发的，世界上使用最广泛的博客系统，并逐步演化成一款内容管理软件。

2017年10月31日，WordPress官方发布了WordPress安全更新并修复了一处SQL注入漏洞，即$wpdb-prepare()函数可以创建无法预测且不安全的查询，从而导致潜在的SQL注入(SQLi)，但WordPress核心并不容易直接受到该漏洞的影响。CNVD对上述漏洞的综合评级为“高危”。

漏洞详情及修复方法见：??????show/4276

（2）GNU Wget存在缓冲区溢出漏洞

2017年10月26日，GNU Wget发布了1.19.2之前版本的缓冲区溢出漏洞公告，使用存在漏洞的Wget可能受到恶意HTTP响应攻击，导致拒绝服务和恶意代码执行，相关漏洞信息如下：

CNVD-2017-32886对应CVE-2017-13089：漏洞在src/http.c源码文件中，Wget在一些调用http.c:skip_short_body() 函数情况下，块解析器使用strtol() 读取每个响应分块的长度，但不检查块长度是否非负，而在Wget调用过程中该数据内容和长度可被攻击者完全控制，导致fd_read（）函数中发栈缓冲区溢出。

CNVD-2017-32885对应CVE-2017-13090：漏洞在src/retr.c源码文件中，Wget在一些调用retr.c:fd_read_body()函数情况下，块解析器使用strtol() 读取每个响应分块的长度，但不检查块长度是否非负，而在Wget调用过程中该数据内容和长度可被攻击者完全控制，导致fd_read（）函数触发堆缓冲区溢出。

漏洞影响1.19.2之前版本。由于Wget是Unix/linux发行版的基本组件，因此几乎所有发行版或封装调用Wget的应用都受影响，包括一些主流的Linux发行版：Red Hat、Debian、Ubuntu、SUSE、Gentoo、CentOS、FreeBSD、Oracle Linux、Amazon Linux AMI等默认带有Wget的Linux发行版本，请参考各发行版受影响范围：

CNVD对上述漏洞的综合评级为“高危”。

漏洞详情及修复方法见：??????show/4282

（3）Zeta Components Mail存在远程代码执行漏洞

近日，国家信息安全漏洞共享平台（CNVD）收录了Zeta Components Mail存在的远程代码执行漏洞（CNVD-2017-33788、对应CVE-2017-15806）。远程攻击者利用漏洞可通过构造恶意邮件在目标系统上执行任意代码。漏洞细节和利用代码已公开，近期被不法分子利用进行攻击尝试的可能性较大。

Zeta Components是一个基于PHP5实现的高质量的、通用的应用程序开发库，该项目曾于2010年5月加入Apache Incubator，但在2012年4月退出了Apache软件基金会。

CNVD对上述漏洞的综合评级为“高危”。

漏洞详情及修复方法见：??????show/4285

二、防御情况（来自WAF、防火墙）

1、告警分类统计报表

2、告警分类统计数据

上半月，根据我校WAF防护结果统计，主要的攻击威胁如下

1）HTTP协议违背，共拦截41460次；

2）恶意扫描：共拦截9222次；

3）SQL注入攻击，共拦截2171次；

4）Web插件漏洞攻击：共拦截282次；

三、上半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告，上半月本周境内感染网络病毒的主机数量约为63.7万个，其中包括境内被木马或被僵尸程序控制的主机约40万以及境内感染飞客（conficker）蠕虫的主机约23.7万。

上半月CNCERT 监测发现境内被篡改网站数量为29015个；境内被植入后门的网站数量为1512 个；针对境内网站的仿冒页面数量为659。

四、建议防范措施

根据我校11月份上半月整体网络与信息安全情况及外部网络威胁情况，请相关人员做好相应安全措施，建议如下：

1、针对Satan(撒旦)勒索病毒，校园网用户养成良好的计算机使用习惯，不随意点击外来文件、邮件附件、广告程序等；定时给电脑查杀病毒。

2、相关单位排查是否存在使用WordPress博客系统、Zeta Components Mail邮件系统，并及时更新相关漏洞补丁

4、相关系统管理员排查操作系统是否安装Wget组件，及时更新补丁。Wget是Unix/linux发行版的基本组件，因此几乎所有发行版或封装调用Wget的应用都受影响，包括Red Hat、Debian、Ubuntu、SUSE、Gentoo、CentOS、FreeBSD、Oracle Linux、等默认带有Wget的Linux发行版本。