2021第二届全国⼤学⽣⽹络安全精英赛赛事介绍
2021第二届全国⼤学⽣⽹络安全精英赛,指导单位为中国信息安全测评中⼼,主办⽅为国家⽹络空间安全⼈才培养基地。⼤赛以普及知识、挖掘⼈才为⼰任,⾯向全国⼤学⽣普及信息安全意识、传播信息安全知识、挖掘信息安全⼈才。
本次比赛分为3个阶段,参赛学员均已个人赛形式参加比赛。第一阶段为全国线上初赛,主要考察学生的信息安全知识水平;第二阶段为全国线上复赛,主要考察学生网络安全基础知识和基本技能;第三阶段为全国线下总决赛;具体如下:
1.1.全国初赛
初赛主要考察学生信息安全知识水平,资格赛为线上答题形式。
☑ 比赛时间:7月1日-9月10日报名,9月13日-17日全国初赛
☑ 参赛资格:全国各类高、中等院校在校学生
☑ 比赛形式:初赛由各个参赛院校组织学生至大赛官网自主报名,由当地承办机构组织安排初赛时间。
☑ 比赛题型:初赛为50道单选题。
☑ 比赛内容:内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护、信息安全管理。
☑ 通过条件:满分100分,竞赛成绩达到70分及以上。
1.2.全国复赛
全国复赛主要考察参赛选手网络安全基础知识和基本技能。
☑ 比赛时间:9月24日全国复赛
☑ 比赛形式:复赛为线上答题形式进行,参赛条件为初赛成绩达70分以上。
☑ 比赛题型:复赛为100道单选题,
☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发。
☑ 通过条件:全国前100名通过参加线下总决赛
1.3.全国总决赛
全国总决赛为线下知识竞赛形式。
☑ 比赛时间:10月11日全国线下总决赛
☑ 比赛形式:决赛为线下知识答题赛,参赛条件为复赛全国成绩前100名。
☑ 比赛题型:总决赛为100道单选题,
☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发等。
☑ 获奖条件:根据总决赛最终成绩排名,产生大学生网络安全竞赛金奖:10人;银奖:10人;铜奖:20人。
1.4.奖项设置
2021年第二届大学生网络安全竞赛共设奖金20万元。
金奖:10人,奖金10000元/人
银奖:10人,奖金5000元/人
铜奖:20人,奖金2500元/人
获得⼤赛⾦银铜牌的选⼿,可获得⼤赛协办单位腾讯安全、卓朗科技、 深信服等信息安全知名企业签约⼯作机会。
4. 大赛同期其他活动
本次大赛同期将进行一系列与相关的活动,主要活动如下:
1.1大学生网络安全知识精英赛校园大使招募
第二届全国大学生网络安全精英赛即将于2021年7月1日启动报名,9月网络安全周期间开赛。现在面向全国在校大学生招募校园大使。招募规则如下:
1.1.1.招募标准
具备⼀定的信息安全基础知识,擅长通过talkshow⼩段子、音乐创作、创意剪辑等各种才艺、方法传播信息安全知识、宣传网络安全精英赛的在校大学生。
1.1.2.招募平台
抖音APP
1.1.3.报名方式
1、开通抖音账号,并关注抖音官方号“网安精英赛”。
2、活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单
3、拍摄与网络安全相关的短视频添加话题#网络安全精英赛#在抖音发布,并@网安精英赛 官方账号。
4、发动同学为自己的短视频点赞。
1.1.4.评选
大赛组委会邀请评委会评选作品,筛选出符合招募要求的作品,并按照点赞数排序,最终前十名入选的创作者将成为本届大学生网络安全精英赛校园大使。
1.1.5.公布
最终入选名单将在精英赛官网(https://www.nisp.org.cn/ds)公布。
1.1.6.表彰
成功当选校园大使的创作者,精英赛组委会将颁发聘书,并奖励华为 Mate 40E 手机一台(京东官方价4199元)。
1.2大学生网络安全知识精英赛答题接龙活动
校园大使招募活动同时,大赛组委会举办“网络安全精英赛·答题接龙”活动。
