从2023-01-01至2023-02-28期间,设备处理的威胁总数为3882.75万次。其中,漏洞利用2.89万次,发现间谍软件287次,发现病毒38次(蠕虫木马,恶意链接等),命中威胁情报37.87 万次,命中威胁处置6.25 万次。在异常主机中,失陷主机152台。2023-01-08处理威胁数最多(共212.99万次)。与上周期统计比,2023-02-13处理威胁数变化最大(下降83.0%)。处理的威胁总数呈下降趋势。处理的威胁总数呈下降趋势。
一月威胁概况处理情况如下图:
二月威胁概况处理情况如下图:
1-2月失陷主机152其中教职工用户17个,学生用户135个。
为了区分攻击者来自自定义区域、国内,还是国外,本报告分别按自定义区域、国内地区(注:统计到市级,部分到县级)、国外地区(注:统计到国家和地区级)统计和分析,国内攻击者的总次数为212.1万次,来自国外攻击者的总次数为3670.65万次。详见下图
国内攻击趋势如图:
从出口设备上风险主机及失陷主机分析,校内非数据中心服务器允许上网,仍有感染病毒及木马的风险;已反馈相关部门,要求非数据中心服务器开启服务器软件防火墙防护,关闭不必要的业务端口;禁止校内非数据中心服务器上网,有需求时,做好漏洞补丁等安全措施的前提下,联系网络科申请开放。
从出口设备-上网行为管理设备及出口设备拦截信息分析,校内办公用户及学生用户误点击恶意网站后被安装远控木马或病毒等情况较多,多数用户安装了安全软件,但并未进行周期性的杀毒检测;用户不要点击弹窗广告、安全软件防护定期杀毒、尽量使用正版软件等。
一月校园流量分析:
从2023-01-01至2023-02-01期间,设备处理的总流量为24.91TB,总会话数为52.83亿条,被阻止连接次数为5409.28万条。按国内地区统计,来自10.101.xx.xx的流量最大(共38.8 GB);去往124.237.224.3(河北保定电信)的流量最大(共27.75 GB)按国外国家和地区统计,来自198.98.51.208(为美国纽约史泰登,娱乐加速器)的流量最大(共31.49 MB)。按时间统计,2023-01-12流量最大(共1.94TB)。与上周期统计比,2023-01-07总流量差最大(下降96.0%)。
总流量趋势图如下:
经应用程序汇总分析:未知应用总流量最多,占比77.42%。HTTPS接收流量最多,占比46.7%。未知应用发送流量最多,占比95.41%。未知应用会话数最多,占比98.11%。未知应用总流量占比77.42%。其中,接收流量占比0.1%,发送流量占比95.41%,会话数占比98.11%。
如图:
二月校园流量分析:
从2023-02-01至2023-02-28期间,设备处理的总流量为72.5TB,总会话数为63.89亿条,被阻止连接次数为8.65亿条。按国内地区统计,来自10.101.xx.xx的流量最大(共1.58 TB);去往10.4.xx.xx(为10.4.xx.xx网段的广播地址)的流量最大(共1.69 TB)。 按国外国家和地区统计,来自198.98.51.208(为美国纽约史泰登娱乐加速器)的流量最大(共313.3 MB)。按时间统计,2023-02-08流量最大(共 5.48 TB)。与上周期统计比,2023-02-08总流量差最大(上升1359.0%)。
经应用程序汇总分析:HTTPS总流量最多,占比27.73%。HTTPS接收流量最多,占比43.47%。未知应用发送流量最多,占比66.28%。未知应用会话数最多,占比93.48%。未知应用总流量占比26.97%。其中,接收流量占比0.04%,发送流量占比66.28%,会话数占比93.48%。未知应用占比过大。
1-2月入侵渗透类攻击次数按照事件特征分布统计如下表所示,共统计到8种攻击类型。
序号 | 事件特征 | 攻击次数 | 百分比 | 事件等级 |
1 | web-attack | 28424 | 74.66% | 中危 |
2 | weird-behavior | 4443 | 11.67% | 高危 |
3 | attempted-user | 2115 | 5.56% | 高危 |
4 | cve-exploit | 2007 | 5.27% | 中危 |
5 | attempted-recon | 964 | 2.53% | 中危 |
6 | threat-intelligence-alarm | 65 | 0.17% | 高危 |
7 | bruteforce | 47 | 0.12% | 高危 |
8 | scan | 5 | 0.01% | 高危 |
1-2月入侵渗透类攻击次数按照严重级别分布统计如下,其中高危攻击有11235次,中危攻击有27472次。用户应对高级和中级攻击予以重点关注。
严重级别 | 次数 | 百分比 |
高危 | 11235 | 29.21 |
中危 | 27472 | 70.79 |
低危 | 0 | 0.0 |
1-2月入侵渗透类攻击次数按照被攻击资产统计,共统计到18945个遭受攻击的资产。其中受攻击次数Top10的资产如下表所示,用户结合事件详情对于被攻击资产予以重点关注。
