一、 安全漏洞

2018年12月11日，国家信息安全漏洞共享平台（CNVD）收录了ThinkPHP远程代码执行漏洞（CNVD-2018-24942）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，漏洞利用原理已公开，厂商已发布新版本修复此漏洞。

1、漏洞情况分析

ThinkPHP采用面向对象的开发结构和MVC模式，融合了Struts的思想和TagLib（标签库）、RoR的ORM映射和ActiveRecord模式，是一款兼容性高、部署简单的轻量级国产PHP开发框架。

2018年12月9日，ThinkPHP团队发布了版本更新信息，修复一个远程代码执行漏洞。该漏洞是由于框架对控制器名没有进行足够的检测，导致在没有开启强制路由的情况下可远程执行代码。攻击者利用该漏洞，可在未经授权的情况下，对目标网站进行远程命令执行攻击。

CNVD对该漏洞的综合评级为“高危”。

2、漏洞影响范围

漏洞影响的产品版本包括：ThinkPHP 5.0—5.1版本。

CNVD秘书处对使用ThinkPHP框架的网站服务器进行探测，数据显示全球使用ThinkPHP框架的服务器规模共有4.3万；按国家分布情况来看，分布前三的分别是中国（3.9万）、美国（4187）和加拿大（471）。

3、漏洞处置建议

目前，ThinkPHP厂商已发布新版本修复此漏洞，CNVD建议用户立即升级至最新版本：??????span>

二、防御情况（来自WAF、防火墙）

1、告警分类统计报表

2、告警分类统计数据

上半月，根据我校WAF防护结果统计，主要的攻击威胁如下

1）服务器信息泄露：共拦截1135951次；

2）Cookie篡改，共拦截115564次； 

3）HTTP访问控制事件，共拦截107847次；

4）资源盗链，共拦截50020次；

5）HTTP协议违背：共拦截42618次；

3、防火墙黑名单

   根据WAF、防火墙的防护情况，针对频繁次数攻击威胁的公网IP进行拉黑处理，12月份上半月共拉黑地址37个。

三、上半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告，上半月境内感染网络病毒的主机数量约为50.6万个。

上半月 CNCERT 监测发现境内被篡改网站数量为1692个； 境内被植入后门的网站数量为1407个；针对境内网站的仿冒页面数量为2266个。

四、建议防范措施

根据我校12月份上半月整体网络与信息安全情况及外部网络威胁情况，主要攻击类型为SQL注入攻击，攻击目标主要集中在教务系统和外语外贸学院两个站点，建议系统管理员定期检查系统日志运行情况。