青海省10月网络安全事件监测数据导读

10月网络安全事件监测数据

(一)木马或僵尸程序监测数据

10月,我省受木马或僵尸程序控制的主机IP数量为2540个,较上月受控主机数量(5047个)减少2507个。

2016年11月-2017年10月受木马或僵尸程序控制的主机IP数量按月分布情况如图1所示。

图1  2016年11月-2017年10月省内受木马或僵尸程序控制主机IP数量按月分布

  10月,省内受木马或僵尸程序控制的主机IP数量中,青海电信用户所占比例最大,具体分布情况如图2所示。    

图2  10月省内受木马或僵尸程序控制主机IP数量按运营商分布

(二)感染“飞客”蠕虫数据

10月,QHCERT对省内感染“飞客”蠕虫病毒进行汇总分析发现,我省感染“飞客”蠕虫病毒的主机IP数量为417个,较上月数量(759个)减少342个。

2016年11月-2017年10月感染“飞客”蠕虫病毒主机IP数量月变化情况如图3所示。

图3  201611月-201710月省内感染“飞客”蠕虫病毒主机IP数量按月分布

10月,省内感染“飞客”蠕虫病毒主机IP数量中,青海电信用户所占比例最大,具体分布情况如图4所示。

图4   10月省内感染“飞客”蠕虫病毒主机IP数量按运营商分布

(三)恶意代码监测情况

10月,通过CNCERT/CC监测发现新增恶意代码3个,未新增恶意代码家族数。

恶意代码主要针对一些防护比较薄弱、访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载恶意代码。10月排名前十的活跃放马站点域名和IP如表一所示。

表一:活跃放马站点域名和IP排行

排序

活跃放马站点域名

活跃放马站点IP

1

i.kpzip.com

43.242.181.16

2

www.go890.com

120.26.127.170

3

cl.gxjsxq.com

117.23.6.67

4

dl.gxjsxq.com

117.23.6.63

5

cl.wokxn.com

117.23.6.68

6

cl.xzqxzs.com

218.203.111.22

7

cl.urndf.com

218.203.111.25

8

cl2.cjsdxz.com

211.138.60.141

9

cl.qpzqxz.com

219.144.69.103

10

down1.7654.com

113.142.84.79

10月我省未发现活跃放马站点域名和活跃放马站点。

(四)网页篡改监测情况

10月,境内被篡改网站的数量为5163个,与上月5494个相比下降6.02%,其中代号为“暗链攻击”、“暗链测试”的攻击者对境内网站进行了大量篡改。按类型分布情况如图5所示,其中,被篡改网站数量最多的分别是COM类3621个、NET类344个、GOV类114个、ORG类97个、其他987个。

5  10月境内被篡改网站按类型分布

10月,境内政府网站被篡改数量为114个,占境内被篡改网站总数的2.2%。其中10月9日和10月13日被篡改数量最多,达到20个。变化情况如图6所示,呈波动趋势。

6  10月境内政府网站被篡改数量趋势

10月我省发现2起政府网页暗链事件。

10月,篡改境内网站数量前10位的攻击者如表二所示。

表二:篡改境内网站数量排行TOP10的攻击者

排序

攻击者名称

篡改网站数量

所属地域

1

暗链攻击

1594

未知 

2

暗链测试

1479

境内

3

未知

832

未知 

4

页面攻击

751

未知 

5

Ramnit后门

577

未知 

6

夹带攻击

29

未知 

7

网站后门

9

未知 

8

搜索引擎劫持_google

8

未知 

9

挖矿者

7

境内

10

ColdDog

3

未知 

(五)网站后门监测情况

10月,境内被植入后门的网站数量为2180个,较上月2825个相比减少22.83%。按类型分布情况如图7所示。其中,被植入后门数量最多的分别是COM类1210个、NET类119个、GOV类105个、ORG类57个、EDU类22个、其他667个。

7  10月境内被植入后门的网站按类型分布

10月,境内政府网站被植入后门的数量为105个,占境内被植入后门网站总数的4.8%。其中10月7日被植入后门数量最多,达到18个。变化情况如图8所示,呈波动趋势。

8  10月境内政府网站被植入后门数量趋势

10月我省发生6起政府及企业网站后门事件。