教育部网站被入侵事件的一点小说明

 

刚才上网说教育部网站被黑了。

有图：

有地址：http://www.moe.gov.cn/sofprogecslive/1.jsp

 

截止本文发布，该地址仍能打开。从目录得到的信息来看，只是利用某种漏洞成功上传了文件，并未得到其他权限或更深层次的东西。

教育部的网站使用的是sofprogecslive 开普互联提供滴。sofprogecslive 系统存在许多的漏洞。

去年乌云网就发了一个类似的问题，我不知道helen利用的就是这个漏洞，还是新的或是类似的呢。

去年的这个漏洞具体信息如何：

 

漏洞概要 关注数(1) 关注此漏洞

缺陷编号： WooYun-2011-03312 漏洞标题： Sofpro电子政务平台：在线访谈功能存在任意文件上传漏洞 相关厂商： 开普互联 漏洞作者： 刺刺 提交时间： 2011-11-14 公开时间： 2011-11-19 漏洞类型： 文件上传导致任意代码执行 危害等级： 中 自评Rank： 8 漏洞状态： 已交由第三方厂商处理

 

简要描述：

Sofpro电子政务平台“在线访谈”功能，上传文件处验证方式可被绕过。

详细说明：

漏洞文件：
/sofprogecslive/live/uploadfile.jsp
/sofprogecsinterview/interview/uploadfile.jsp
上传中对文件类型采用客户端js验证，本地禁用js，直接上传jsp脚本即可

 

 

修复方案：

建议增加服务端java验证；
文件存放目录禁止动态脚本执行；
平台系统权限明确，某些后台关键文件禁止未授权访问。

 

我不知道教育厅网站是否部署了网页防篡改系统或WAF呢？在重大会议期间，应当有专人值守滴，看来。。。

 

PS：3月8日22：45分左右再试，已经打不开上传的页面鸟！

 

继续PS：3月9日，继续得到新消息，根据helen此君留下的QQ号的签名却是“中国人民共和国教育部网站被入侵，跟我一点关系都没有，那是别人陷害的，事产关已，高高挂起！”疑似栽赃。

据说此君名声不太好。。大家可以百度：黑客HELEN装逼被社。

 

 

 

 

 

 

 

 

 3月9日乌云消息：

 

CNCERT昨天晚上11点左右也收到报告称，该网站被黑。但从验证情况看，网站或部署了防篡改系统，实时验证亦无法访问夹带页面。

此前，qiushui以及刺刺等同学提交过教育部网站被篡改以及sofpro电子政务平台的文件上传漏洞情况。CNCERT将相关情况通报了教育部学生司。从昨天晚上验证情况看，相关文件上传页面已经做了ACL。

推测此次事件有可能为历史后门所致。