山东省教育厅关于2018年第三季度教育系统网络与信息安全情况的通报

各市教育局，各高等学校，厅属各单位：

2018年第三季度，我省教育系统网络运行总体稳定，但部分教育行政部门和学校的不少信息系统和网站仍存在安全漏洞，系统服务器被控制和数据被篡改等风险较大。第三季度共监测发现安全事件112起，比上季度减少18起，对监测发现的安全问题，我们已第一时间通知各单位进行了处理。为进一步加强教育系统网络与信息安全管理，现将第三季度发生安全事件的相关情况通报如下：

一、 远程代码执行漏洞

共发生37次。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息，导致远程攻击者可通过发送恶意构造的HTTP数据包，利用该漏洞在受影响服务器上执行系统命令，最终可完全控制该服务器，造成拒绝服务、数据泄露、网站遭篡改等后果。涉及单位：山东财经大学、潍坊工程职业学院、山东建筑大学、德州职业技术学院、德州学院、枣庄学院、莱芜职业技术学院、聊城大学、烟台黄金职业学院、山东艺术学院、山东警察学院、济南职业学院、菏泽市教育局、淄博市教育局、泰安市教育局、济宁市教育局、潍坊市教育局、聊城市教育局、临沂市教育局、日照市教育局、滨州市教育局。

二、 SQL注入漏洞

共发生10次。即黑客通过把SQL（数据库操作语言）语句插入存在漏洞的页面，欺骗服务器执行恶意命令，取得对数据库的操作权限，以达到获取和篡改数据的目的。涉及单位：山东师范大学、烟台汽车工程职业学院、烟台职业学院、潍坊学院、山东圣翰财贸职业学院、日照职业技术学院、潍坊医学院、菏泽市教育局、泰安市教育局、日照市教育局。

三、 暗链漏洞

共发生9次。暗链是黑客通过网站漏洞篡改页面源代码，以隐蔽的方式植入不易被觉察的代码链接到其他网站，达到对其他网站的宣传，因此被植入暗链一般说明网站已被攻陷。暗链往往被链接到黄赌毒、诈骗甚至反动等非法网站，对政府和企事业单位的影响较大。涉及单位：青岛理工大学、济南大学、淄博市教育局、泰安市教育局、聊城市教育局、临沂市教育局、德州市教育局。

四、 弱口令漏洞

共发生8次。弱口令指的是仅包含简单数字和字母的口令，例如“123456”“abc123”等，很容易被破解，黑客可以轻易进入系统获取和篡改数据，而安全设施很难发现。涉及单位：山东商业职业技术学院、青岛理工大学、枣庄学院、烟台汽车工程职业学院、齐鲁医药学院、中国海洋大学、山东英才学院。

五、 WebLogic反序列化远程命令执行漏洞

共发生8次。此漏洞产生于WebLogicT3服务，所有开放WebLogic控制台端口的应用，均会默认开启T3服务，因此会造成较大范围的影响。机器上一旦有使用上述应用，即处于“裸奔”状态，黑客可随时利用此漏洞执行任意系统命令，完全控制机器，破坏或窃取机器上的数据。涉及单位：菏泽市教育局、潍坊市教育局、威海市教育局。

六、 目录遍历漏洞

共发生8次。目录遍历是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞，使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制，访问任意的文件（可以是Web根目录以外的文件），甚至执行系统命令。涉及单位：山东师范大学、山东商业职业技术学院、山东理工大学、山东商务职业学院、山东中医药大学、山东工商管理学院、山东农业大学。

七、 信息泄露漏洞

共发生6次。主要是网站发布公示信息时泄露个人身份证号等敏感信息，也包括服务器中源代码等信息可以被直接下载利用导致服务器配置、数据库连接等敏感信息泄露。涉及单位：青岛理工大学、齐鲁医药学院、青岛科技大学、山东职业学院、济宁市教育局、青岛市教育局。

八、 Struts2远程命令执行漏洞

共发生5次。远程攻击者可通过发送恶意构造的HTTP数据包，利用该漏洞在受影响服务器上执行系统命令，最终可完全控制该服务器，造成拒绝服务、数据泄露、网站遭篡改等后果。涉及单位：山东信息职业技术学院、山东水利职业学院、菏泽市教育局、泰安市教育局、聊城市教育局。

九、 逻辑漏洞

共发生4次。逻辑错误漏洞是指由于程序逻辑不严或逻辑太复杂，导致一些逻辑分支不能够正常处理或处理错误，一般出现在任意密码修改（没有旧密码验证）、越权访问、密码找回、交易支付金额。涉及单位:山东师范大学、山东交通学院、山东传媒职业学院、济宁医学院。

十、 未授权访问漏洞

共发生4次。未授权访问可以理解为需要安全配置或权限认证的授权页面可以直接访问，导致重要权限可被操作、企业级重要信息泄露。涉及单位：山东管理学院、青岛恒星科技学院、潍坊市教育局、东营市教育局。

十一、 网页劫持漏洞

共发生4次。使用HTTP协议请求一个网站页面的时候，网络运营商会在正常的数据流中插入精心设计的网络数据报文，让客户端展示“错误”数据，通常是一些弹窗，宣传性广告或者直接显示某网站的内容。涉及单位：莱芜职业技术学院、山东科技大学、淄博市教育局。

十二、 文件备份漏洞

共发生3次。开发人员在编辑文件前，会进行一次备份，把备份文件和源文件放在服务器上的同一个地方。如果绕过身份验证机制，就可以直接下载到备份文件，从而得到网站源代码。涉及单位：德州学院、山东交通学院、山东理工大学。

十三、 跨站脚本漏洞

共发生2次。XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是

十四、 木马漏洞

共发生2次。是指通过特定的程序（木马程序）来控制另一台计算机。它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。涉及单位：山东建筑大学。

十五、 任意文件读取漏洞

共发生1次。一些网站由于业务需求，往往需要提供文件查看或文件下载功能，但若对用户查看或下载的文件不做限制，则恶意用户就能够查看或下载任意敏感文件，这就是文件查看与下载漏洞。涉及单位：德州职业技术学院。

十六、 短信轰炸漏洞

共发生1次。对发送信息功能调用未做任何限制可针对某用户短时间内发送大量垃圾短信，造成短信轰炸攻击；对于企业，每发一条短信，都是需要向运营商交付一些费用，尽管比个人用户费用低，但是一旦被恶意利用大量发送后，造成较大的直接经济损失。涉及单位：泰安市教育局。

请以上安全事件涉及单位确认已修复安全漏洞（具体信息见附件），切实消除安全事件影响。对未及时处理安全事件的单位我厅将再次通报和督办。各单位必须加强组织领导，明确主体责任，增强安全防范意识和防护能力，提高发现问题和处置安全事件的能力。

附件：安全事件具体信息(略)

山东省教育厅

                                 2018年10月23日