活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单
参与在校大学生可登陆精英赛官网(https://www.nisp.org.cn/ds)学习网络安全辅导课程,并练习模拟题。
在抖音APP上传短视频,内容为回答一道网络安全模拟题,指定同学接龙。并以“大学生网络安全精英赛,你也来答题吧~”结尾。@网安精英赛 官方账号,参与抽奖。
奖品为华为WATCH GT 2 Pro 智能手表,共十个获奖名额(京东官网价2388元)。
一.基本情况
偶然发现一台web服务器很怪异,其网站页面上增加了一堆外文的页面链接,点击一篇进去之后,内容如下图所示:
该网站是中文网站,绝不可能存在上述的页面内容,同时页面中嵌入一堆的JS代码。很明显,该网站已经被黑,为避免遭受进一步的危害,紧急采取措施让服务器下线。由于该台服务器部署于单位异地远程机房,下线后无法直接对服务器进行分析,只是采取远程协同分析日志文件的方式(拿到一些web日志文件,以及一些异常PHP文档),因此无法实施深入分析。
服务器是windows系统,使用Apache作为web服务器,网站基于PHP+WordPress开发。服务器基本情况:
二.页面简单分析
上图中的JS代码如下表所示:
经过简单分析,很明显上表中的这段代码应该是攻击者的XSS跨站漏洞利用代码,主要用于获取访问该页面的用户的cookie信息,根据函数名称getCookie也很容易得知其功能。
上述代码中base64加密部分解密后后内容如下:
可知,攻击者XSS服务器为193.238.46.57,地址查询如下图所示,目前该页面无法访问。
三.日志分析
1、access.log日志
分析该日志,发现了密码暴力猜解记录、漏洞攻击历史记录、wordpress登陆操作、网页爬虫等记录。
a) 大量暴力破解或DDOS攻击报文
通过查看日志发现,每天有大量的IP访问wordpress网站xmlrpc.php文件。利用POST方式提交发送数据,由于日志中无法看到POST数据报文内容,猜测应该是用于暴力密码穷举;wordpress管理登陆接口做了防暴力破解防护,利用xmlrpc.php接口可以绕过上述登陆限制,可以通过post数据到xmlrpc.php进行密码破解尝试,该行为也导致服务器资源损耗严重。
b) 大量漏洞攻击记录
日志中同样发现大量的漏洞攻击记录,尤其是对ThinkPHP5远程代码执行漏洞的利用尝试,说明恶意网络攻击行为很频繁。下表是服务器一天中遭受漏洞攻击的情况:
提取恶意URL列表如下:
c) Wordpress登陆操作
从access.log 中发现了一些Wordpress后台管理成功登陆的操作,说明Wordpress的账户密码已失陷,根据时间和登陆IP判断不属于管理员。同时这些操作重复次数多,且发生操作的IP也不定,因此怀疑本台服务器的攻击者不止一个,可能是遭受多个自动化的网络攻击行动所致。
d) 网页爬虫记录
分析一天的日志文件,从中发现了如下的爬虫信息,如下表所示,其中SEMrushBot和头条爬虫在这一天中最为活跃。
对于网站运营者来说,发现网站被黑后采取措施对被黑服务器系统进行清理。但是其实由于“搜索引擎爬虫”的不辞辛劳的卖力干活,其实网站被黑的页面已被爬取并留存证据。
2、error.log日志
查看error.log发现了一些问题,比如大批量的错误提示在一堆怪异英文名字命名的PHP文件中“找不到“check_is_bot.php”文件,最早出现的提示是2018年1月20日,说明服务器早在2年前就已经被黑,如下表:
于是,跑到C:\phpStudy\WWW\wordpress2\wp-content\plugins\anything-order-by-terms\modules\,发现目录下确实多了一堆怪异英文名字的PHP文件。
