黑客正在利用-网关漏洞-NetScaler-Citrix-收集用户凭证 (黑客正在窃取你的数据)

教程大全 2025-07-15 08:27:29 浏览次

Security Affairs 网站披露，IBM X-Force 研究人员发现威胁攻击者正在利用 Citrix NetScaler 网关存在的CVE-2023-3519 漏洞（CVSS评分：9.8），开展大规模的凭证收集活动。

2023 年 7 月底，Citrix 警告客户 NetScaler 应用交付控制器（ADC）和网关中存在的 CVE-2023-3519 漏洞正在被恶意利用。据悉，该漏洞是一个代码注入漏洞，可导致未经验证的远程代码执行。

美国网络安全和基础设施安全局（CISA）也曾针对 CVE-2023-3519 发出过警示。CISA 透露威胁攻击者正在利用该漏洞在易受攻击的系统上投放 Web 外壳，其目标可能是部署在关键基础设施组织网络中的 NetScaler ADC 设备。

一个月后，非营利组织 Shadowserver Foundation 安全研究人员指出数百台 Citrix Netscaler ADC 和网关服务器已被网络攻击者破坏。

威胁攻击者正在“积极”利用漏洞

X-Force 在为一个客户端进行事件响应活动时发现上述网络攻击活动。客户端报告称在 NetScaler 安装时身份验证缓慢，攻击者利用该漏洞将恶意 Javascript 注入设备“index.html”登录页。

此后，X-Force 在发布的报告中表示附加到合法 “index.html “文件的脚本会加载一个额外远程 JavaScript 文件，该文件会将一个函数附加到科学身份验证页面中的 “登录 “元素，该函数则会收集用户名和密码信息，并在身份验证期间将其发送到远程服务器。

值得一提的是，攻击链从威胁攻击者向”/gwtest/formssso? event=start&target=”发送网络请求时便已经开始了，触发 CVE-2023-3519 漏洞后，在 /netscaler/ns_gui/科学写入一个简单的 PHP web shell，一旦受害目标设备部署了 PHP web shell，攻击者就会检索设备上 “ns.conf “文件的内容。

然后，攻击者在 “index.html “中添加自定义 HTML 代码，该代码引用了托管在攻击者控制的基础架构上的远程 JavaScript 文件。

附加到 “index.html “的 JavaScript 代码检索并执行后，会将一个自定义函数附加到身份验证页面上的 “Log_On “按钮，恶意代码随及就能够收集身份验证表单中的数据（包括凭据），并通过 HTTP POST 方法将其发送到远程主机。

X-Force 安全研究人员发现本次网络攻击活动中还使用了多个域名，这些域名分别于 8 月 5 日、6 日和 14 日注册，并利用 Cloudflare 掩盖了域名的托管地。在安全研究人员确定威胁攻击者使用的 C2 基础设施后，确定了近 600 个唯一的受害者 IP 地址，这些地址托管着修改过的 NetScaler Gateway 登录页面。

分析显示，大多数受害者分布在美国和欧洲地区，虽然目前研究人员无法将这一活动与任何已知威胁组织联系起来，但已经提取到了入侵指标（IoCs）。

网络攻击DoS.Generic.SYNFlood:TCP来自XXXXXXXXX到本地端口

您可以吧防火墙的局域网和互联网安全等级调成中级而且按此设置不影响主机的网络安全SYN-Flood是目前最流行的DDoS攻击手段，早先的DoS的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程。 SYN-Flood的攻击效果最好，应该是众黑客不约而同选择它的原因吧。那么我们一起来看看SYN-Flood的详细情况. Syn Flood利用了TCP/IP协议的固有漏洞.面向连接的TCP三次握手是Syn Flood存在的基础 .假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYN Flood攻击（SYN洪水攻击）我复制过来的，大概看了下，没什么，不用担心。如果嫌这个报警烦人的话，可以把安全级别设置的稍微低些。

如果系统被黑客攻击了怎么办？

问题提得太笼统了，具体的情况是怎么又没有说，一般被黑客主动攻击的又以下几种情况，第一，你的系统没有设置密码，黑客通过135端口获取你的系统的最高管理权限，从而进行种植木马，达到远程控制的目的。第二就是开放了3389端口，而且没有设置密码，黑客通过3389登陆你的电脑。第三，你安装了远程控制软件Radmin，也就是开放了4899端口，同样也是空密码，黑客通过4899端口连接你的电脑。第四，你的系统安装了SQL服务，也就是开放了1433端口，同样也是弱口令。第五，没有及时安装系统补丁，黑客有可能通过漏洞溢出获取管理权限。如果发现被入侵了，及时断开网络连接，然后用杀毒软件进行查杀。当然了，不排除木马被做免杀。系统的密码一定要设置。

12306网站用户数据为什么会外泄？

“火速改密码！”这是2014年12月25日人们奔走相告的一句流行语。第三方漏洞报告平台乌云网曝出，用户购买火车票的数据遭到泄露，约有13万条用户的个人数据在互联网被疯传，包括用户帐号、明文密码、身份证信息等，但是泄露的途径未知。一时间人心惶惶，质疑声纷纷指向网站。

针对网上出现“网站用户信息在互联网上风传”的消息，网站回应称，经核查，此泄露信息全部含有用户的明文密码，网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。称已报警，警方已介入调查。网站公告还提醒乘客，通过官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止个人身份信息外泄。同时，还提醒称，部分第三方网站开发的抢票神器中，有捆绑式销售保险功能，请乘客注意。

用户数据如何被泄露？

专家称可能密码早已泄露，通过“撞库攻击”整理

有关专家分析认为，正常情况下，注重安全的网站都不会使用明文密码。因此，这次泄露的13万个记录，极有可能是黑客通过其他数据库“撞库”整理出来的。

的用户信息是被“撞库”泄漏的，“撞库”是指用黑客通过收集网络上已泄露的用户名及密码信息，生成庞大的密码库，然后到等网站尝试批量登录，得到一批可以登录的用户账号及密码。一些网络安全公司昨天也发布声明，并确认数据泄露事件为“撞库攻击”。

谁是“泄密者”？

专家称基本确认由黑客获取，“网站账号安全体系存缺陷”

在官方声明中称，网上泄露的用户信息系经其他网站或渠道流出，并提醒用户不要使用第三方抢票软件购票。

根据安全研究人员分析，发现几乎所有13万条账号密码与之前一些游戏网站“泄密门”传出的账号密码完全匹配，基本可以确认该批数据是黑客通过撞库获得的。据悉这些信息可能在黑客之间“买卖”。网站被撞库，说明其账号安全体系存在缺陷，才会被黑客利用自动化程序尝试登录撞库。

如何规避密码泄露风险？

赶紧换密码，不同网站用不同密码并定期修改

能实现“撞库攻击”是因为很多用户在不同网站使用的是相同的账号密码，因此黑客能通过获取用户在A网站的账户从而尝试登录B网址。

的信息泄露有可能衍生风险，如邮箱被“撞库”(用的用户名密码去尝试登录邮箱)，造成更多个人信息被盗;因手机号身份证号行程的泄露，遭遇电信欺诈等，甚至可能遭遇已订火车票被恶意退票的情况。