本周互联网网络安全态势整体评价为中。我国互联网基础设施运行平稳,全国范围或省级行政区域内未发生造成较大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、黑客恶意代码传播活动以及网页篡改。依据CNCERT抽样监测结果,境内被木马控制的主机IP地址数目为2.3万个,与前一周环比增长69%;境内被僵尸网络控制的主机IP地址数目为1.2万个,环比下降38%;境内被篡改政府网站数量为106个,环比下降27%。
一、本周重点网络安全事件
1、2月27日新华网温家宝总理与网民在线交流保障情况
在工业和信息化部通信保障局的指导下,CNCERT开展了新华网温家宝总理与网民在线交流保障工作。CNCERT对中国政府网和新华网从异常流量、域名服务、网页篡改、木马和僵尸网络等各个方面开展24小时连续监测,在线交流期间未发生大规模网络安全事件,网络安全态势整体平稳。
此外,2月26日CNCERT组织基础电信运营商、域名注册管理和服务机构对网上木马和僵尸网络开展了专项清理。在各单位的积极配合下,快速处理境内外控制服务器近100个。专项打击后,僵尸网络受控主机数大幅下降,有效保证了保障期间良好的网络环境。
2、境内政府网站被篡改情况
本周CNCERT监测发现,境内被篡改网站数量较上周增长8%,个别省部级政府网站位列其中。截至3月1日15时仍未恢复的被篡改的部分地市级以上(含地市级)政府部门网站如下表所示。
|
被篡改页面URL |
所属部门或地区 |
级别 |
|
http://ahcgw.ahinfo.gov.cn/index.asp |
安徽省 |
省部级 |
|
http://orac.hainan.gov.cn |
海南省 |
省部级 |
|
http://tiaoma.scbzhy.gov.cn/index.htm |
四川省 |
省部级 |
|
http://bzqts.gov.cn/index.htm |
安徽省亳州市 |
地市级 |
|
http://czqs.gov.cn/default.asp |
安徽省滁州市 |
地市级 |
|
http://www.chinahuangshan.gov.cn/NewFolder./1.asa |
安徽省黄山市 |
地市级 |
|
http://www.hsswhj.gov.cn/indonesia.txt |
安徽省黄山市 |
地市级 |
|
http://zwgk.ahsz.gov.cn/admin/NewFolder./1.asa |
安徽省宿州市 |
地市级 |
|
http://www.npswzzb.gov.cn/default.asp |
福建省南平市 |
地市级 |
|
http://lbj.maoming.gov.cn/help.asp |
广东省茂名市 |
地市级 |
|
http://mmgpc.maoming.gov.cn/help.asp |
广东省茂名市 |
地市级 |
|
http://swj.maoming.gov.cn/help.asp |
广东省茂名市 |
地市级 |
|
http://wsjd.maoming.gov.cn/help.asp |
广东省茂名市 |
地市级 |
|
http://www.cgb.lg.gov.cn/indonesia.txt |
广东省深圳市龙岗区 |
地市级 |
|
http://www.tj.lg.gov.cn/index.htm |
广东省深圳市龙岗区 |
地市级 |
|
http://www.szjs.gov.cn/index.htm |
广东省深圳市某局 |
地市级 |
|
http://beihaire.gov.cn/help.asp |
广西自治区北海市 |
地市级 |
|
http://cz.yindu.gov.cn/index.htm |
河南省安阳市 |
地市级 |
|
http://bm.yindu.gov.cn/index.htm |
河南省安阳市 |
地市级 |
|
http://rs.yindu.gov.cn/index.htm |
河南省安阳市 |
地市级 |
|
http://www.kfhb.gov.cn/indonesia.txt |
河南省开封市 |
地市级 |
|
http://tzb.hrbcs.gov.cn/index.htm |
黑龙江省哈尔滨市 |
地市级 |
|
http://www.hrbcs.gov.cn/indonesia.txt |
