1.互聯(lián)網(wǎng)曝心臟出血漏洞多少網(wǎng)站“裸奔”

互聯(lián)網(wǎng)曝心臟出血漏洞 多少網(wǎng)站“裸奔” 在過去的兩天里，互聯(lián)網(wǎng)曝出的一項(xiàng)漏洞，讓一些安全專家和黑客難眠。

其原因在于一個(gè)被黑客社區(qū)命名為“心臟出血”的漏洞，利用該漏洞，黑客可以實(shí)時(shí)獲取用戶登錄賬號(hào)和密碼。 “這對(duì)黑客來說是千載難逢的好機(jī)會(huì)，對(duì)安全廠商也是一舉成名的好機(jī)會(huì)，而互聯(lián)網(wǎng)公司可能有一失足成千古恨的危險(xiǎn)。

”360公司副總裁、首席隱私官譚曉生說。 不過也有人認(rèn)為安全公司是夸大其詞，某國外安全公司中國區(qū)技術(shù)總監(jiān)陳勝利認(rèn)為，“心臟出血”的確是一個(gè)漏洞，這個(gè)漏洞也比較常規(guī)，但兩年中一直并沒有爆發(fā)，真正有能力利用這個(gè)漏洞發(fā)動(dòng)攻擊的也只是很小一部分黑客。

他認(rèn)為，存在黑客攻擊獲得用戶數(shù)據(jù)后過一段時(shí)間再牟利的可能性。但也不排除有些安全公司并沒有做實(shí)際工作而借機(jī)炒作。

而中招的互聯(lián)網(wǎng)公司和用戶小心謹(jǐn)慎、寧可信其有不可信其無的心態(tài)還是值得贊許的。 “出血”攪動(dòng)互聯(lián)網(wǎng)“心臟” 所謂“心臟出血”，指的是OpenSSL源代碼出現(xiàn)的一個(gè)漏洞。

這一漏洞的存在，可以讓攻擊者獲得服務(wù)器上64K內(nèi)存中的數(shù)據(jù)內(nèi)容。這部分?jǐn)?shù)據(jù)中，可能存有安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等數(shù)據(jù)。

譚曉生稱，OpenSSL是互聯(lián)網(wǎng)上應(yīng)用最廣泛的安全傳輸辦法，“它是互聯(lián)網(wǎng)上銷量最大的門鎖”，各大網(wǎng)銀、在線支付、電商網(wǎng)站和門戶網(wǎng)站都在使用，一旦這個(gè)門鎖出現(xiàn)問題，幾乎所有的重要的網(wǎng)站都會(huì)“裸奔”。 安全公司Codenomicon和谷歌安全工程師發(fā)現(xiàn)了OpenSSL源代碼的這個(gè)漏洞，并提交給相關(guān)管理機(jī)構(gòu)，隨后官方很快發(fā)布了漏洞的修復(fù)方案。

OpenSSL大約兩年前就已經(jīng)存在這一缺陷。 SSL是一種流行的加密技術(shù)，可以保護(hù)用戶通過互聯(lián)網(wǎng)傳輸?shù)碾[私信息。

當(dāng)用戶訪問網(wǎng)絡(luò)銀行等安全網(wǎng)站時(shí)，就會(huì)在URL地址旁看到一個(gè)“鎖”，表明你在該網(wǎng)站上的通訊信息都被加密。這個(gè)“鎖”表明，第三方無法讀取你與該網(wǎng)站之間的任何通訊信息。

在后臺(tái)，通過SSL加密的數(shù)據(jù)只有接收者才能解密。如果不法分子監(jiān)聽了用戶的對(duì)話，也只能看到一串隨機(jī)字符串，而無法了解電子郵件、Facebook帖子、信用卡賬號(hào)或其他隱私信息的具體內(nèi)容。

OpenSSL是基于SSL的一個(gè)開源免費(fèi)軟件，由于免費(fèi)和易用，風(fēng)靡互聯(lián)網(wǎng)，很多網(wǎng)站都在使用這一技術(shù)。 很多隱私信息都儲(chǔ)存在服務(wù)器的內(nèi)存中，攻擊者通過模式匹配信息進(jìn)行分類整理后，可以找出密碼以及信用卡號(hào)等個(gè)人信息。

大量中國網(wǎng)站中槍 安全網(wǎng)站ZOOMEYE掃描了整個(gè)世界的服務(wù)器，做了一次整體的“體檢”。中國有33303臺(tái)服務(wù)器存在漏洞，美國則有24萬臺(tái)服務(wù)器可能有問題，12306鐵路客戶服務(wù)中心、微信公眾號(hào)、支付寶和淘寶等都受到影響，但均已修復(fù)。

