青海省6月网络安全事件监测数据导读

6月网络安全事件监测数据

(一)木马或僵尸程序监测数据

6月,我省受木马或僵尸程序控制的主机IP数量为2706个,较上月受控主机数量(2072个)增加634个。

2017年7月-2018年6月受木马或僵尸程序控制的主机IP数量按月分布情况如图1所示。

图1  2017年7月-2018年6月省内受木马或僵尸程序控制主机IP数量按月分布

  6月,省内受木马或僵尸程序控制的主机IP数量中,青海电信用户所占比例最大,具体分布情况如图2所示。    

图2  6月省内受木马或僵尸程序控制主机IP数量按运营商分布

(二)感染“飞客”蠕虫数据

6月,QHCERT对省内感染“飞客”蠕虫病毒进行汇总分析发现,我省感染“飞客”蠕虫病毒的主机IP数量为674个,较上月数量(662个)增加了12个。

2017年7月-2018年6月感染“飞客”蠕虫病毒主机IP数量月变化情况如图3所示。

图3  20177月-20186月省内感染“飞客”蠕虫病毒主机IP数量按月分布

6月,省内感染“飞客”蠕虫病毒主机IP数量中,青海电信用户所占比例最大,具体分布情况如图4所示。

图4   6月省内感染“飞客”蠕虫病毒主机IP数量按运营商分布

(三)恶意代码监测情况

6月,通过CNCERT/CC监测未发现新增恶意代码,未新增恶意代码家族数。

恶意代码主要针对一些防护比较薄弱、访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载恶意代码。6月排名前十的活跃放马站点域名和IP如表一所示。

表一:活跃放马站点域名和IP排行

排序

活跃放马站点域名

活跃放马站点IP

1

iamete.com

219.153.17.122

2

download.glzip.cn

182.140.228.250

3

dlr.noilwut0vv.club

219.159.249.122

4

dlr.shareshape.com

220.181.171.89

5

neirong.funshion.com

123.59.209.220

6

static.iwzztech.com

123.59.209.185

7

www.pysolh.com

61.240.142.122

8

elhoumaupload.com

183.131.155.242

9

ossi4.51cto.com

110.185.160.200

10

asedownloadgate.com

119.29.183.196

6月我省未发现活跃放马站点域名和活跃放马站点。

(四)网页篡改监测情况

6月,境内被篡改网站的数量为1669个,与上月1799个相比增加减少7.2%,其中代号为 “暗链测试”、“未知”的攻击者对境内网站进行了大量篡改。按类型分布情况如图5所示,其中,被篡改网站数量最多的分别是COM类1238个、NET类101个、GOV类45个、ORG类28个、其他257个。

5  6月境内被篡改网站按类型分布

6月,境内政府网站被篡改数量为45个,占境内被篡改网站总数的2.7%。其中6月3日被篡改数量最多,达到9个。变化情况如图6所示,呈波动趋势。

6  6月境内政府网站被篡改数量趋势

6月我省未发现政府网站篡改事件。

6月,篡改境内网站数量前10位的攻击者如表二所示。

表二:篡改境内网站数量排行TOP10的攻击者

排序

攻击者名称

篡改网站数量

1

暗链测试

980

2

未知

400

3

Ramnit后门

255

4

挖矿者

22

5

网站后门

2

6

陌影

2

7

iskorpitx

1

8

ndhackersteam

1

9

越南邻国宰相

1

10

hema

1

11

邪红色

1

12

苏珞漓

1

13

L0s4r

1

14

Avenger

1

(五)网站后门监测情况

6月,境内被植入后门的网站数量为2734个,较上月3014个相比减少9.3%。按类型分布情况如图7所示。其中,被植入后门数量最多的分别是COM类1680个、NET类113个、GOV类69个、ORG类54个、EDU类28个、其他790个。

7  6月境内被植入后门的网站按类型分布

6月,境内政府网站被植入后门的数量为69个,占境内被植入后门网站总数的2.5%。其中6月1日和6月5日被植入后门数量最多,达到9个。变化情况如图8所示,呈波动趋势。

8  6月境内政府网站被植入后门数量趋势

6月我省发生2起政府及企业网站后门事件。