7月网络安全事件监测数据
(一)木马或僵尸程序监测数据
7月,我省受木马或僵尸程序控制的主机IP数量为1803个,较上月受控主机数量(2706个)减少903个。
2017年8月-2018年7月受木马或僵尸程序控制的主机IP数量按月分布情况如图1所示。
图1 2017年8月-2018年7月省内受木马或僵尸程序控制主机IP数量按月分布
7月,省内受木马或僵尸程序控制的主机IP数量中,青海电信用户所占比例最大,具体分布情况如图2所示。
图2 7月省内受木马或僵尸程序控制主机IP数量按运营商分布
(二)感染“飞客”蠕虫数据
7月,QHCERT对省内感染“飞客”蠕虫病毒进行汇总分析发现,我省感染“飞客”蠕虫病毒的主机IP数量为627个,较上月数量(674个)减少了47个。
2017年8月-2018年7月感染“飞客”蠕虫病毒主机IP数量月变化情况如图3所示。
图3 2017年8月-2018年7月省内感染“飞客”蠕虫病毒主机IP数量按月分布
7月,省内感染“飞客”蠕虫病毒主机IP数量中,青海电信用户所占比例最大,具体分布情况如图4所示。
图4 7月省内感染“飞客”蠕虫病毒主机IP数量按运营商分布
(三)恶意代码监测情况
7月,通过CNCERT/CC监测未发现新增恶意代码,未新增恶意代码家族数。
恶意代码主要针对一些防护比较薄弱、访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载恶意代码。7月排名前十的活跃放马站点域名和IP如表一所示。
表一:活跃放马站点域名和IP排行
排序 | 活跃放马站点域名 | 活跃放马站点IP |
1 | iamete.com | 123.59.209.185 |
2 | download.glzip.cn | 117.21.173.157 |
3 | neirong.funshion.com | 123.59.209.220 |
4 | dc540.4sync.com | 139.199.16.78 |
5 | mobile.dimdial.com | 111.230.128.148 |
6 | www.zhgrp.net | 123.207.116.121 |
7 | www.pysolh.com | 123.207.119.158 |
8 | dlr.shareshape.com | 119.29.183.196 |
9 | ossi4.51cto.com | 220.181.171.89 |
10 | nongzi360.com | 123.207.27.171 |
7月我省未发现活跃放马站点域名和活跃放马站点。
(四)网页篡改监测情况
7月,境内被篡改网站的数量为1658个,与上月1669个相比增加减少0.6%,其中代号为 “暗链测试”、“未知”的攻击者对境内网站进行了大量篡改。按类型分布情况如图5所示,其中,被篡改网站数量最多的分别是COM类1233个、NET类96个、GOV类55个、ORG类30个、其他244个。
图5 7月境内被篡改网站按类型分布
7月,境内政府网站被篡改数量为55个,占境内被篡改网站总数的3.3%。其中7月26日被篡改数量最多,达到10个。变化情况如图6所示,呈波动趋势。
图6 7月境内政府网站被篡改数量趋势
7月我省未发现政府网站篡改事件。
7月,篡改境内网站数量前10位的攻击者如表二所示。
表二:篡改境内网站数量排行TOP10的攻击者
排序 | 攻击者名称 | 篡改网站数量 |
1 | 暗链测试 | 1012 |
2 | 未知 | 398 |
3 | Ramnit后门 | 212 |
4 | 挖矿者 | 28 |
5 | 陌影 | 3 |
6 | 网站后门 | 2 |
7 | MagelangCybe | 1 |
8 | AshiyaneDigitalSecurityTeam | 1 |
9 | ndhackersteam | 1 |
10 | 越南邻国宰相 | 1 |
(五)网站后门监测情况
7月,境内被植入后门的网站数量为2734个,较上月3014个相比减少9.3%。按类型分布情况如图7所示。其中,被植入后门数量最多的分别是COM类1626个、ORG类124个、NET类107个、GOV类96个、EDU类38个、其他1028个。
图7 7月境内被植入后门的网站按类型分布
7月,境内政府网站被植入后门的数量为96个,占境内被植入后门网站总数的3.2%。其中7月29日被植入后门数量最多,达到50个。变化情况如图8所示,呈波动趋势。
图8 7月境内政府网站被植入后门数量趋势
7月我省发生13起政府及企业网站后门事件。