anything-order-by-terms是一个wordpress插件,通过该插件,可以在管理屏幕上的内置列表中轻松拖放来安排任何帖子类型和术语。(使用者已不知道是否自己安装)
改名下总共有430多个PHP文件以及几十个php.suspected文件,一些php文件名列表如下图所示:
同时,发现这些文件的生成时间是:2018年1月12日15:29分钟。
于是到往前追溯,发现1月12日13:33有异常的错误日志,关联到404.php
此外,在这些目录下面,确实发现check_is_bot.php相关的文件:check_is_bot.php.suspected,同时在目录下也发现了其他的一堆以php.suspected结尾的文件,如下图所示,判断应该是被杀毒软件重命名了。
check_is_bot.php的文件内容如下:
解码后的PHP代码如下图所示:
打开任意一个怪异英文名php文件,发现其实是一个html页面,其中每个页面首部都添加了一段PHP代码,用于包含check_is_bot.php,并且执行一段js代码。如下表所示:
jscs.min.js的内容查看如下:
简单分析代码,先对M5s字符串进行处理,处理的代码如下,即每隔2个字节经过parseInt转换,再转换成字符串,接着调用setTimeout执行。
四.小结
本次分析只是简单记录服务器被黑的情况,由于网站本身对外提供服务功能有限,日常访问使用人数不多,导致运营者基本没有维护管理,从几年都没有发现问题可以看出。相信这种情况,很多单位都存在,有些小网站系统由于一时的业务需要,利用开源框架架设完毕后,功能能用就放着不管了,后续不会投入资源进行更新、维护和管理,甚至都不记得有这个网站系统。随着网络安全监督力度加大,这些容易被忽视的网站很容易出现违法违规情况,如果遭受网络攻击后造成不良影响,可能影响企业的正常经营活动,建议必须投入资源关注:
1、汇总摸清单位所有对外服务器的情况;
2、明确各个服务器使用和管理责任部门和人员;
3、实施网站日常巡查制度;
4、勤更新升级补丁;
5、限制网站后台管理;
6、定期实施网络安全评估;
7、投入资源建设、升级网站安全防护软硬件系统。
加入NISP、CISP课程学习网络安全行业
报考联系人nisp证书管理中心丹丹老师
微信号:nisptest/13520967307
一.基本情况
偶然发现一台web服务器很怪异,其网站页面上增加了一堆外文的页面链接,点击一篇进去之后,内容如下图所示:
该网站是中文网站,绝不可能存在上述的页面内容,同时页面中嵌入一堆的JS代码。很明显,该网站已经被黑,为避免遭受进一步的危害,紧急采取措施让服务器下线。由于该台服务器部署于单位异地远程机房,下线后无法直接对服务器进行分析,只是采取远程协同分析日志文件的方式(拿到一些web日志文件,以及一些异常PHP文档),因此无法实施深入分析。
服务器是windows系统,使用Apache作为web服务器,网站基于PHP+WordPress开发。服务器基本情况:
二.页面简单分析
上图中的JS代码如下表所示:
经过简单分析,很明显上表中的这段代码应该是攻击者的XSS跨站漏洞利用代码,主要用于获取访问该页面的用户的cookie信息,根据函数名称getCookie也很容易得知其功能。
上述代码中base64加密部分解密后后内容如下:
可知,攻击者XSS服务器为193.238.46.57,地址查询如下图所示,目前该页面无法访问。
三.日志分析
1、access.log日志
分析该日志,发现了密码暴力猜解记录、漏洞攻击历史记录、wordpress登陆操作、网页爬虫等记录。
a) 大量暴力破解或DDOS攻击报文
通过查看日志发现,每天有大量的IP访问wordpress网站xmlrpc.php文件。利用POST方式提交发送数据,由于日志中无法看到POST数据报文内容,猜测应该是用于暴力密码穷举;wordpress管理登陆接口做了防暴力破解防护,利用xmlrpc.php接口可以绕过上述登陆限制,可以通过post数据到xmlrpc.php进行密码破解尝试,该行为也导致服务器资源损耗严重。