阿里小微金融服務(wù)集團(tuán)首席風(fēng)險(xiǎn)官、阿里巴巴（滾動(dòng)資訊）集團(tuán)副總裁胡曉明告訴中國青年報(bào)記者：“OpenSSL是昨天爆發(fā)的，我們已經(jīng)完全修復(fù)了在OpenSSL出現(xiàn)漏洞以后安全信息的泄露問題。我們除了OpenSSL加密機(jī)制以外，還有自己的加密機(jī)制，來確?？蛻糍~號(hào)的安全。

” 360公司宣稱，這一漏洞至少影響2億中國網(wǎng)民，一批使用https登錄方式的主流網(wǎng)站有三成中招，包括大家最常用購物、網(wǎng)銀、社交等知名網(wǎng)站和服務(wù)。 “心臟出血”漏洞最大的危害之一是，黑客獲得用戶的信息并不著急發(fā)起攻擊，用戶和網(wǎng)站本身也不知道自己的資料泄露，一旦在未來某刻危機(jī)爆發(fā)，將是連鎖性大規(guī)模的安全事件。

互聯(lián)網(wǎng)還安全嗎 譚曉生稱，這次漏洞造成的巨大問題并不能由用戶自己解決，很多網(wǎng)站的服務(wù)器被攻擊，即便用戶做好防范，但黑客會(huì)直接從網(wǎng)站服務(wù)器上獲取用戶的賬戶和密碼，中國大約有3萬臺(tái)服務(wù)器存在該漏洞。 7日、8日訪問過這些服務(wù)器的用戶面臨很大的安全風(fēng)險(xiǎn)。

譚曉生建議，網(wǎng)站要趕緊升級(jí)，現(xiàn)在檢測到的只有一小半網(wǎng)站升級(jí)，大網(wǎng)站反應(yīng)迅速連夜升級(jí)，但中小網(wǎng)站和政府網(wǎng)站還有一大半沒有升級(jí)。有些網(wǎng)銀修復(fù)需要兩天時(shí)間，登陸網(wǎng)銀的時(shí)候要特別小心。

如果這兩天用戶曾經(jīng)登錄過需要賬號(hào)的網(wǎng)站或者網(wǎng)銀等，用戶需要看看這些網(wǎng)站修復(fù)沒有，對(duì)于已修復(fù)的網(wǎng)站，其用戶應(yīng)該修改密碼，如果網(wǎng)站還沒有修改漏洞的話，修改密碼也是無用的。 網(wǎng)絡(luò)安全企業(yè)、北京知道創(chuàng)宇信息技術(shù) 有限公司研究部總監(jiān)余弦建議在確認(rèn)有關(guān)網(wǎng)站安全之前，不要使用網(wǎng)銀、電子支付和電商購物等功能，以避免用戶密碼被鉆了漏洞的黑客捕獲。

安全專家建議，在此漏洞得到修復(fù)前，暫時(shí)不要在受到漏洞影響的網(wǎng)站上登錄賬號(hào)。 這次事件是不是表明互聯(lián)網(wǎng)不再安全？ 譚曉生認(rèn)為，OpenSSL軟件有紕漏，并不代表SSL全球的安全協(xié)議標(biāo)準(zhǔn)出現(xiàn)漏洞。

也不應(yīng)該對(duì)開源軟件和安全協(xié)議標(biāo)準(zhǔn)產(chǎn)生懷疑和不信任。沒有絕對(duì)安全的加密算法，開源其實(shí)意味著接受所有人的審查，所以出現(xiàn)漏洞幾率相當(dāng)少。

“越是遇到類似今日的情況越要為開源社區(qū)提供鼓勵(lì)和幫助，現(xiàn)在的一分幫助能為你換來下一個(gè)十年乃至二十年的安全網(wǎng)絡(luò)。 ”有安全專家呼吁。

本報(bào)北京4月10日電。

2.心臟出血漏洞怎么辦

來自O(shè)penSSL項(xiàng)目的 “心臟出血”（Heartbleed）重大安全漏洞曝光，頓時(shí)，世界上所有的程序猿/媛都震驚了！該漏洞被“譽(yù)為”本年度互聯(lián)網(wǎng)上最嚴(yán)重的安全漏洞，往下讀你會(huì)發(fā)現(xiàn)，它真是對(duì)得起這么恐怖響亮的名字！

漏洞發(fā)現(xiàn)：純屬偶然！

全球三分之二服務(wù)器中槍，嚇尿全世界工程師！

就在今年四月初，安全公司工程師吃著火鍋唱著歌，干著和平時(shí)一樣的日常工作，一個(gè)不小心檢測到了一個(gè)名為Heartbleed的系統(tǒng)漏洞（騰訊科技截圖，有圖有真相）。后來隨著深入研究，工程師被嚇尿了！因?yàn)樗麄儼l(fā)現(xiàn)這個(gè)漏洞可以誘惑服務(wù)器（OpenSSL）“吐”出內(nèi)存信息，然后讓黑客同志有盜取信用卡密碼等敏感信息的機(jī)會(huì)！另外必須吐槽的是，這個(gè)漏洞可以影響全球三分之二服務(wù)器，因?yàn)樗麄兌荚谑褂肙penSSL加密協(xié)議。（相比較，攜程的漏洞簡直是弱爆了?。?/p>