黑龙江省哈尔滨市 |
地市级 |
|
http://sdl.hrbcs.gov.cn/index.htm |
黑龙江省哈尔滨市 |
地市级 |
|
http://www.cznyw.gov.cn/default.asp |
湖南省郴州市 |
地市级 |
|
http://czradio.gov.cn/index.htm |
湖南省郴州市 |
地市级 |
|
http://cj.hnloudi.gov.cn/hex.htm |
湖南省娄底市 |
地市级 |
|
http://www.ccdrc.gov.cn/admin/jsinc/admin.asp |
吉林省长春市 |
地市级 |
|
http://www.lygda.gov.cn |
江苏省连云港市 |
地市级 |
|
http://lhzw.gov.cn/aspx.aspx |
江苏省南京市 |
地市级 |
|
http://wuliu.sqdmz.gov.cn/system_dntb/upload/ 201021121141667.txt |
江苏省宿迁市 |
地市级 |
|
http://www.jsyz-l-tax.gov.cn/index.html |
江苏省扬州市 |
地市级 |
|
http://www.yzjggw.gov.cn/indonesia.txt |
江苏省扬州市 |
地市级 |
|
http://zj.jssalt.gov.cn/default.asp |
江苏省镇江市 |
地市级 |
|
http://www.fszwgk.gov.cn/fushunxian/admin/aa./aa.asp |
辽宁省抚顺市 |
地市级 |
|
http://www.xqq.gov.cn/index.htm |
宁夏回族自治区银川市 |
地市级 |
|
http://www.qtx.gov.cn/help.asp |
宁夏自治区青铜峡市 |
地市级 |
|
http://wsj.qbj.gov.cn/index.htm |
四川省成都市 |
地市级 |
|
http://www.ybzj.gov.cn/indonesia.txt |
四川省宜宾市 |
地市级 |
|
http://www.tjhpfgj.gov.cn/indonesia.txt |
天津市和平区 |
地市级 |
|
http://jdk.gov.cn/default.asp |
浙江某省级开发区 |
地市级 |
二、本周活跃恶意域名
本周较为活跃的恶意域名如下表所示,其中,*.bij.pl、*.wwvv.us、*.3322.org等大量动态域名被黑客用作挂马源地址。通过对*.bij.pl、*.wwvv.us等恶意域名的命名规则进行分析发现,这些恶意域名为同一黑客或挂马集团所掌握,他们的惯用手法就是通过变换域名来规避打击。
|
adc.bij.pl、adf.bij.pl、adb.bij.pl、ada.bij.pl、aek.bij.pl、aen.bij.pl | |
|
vvvv.wwvv.us、w212.2.wwvv.us、wvw21.vv.wwvv.us、w324.vv.wwvv.us wwv2.8vv.wwvv.us、wvv23v.wwvv.us、v2.vv2.wwvv.us、vww32.vv.wwvv.us | |
|
web.nba1001.net |
nje8.cn、nje7.cn |
|
yoy.yoy.cn |
jzlxwhg.3322.org |
|
xm002.3322.org |
qjvod.3322.org |
注:根据华为、奇虎、知道创宇、启明星辰、安天等企业报送的网页挂马信息整理。
此外,一些网站由于安全管理措施不严或对用户上传的文件检查审核不严格,被黑客多次用作挂马跳转地址或上传恶意程序,用户访问其网站相关地址即被挂马。部分网站举例如下。
|
www.landuncctv.com |
南阳市蓝盾智能安防工程有限公司 |
|
bbs.xcdx169.net |
西昌之家论坛 |
|
game.hsw.cn |
华商网游戏频道 |
|
jkwd.xywy.com |
寻医问药网健康问答频道 |
|
www.oxkd.net |
新乡市偶像快递网 |
三、本周活跃恶意代码
|
名称 |
特点 |
|
Trojan.DL.PicFrame.a |
这是一个下载者病毒,利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的 |