b) 大量漏洞攻击记录
日志中同样发现大量的漏洞攻击记录,尤其是对ThinkPHP5远程代码执行漏洞的利用尝试,说明恶意网络攻击行为很频繁。下表是服务器一天中遭受漏洞攻击的情况:
提取恶意URL列表如下:
c) Wordpress登陆操作
从access.log 中发现了一些Wordpress后台管理成功登陆的操作,说明Wordpress的账户密码已失陷,根据时间和登陆IP判断不属于管理员。同时这些操作重复次数多,且发生操作的IP也不定,因此怀疑本台服务器的攻击者不止一个,可能是遭受多个自动化的网络攻击行动所致。
d) 网页爬虫记录
分析一天的日志文件,从中发现了如下的爬虫信息,如下表所示,其中SEMrushBot和头条爬虫在这一天中最为活跃。
对于网站运营者来说,发现网站被黑后采取措施对被黑服务器系统进行清理。但是其实由于“搜索引擎爬虫”的不辞辛劳的卖力干活,其实网站被黑的页面已被爬取并留存证据。
2、error.log日志
查看error.log发现了一些问题,比如大批量的错误提示在一堆怪异英文名字命名的PHP文件中“找不到“check_is_bot.php”文件,最早出现的提示是2018年1月20日,说明服务器早在2年前就已经被黑,如下表:
于是,跑到C:\phpStudy\WWW\wordpress2\wp-content\plugins\anything-order-by-terms\modules\,发现目录下确实多了一堆怪异英文名字的PHP文件。
anything-order-by-terms是一个wordpress插件,通过该插件,可以在管理屏幕上的内置列表中轻松拖放来安排任何帖子类型和术语。(使用者已不知道是否自己安装)
改名下总共有430多个PHP文件以及几十个php.suspected文件,一些php文件名列表如下图所示:
同时,发现这些文件的生成时间是:2018年1月12日15:29分钟。
于是到往前追溯,发现1月12日13:33有异常的错误日志,关联到404.php
此外,在这些目录下面,确实发现check_is_bot.php相关的文件:check_is_bot.php.suspected,同时在目录下也发现了其他的一堆以php.suspected结尾的文件,如下图所示,判断应该是被杀毒软件重命名了。
check_is_bot.php的文件内容如下:
解码后的PHP代码如下图所示:
打开任意一个怪异英文名php文件,发现其实是一个html页面,其中每个页面首部都添加了一段PHP代码,用于包含check_is_bot.php,并且执行一段js代码。如下表所示:
jscs.min.js的内容查看如下:
简单分析代码,先对M5s字符串进行处理,处理的代码如下,即每隔2个字节经过parseInt转换,再转换成字符串,接着调用setTimeout执行。
四.小结
本次分析只是简单记录服务器被黑的情况,由于网站本身对外提供服务功能有限,日常访问使用人数不多,导致运营者基本没有维护管理,从几年都没有发现问题可以看出。相信这种情况,很多单位都存在,有些小网站系统由于一时的业务需要,利用开源框架架设完毕后,功能能用就放着不管了,后续不会投入资源进行更新、维护和管理,甚至都不记得有这个网站系统。随着网络安全监督力度加大,这些容易被忽视的网站很容易出现违法违规情况,如果遭受网络攻击后造成不良影响,可能影响企业的正常经营活动,建议必须投入资源关注:
1、汇总摸清单位所有对外服务器的情况;
2、明确各个服务器使用和管理责任部门和人员;
3、实施网站日常巡查制度;
4、勤更新升级补丁;
5、限制网站后台管理;
6、定期实施网络安全评估;
7、投入资源建设、升级网站安全防护软硬件系统。
加入NISP、CISP课程学习网络安全行业
报考联系人nisp证书管理中心丹丹老师
微信号:nisptest/13520967307