青海省2月网络安全事件监测数据导读

2月网络安全事件监测数据

(一)木马或僵尸程序监测数据

2月,我省受木马或僵尸程序控制的主机IP数量为5068个,较上月受控主机数量(6400个)减少1332个。

2017年3月-2018年2月受木马或僵尸程序控制的主机IP数量按月分布情况如图1所示。


图1  2017年3月-2018年2月省内受木马或僵尸程序控制主机IP数量按月分布

2月,省内受木马或僵尸程序控制的主机IP数量中,青海电信用户所占比例最大,具体分布情况如图2所示。    

图2  2月省内受木马或僵尸程序控制主机IP数量按运营商分布

(二)感染“飞客”蠕虫数据

2月,QHCERT对省内感染“飞客”蠕虫病毒进行汇总分析发现,我省感染“飞客”蠕虫病毒的主机IP数量为366个,较上月数量(496个)减少了130个。

2017年3月-2018年2月感染“飞客”蠕虫病毒主机IP数量月变化情况如图3所示。


图3  20173月-20182月省内感染“飞客”蠕虫病毒主机IP数量按月分布

2月,省内感染“飞客”蠕虫病毒主机IP数量中,青海电信用户所占比例最大,具体分布情况如图4所示。


图4   2月省内感染“飞客”蠕虫病毒主机IP数量按运营商分布

(三)恶意代码监测情况

2月,通过CNCERT/CC监测未发现新增恶意代码,未新增恶意代码家族数。

恶意代码主要针对一些防护比较薄弱、访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载恶意代码。2月排名前十的活跃放马站点域名和IP如表一所示。

表一:活跃放马站点域名和IP排行

排序

活跃放马站点域名

活跃放马站点IP

1

i.kpzip.com

120.26.127.170

2

cl.urndf.com

43.242.181.16

3

www.go890.com

125.76.247.169

4

dl.urndf.com

117.23.6.63

5

dxdown.nonglirili.net

121.12.98.72

6

dl.apxlx.com

220.181.105.173

7

cl.qpzqxz.com

218.95.139.53

8

dl.qpzqxz.com

117.23.6.65

9

cl.apxlx.com

117.23.6.64

10

cl.gxjsxq.com

122.72.35.190

2月我省未发现活跃放马站点域名和活跃放马站点。

(四)网页篡改监测情况

2月,境内被篡改网站的数量为3678个,与上月4101个相比增加减少10.38%,其中代号为“暗链攻击”、“暗链测试”的攻击者对境内网站进行了大量篡改。按类型分布情况如图5所示,其中,被篡改网站数量最多的分别是COM类2438个、NET类308个、ORG类61个、GOV类53个、其他818个。


5  2月境内被篡改网站按类型分布

2月,境内政府网站被篡改数量为53个,占境内被篡改网站总数的1.4%。其中2月10日被篡改数量最多,达到10个。变化情况如图6所示,呈波动趋势。

6  2月境内政府网站被篡改数量趋势

2月我省未发现政府网站篡改事件。

2月,篡改境内网站数量前10位的攻击者如表二所示。

表二:篡改境内网站数量排行TOP10的攻击者

排序

攻击者名称

篡改网站数量

1

暗链攻击

1231

2

暗链测试

1092

3

页面攻击

544

4

未知

457

5

Ramnit后门

377

6

夹带攻击

32

7

挖矿者

24

8

搜索引擎劫持_google

9

9

网站后门

4

10

越南邻国宰相

3

(五)网站后门监测情况

2月,境内被植入后门的网站数量为1718个,较上月2606个相比减少34.08%。按类型分布情况如图7所示。其中,被植入后门数量最多的分别是COM类1171个、NET类101个、GOV类45个、ORG类28个、EDU类15个、其他358个。

7  2月境内被植入后门的网站按类型分布

2月,境内政府网站被植入后门的数量为28个,占境内被植入后门网站总数的1.6%。其中2月27日被植入后门数量最多,达到6个。变化情况如图8所示,呈波动趋势。


8  2月境内政府网站被植入后门数量趋势

2月我省发生2起政府及企业网站后门事件。