序号 | 攻击目的IP | 目的地域 | 受攻击次数 | 百分比 |
1 | 211.86.xx.xx | 电子政务 | 6559 | 15.65% |
2 | 211.86.xx.xx | 网站群 | 5428 | 14.26% |
3 | 10.20.xx.xx | 开创啦 | 2383 | 6.26% |
4 | 211.86.xx.xx | DNS递推地址 | 2198 | 5.77% |
5 | 10.20.xx.xx | 网瑞达VPN | 2099 | 5.51% |
6 | 211.86.xx.xx | DNS | 1919 | 5.0% |
7 | 211.86.xx.xx | 新nginx | 1759 | 4.62% |
8 | 211.86.xx.xx | 教务系统 | 1360 | 3.57% |
9 | 10.20.xx.xx | 智慧后勤 | 1168 | 3.06% |
10 | 211.86.xx.xx | 软件通 | 1125 | 2.96% |
1-2月入侵渗透类攻击次数按照攻击源统计,共统计到8709个攻击源。其中攻击次数Top10的攻击源IP如下表所示,用户结合事件详情对于攻击源IP予以重点关注,采取阻断措施。
序号 | 攻击源IP | 源地域 | 攻击次数 | 百分比 |
1 | 10.20.xx.xx | 中国安徽省铜陵市 | 20988 | 55.13% |
2 | 120.77.50.148 | 中国广东深圳 | 1439 | 3.78% |
3 | 202.102.213.68 | 中国安徽芜湖 | 1103 | 2.9% |
4 | 61.132.163.68 | 中国安徽合肥 | 1094 | 2.87% |
5 | 47.89.17.189 | 中国香港 | 997 | 2.62% |
6 | 43.139.117.224 | 日本 | 800 | 2.1% |
7 | 139.9.177.54 | 中国广东广州 | 776 | 2.04% |
8 | 47.109.64.163 | 中国四川成都 | 774 | 2.03% |
9 | 218.3.103.226 | 中国江苏镇江 | 708 | 1.86% |
10 | 121.40.231.171 | 中国浙江杭州 | 707 | 1.86% |
以上攻击均未攻击成功,部分为试探攻击,部分IP已被waf及防火墙拦截,国外地址对其进行拉黑处理。
在盛邦RayEYE持续威胁检测与溯源系统上检测到:
10.110.xx.xx(旷视人脸识别通行平台)终端仍有用户明文密码;10.20.xx.xx(新精品课程)终端仍有用户明文密码;211.86.xx.xx(妙思检索系统)、http://jyglxt.tlu.edu.cn:8080(教研管理系统)、10.20.xx.xx(学科与技能竞赛系统)弱口令泄露,已反馈给相应部门。
存在安全隐患的系统如下:
智慧资助App1(IP:10.xx.xx.xx)高危漏洞57个,中危漏洞69个;智慧后勤web服务器(IP:10.xx.xx.xx)漏洞有中危漏洞2个;智慧后勤数据库服务器(IP:10.xx.xx.xx)漏洞有中危漏洞2个。
财务平台(https://cwcwx.tlu.edu.cn)中危漏洞1个;(IP:10.xx.xx.xx)高危漏洞9个;中危漏洞4个。
电子政务服务器(IP:211.xx.xx.xx)高危漏洞11个,中危漏洞6个。
教务系统web服务器-1(IP:10.xx.xx.xx)高危漏洞2个; 教务电子成绩证明系统(URL: https://10.xx.xx.xx)有高危漏洞1个。
图书馆业务系统系统:高校联合认证(https://www.metaauth.com)中危漏洞1个;图书馆妙思检索系统(IP: 10.xx.xx.xx) 高危漏洞2个,中危漏洞3个;图书馆外文数字图书馆(URL:http://10.xx.xx.xx:8070)高危漏洞2个,中危漏洞1个;(URL:https://ums.tlu.edu.cn)中危漏洞1个。
档案管理系统数据库服务器(IP:10.xx.xx.xx)1个中危漏洞。
开创啦主机系统(IP:10.xx.xx.xx)高危漏洞23个,中危漏洞79个;开创啦web系统(URL:http://10.xx.xx.xx)高危漏9个,中危漏洞3个。
心理健康测试系统(IP:211.xx.xx.xx)中危漏洞2个。
迎新系统(URL:https://yxxt.tlu.edu.cn/yxxt)中危漏洞3个。
1、财务统一支付平台admin账号密码为通用口令,并未更改,导致被攻击。
2、图书馆ums平台弱口令被爆破,攻击方登录账号后,对url链接进行了shell攻击,进而导致只对校内开放业务系统被攻击。
3、实践教学管理处绩效管理系统弱口令、一卡通弱口令、总务处智能水电管理系统设备密码未妥善保存。
4、解决方案
1)编辑漏洞报告发送给相关部门要求进行整改。
2)对图书馆网络架构进行改造。
3)编辑业务系统网络安全检查项,用于各部门新业务系统上线前的业务安全自检。
(撰稿:张思松 审稿:宋正荣)