漏洞存在：已經(jīng)兩年！

極強(qiáng)危害https開頭網(wǎng)址，比如……你的網(wǎng)銀！

聞風(fēng)而來的工程師們一個(gè)接著一個(gè)被嚇尿了。因?yàn)檫@個(gè)外號(hào)叫“心臟出血”的漏洞對(duì)一切https開頭的網(wǎng)址都具有極強(qiáng)的危害性，可以導(dǎo)致網(wǎng)站用戶的大量隱私信息泄露。更可怕的是絕大多數(shù)網(wǎng)銀、電子商務(wù)、電子郵件網(wǎng)站，都是https開頭的有木有?。∽钭钭钤愀獾氖?，這并不是一個(gè)新的漏洞，而是已經(jīng)存在兩年之久！這就意味著絕大多數(shù)網(wǎng)民的個(gè)人賬號(hào)、銀行賬號(hào)及隱私等，均將毫無保留地被黑客所掌握！此處應(yīng)配樂：多么痛的領(lǐng)悟。（詳見騰訊科技文章）

漏洞預(yù)警：已上線

但，漏洞余毒根本停不下來！

目前，騰訊電腦管家已緊急聯(lián)合安全聯(lián)盟上線OpenSSL漏洞預(yù)警功能，凡是存在此嚴(yán)重漏洞風(fēng)險(xiǎn)的網(wǎng)站，均被攔截。但奈何全球服務(wù)器眾多，很難保證他們都修補(bǔ)了安全漏洞（尤其是一些技術(shù)實(shí)力不足的小網(wǎng)站），漏洞余毒根本停不下來！

為了不讓諸位的錢袋子隨著“心臟出血”大出血，在下主動(dòng)加班吐血建議：

1、盡快使用專業(yè)級(jí)的安全防護(hù)工具抵御黑客入侵

2、申請(qǐng)安全聯(lián)盟&電腦管家“雙V”認(rèn)證，獲得專業(yè)安全檢測和漏洞預(yù)警服務(wù)，解除網(wǎng)站風(fēng)險(xiǎn)提醒；

3、咨詢安全聯(lián)盟修復(fù)專家獲得修復(fù)支持（升級(jí)OpenSSL 1.0.1g，使用-DOPENSSL_NO_HEARTBEATS參數(shù)重新編譯低版本的OpenSSL以禁用Heartbleed模塊。）

4、請(qǐng)轉(zhuǎn)給不知情的單純小伙伴們，順祝：百毒不侵（此處有蠟燭）

3.心臟出血漏洞怎么修復(fù)

建議騰訊電腦管家修復(fù)

1）騰訊電腦管家會(huì)智能匹配電腦系統(tǒng)，針對(duì)性推送適合系統(tǒng)的高危漏洞補(bǔ)丁，而其他安全軟件可能推送非高危漏洞補(bǔ)??；

2）騰訊電腦管家推送最近發(fā)布的漏洞補(bǔ)丁包，而其他安全軟件可能提示已過期的漏洞補(bǔ)?。梢酝ㄟ^查看各安全軟件的補(bǔ)丁發(fā)布日期得知）。

3）騰訊電腦管家還可以定期自動(dòng)刪除補(bǔ)丁包，清理電腦空間

打開騰訊電腦管家——主菜單——修復(fù)漏洞——定期刪除補(bǔ)丁包（默認(rèn)勾選狀態(tài)）

4.心臟出血漏洞建行網(wǎng)站修復(fù)了嗎

您好！網(wǎng)站防范攻擊的方法：

1.清除木馬病毒。網(wǎng)站多次被篡改說明有木馬病毒，盡快安裝最新的查殺毒軟件徹底清除并適時(shí)檢測防護(hù)，還需要安裝一個(gè)防火墻！

2.系統(tǒng)加固。通過掃描檢測，可以發(fā)現(xiàn)網(wǎng)站、操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞，盡快修補(bǔ)并升級(jí)。

3.保存電子證據(jù)。若再次出現(xiàn)且難以解決，可以舉報(bào)，截圖（對(duì)比圖）、時(shí)間、影響等。

4.恢復(fù)修改完善網(wǎng)站。

如果網(wǎng)站價(jià)值較高，建議找專業(yè)的安全公司來解決，國內(nèi)也就Sinesafe和綠盟等安全公司 比較專業(yè).

我是從事IDC行業(yè)的.以上這些也是平時(shí)工作中經(jīng)常遇到的問題.希望我的回答對(duì)你有所幫助.