11月网络安全事件监测数据
(一)木马或僵尸程序监测数据
11月,我省受木马或僵尸程序控制的主机IP数量为2117个,较上月受控主机数量(2540个)减少423个。
2016年12月-2017年11月受木马或僵尸程序控制的主机IP数量按月分布情况如图1所示。
图1 2016年12月-2017年11月省内受木马或僵尸程序控制主机IP数量按月分布
11月,省内受木马或僵尸程序控制的主机IP数量中,青海电信用户所占比例最大,具体分布情况如图2所示。
图2 11月省内受木马或僵尸程序控制主机IP数量按运营商分布
(二)感染“飞客”蠕虫数据
11月,QHCERT对省内感染“飞客”蠕虫病毒进行汇总分析发现,我省感染“飞客”蠕虫病毒的主机IP数量为770个,较上月数量(417个)增加了353个。
2016年12月-2017年11月感染“飞客”蠕虫病毒主机IP数量月变化情况如图3所示。
图3 2016年12月-2017年11月省内感染“飞客”蠕虫病毒主机IP数量按月分布
11月,省内感染“飞客”蠕虫病毒主机IP数量中,青海电信用户所占比例最大,具体分布情况如图4所示。
图4 11月省内感染“飞客”蠕虫病毒主机IP数量按运营商分布
(三)恶意代码监测情况
11月,通过CNCERT/CC监测发现新增恶意代码1个,未新增恶意代码家族数。
恶意代码主要针对一些防护比较薄弱、访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载恶意代码。11月排名前十的活跃放马站点域名和IP如表一所示。
表一:活跃放马站点域名和IP排行
排序 | 活跃放马站点域名 | 活跃放马站点IP |
1 | i.kpzip.com | 43.242.181.16 |
2 | www.go890.com | 120.26.127.170 |
3 | cl.gxjsxq.com | 211.138.60.141 |
4 | dl.gxjsxq.com | 117.23.6.63 |
5 | cl.qpzqxz.com | 117.23.6.67 |
6 | cl.wokxn.com | 117.23.6.68 |
7 | wdx.go890.com | 218.95.139.53 |
8 | cl.urndf.com | 218.203.111.22 |
9 | dl.apxlx.com | 223.111.16.246 |
10 | cl2.cjsdxz.com | 218.203.111.25 |
11月我省未发现活跃放马站点域名和活跃放马站点。
(四)网页篡改监测情况
11月,境内被篡改网站的数量为2368个,与上月5163个相比下降54.14%,其中代号为“暗链攻击”、“暗链测试”的攻击者对境内网站进行了大量篡改。按类型分布情况如图5所示,其中,被篡改网站数量最多的分别是COM类1716个、NET类168个、GOV类76个、ORG类39个、其他369个。
图5 11月境内被篡改网站按类型分布
11月,境内政府网站被篡改数量为76个,占境内被篡改网站总数的2.2%。其中11月9日被篡改数量最多,达到21个。变化情况如图6所示,呈波动趋势。
图6 11月境内政府网站被篡改数量趋势
11月我省发现1起政府网页暗链事件。
11月,篡改境内网站数量前10位的攻击者如表二所示。
表二:篡改境内网站数量排行TOP10的攻击者
排序 | 攻击者名称 | 篡改网站数量 | 所属地域 |
1 | 暗链测试 | 1211 | 境内 |
2 | 未知 | 603 | 未知 |
3 | Ramnit后门 | 515 | 未知 |
4 | 网站后门 | 9 | 未知 |
5 | 挖矿者 | 9 | 境内 |
6 | 越南邻国宰相 | 3 | 境内 |
7 | BlackDoom | 3 | 未知 |
8 | MagelangCybe | 2 | 境外 |
9 | AshiyaneDigitalSecurityTeam | 1 | 境外 |
10 | 苏珞漓 | 1 | 境内 |
(五)网站后门监测情况
11月,境内被植入后门的网站数量为2504个,较上月2180个相比增加14.86%。按类型分布情况如图7所示。其中,被植入后门数量最多的分别是COM类1275个、NET类92个、GOV类132个、ORG类78个、EDU类61个、其他866个。
图7 11月境内被植入后门的网站按类型分布
11月,境内政府网站被植入后门的数量为92个,占境内被植入后门网站总数的3.7%。其中11月4日被植入后门数量最多,达到21个。变化情况如图8所示,呈波动趋势。
图8 11月境内政府网站被植入后门数量趋势
11月我省未发生政府及企业网站后门事件。