中科大:邮件系统安全事件分析及应对
文/陈蕾 程雨 张焕杰
垃圾邮件事件
近期不少学校反映邮件系统被黑客尝试登录,进而利用正常账号发送垃圾邮件的安全事件。此类针对邮件系统的安全事件不是近期开始发生的,早在2016年中科大邮件系统就观察到国内部分城市大量的IP 地址尝试登录问题。初步判断为有黑客试图通过穷举法来获取密码简单的用户密码。为此做了如下应对处理: 1. 对于连续尝试密码错误的IP 地址,禁止使用POP/IMAP/SMTP 等客户端方式登录,封禁的时间随错误的次数逐步变长。对于多个IP 地址进行尝试的网段,直接禁止该网段的IP 使用客户端登录。以上封禁的IP 地址,在blackip./mailblackip.php 有记录(早期封禁记录已经删除,目前看到的是2019年2月开始的记录);
2. 定期统计当日用户发邮件数量及IP 来源数量,超过一定的阈值一般是密码泄漏,强制更改用户密码; 3. 向管理机构反映该问题,管理机构答复因未造成明显损失,不方便处理。
上述1、2处理均由程序自动完成,一定程度上缓解了用户账号被黑客登录的行为。
两相流闸阀2017年7月至今,已经强制修改了约3500个账号的密码,表1是各个时间段强制修改密码用户的数量统计。
从统计可以看到,2020年出现异常的邮件账号数量急剧变多。发送的垃圾邮件内容,集中在网络赌博、网络贷款、网络话题。其他高校也均反馈有类似问题,且近期急剧增多。
这种密码泄漏,通常是以下5种途径:
途径1: 服务器端密码泄漏。服务器被攻击导致加密的密码 库泄漏,攻击者可以通过碰撞手段获取密码强度不高的密码;
杂物门途径2: 用户密码简单,被黑客持续尝试后获取;
途径3: 用户访问邮件系统时未使用加密传输方式,在不安全的网络环境下,黑客截取传输过程中的数据直接获取密码;
途径4: 用户在其他网站使用了相同的密码,其他网站的密码泄漏导致密码泄漏;
途径5: 用户的终端被安装了恶意木马软件,该软件窃取了用户输入的密码。
其中,途径1属于邮件服务器安全,与用户不直接相关;途径2则与服务器和用户都有关系;途径3~途径5,则是用户原因,单独加强服务器安全并不能解决问题。
为了排除途径1,并了解用户使用简单密码的总体情况, 4月份开发了密码碰撞程序(/bg6cq/checkwkpass),对学校邮件系统8.5万个账号进行弱密码测试。碰撞的密码共170多万个,测试需要的运算量较大,经优化后在学校超算中心10台服务器上30秒钟可以执行一轮测试。4月份碰撞测试并进行后续处理,弱密码的用户数变化如表2。
从表2可以推测,假如黑客曾经获取过服务器上的加密密码库,可以很轻松获取近万人的有效密码。因此途径1服务器被攻击泄漏密码的可能性很小。图像型火焰探测器
目前,仍有3100多个用户使用的是弱密码,我们会继续
2017年173个7月-12月
2018年1148个2019年1009个2020年
1378 个
截至5月8日
表1 强制修改密码用户的数量统计
4月8日7497发邮件通知用户修改
4月9日72484月11日71984月12日71794月13日7165发邮件通知用户修改4月17日6637发邮件通知用户修改,
强制修改1754个离校用户弱密码4月20日
59354月24日4090发邮件通知用户修改,
强制修改646个123456弱密码4月24日33734月26日33384月28日
33055月9日
3152
表2 用户数变化极化片>出租车计价器传感器
网络安全
拉紧带
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议