黑龙江省网络安全监测数据分析报告 2014年7月
黑龙江省互联网信息工作领导小组办公室 联合发布
黑龙江省通信管理局
国家计算机网络应急技术处理协调中心黑龙江分中心
一、 7月互联网网络安全基本态势
2014年7月,我省互联网基础设施运行总体平稳,骨干网各项监测指标正常。木马僵尸网络、飞客蠕虫病毒、网站类攻击、拒绝服务攻击等是我省重要信息系统和互联网用户面临的最主要的网络安全威胁。部分数据如下:
(1)互联网主机安全情况。2014年7月我省感染木马或僵尸程序病毒的主机IP数量为19956个;我省被利用作为木马或僵尸程序控制服务器的IP数量为160个;我省感染飞客蠕虫病毒的主机IP数量为17673个。
(2)网站安全情况。2014年7月,监测发现我省被篡改网站68个,被黑客植入网页后门的网站33个。
(3)其他公共网络环境安全情况。2014年7月,国家信息安全漏洞共享平台共收集整理并公开发布信息安全漏洞780个,其中高危漏洞200个,Oday漏洞194个。
二、 7月互联网网络安全监测数据分析
2.1我省互联网主机安全状况分析
国家计算机网络应急处理协调中心黑龙江分中心对互联网主机易感染的木马、僵尸程序、飞客蠕虫病毒进行了持续的监测和分析。2014年7月,我省感染木马、僵尸程序、飞客蠕虫病毒主机数量及被利用作为控制端主机较上月有一定幅度增加。从感染病毒的主机在省内分布来看,哈尔滨、绥化、大庆等地市感染病毒数量较大,从控制我省互联网主机的境外病毒控制端分布来看,葡萄牙、美国、芬兰等国家或地区是主要发源地;从网络病毒的类型分析,主要以远控、盗号木马居多。
2.1.1我省互联网主机感染木马、僵尸程序情况
2.1.1.1我省木马、僵尸程序受控端情况
2014年7月,监测发现我省共有19956个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制,占全国比例为1.43%,如图1所示。
图1 黑龙江省木马或僵尸程序受控主机IP数量月度统计图
7月,哈尔滨、绥化、大庆、鸡西、齐齐哈尔五个城市木马或僵尸程序受控主机IP数量最多,其中哈尔滨占全省总数的51.74%,如图2所示。
图2 黑龙江省木马或僵尸程序受控主机IP数量按地市分布图
2.1.1.2我省木马、僵尸程序控制端情况
2014年7月,监测发现我省共有160个IP地址对应的主机作为木马、僵尸程序控制端与其他国家或地区进行通信,占全国比例为2.74%,如图3所示。
图3黑龙江省木马或僵尸程序控制端服务器IP数量月度统计图
7月,哈尔滨、伊春、鸡西、牡丹江、绥化五个城市木马或僵尸程序控制服务器IP数量最多,其中哈尔滨占全省总数的53.85%,如图4所示。
图4黑龙江省木马或僵尸程序控制服务器IP数量按地市分布图
2.1.1.3境外控制端分布情况
2014年7月,从控制我省互联网主机的境外病毒控制端分布来看,美国、葡萄牙、芬兰等国家或地区控制我省数量主机较多,如图5所示。
图5 境外秘密控制我省主机的控制端分布图
2.1.2我省互联网主机感染飞客蠕虫病毒情况
2014年7月,监测发现我省共有17673个IP地址对应的主机感染飞客蠕虫病毒,占全国比例为1.51%,如图6所示。
图6 黑龙江省感染飞客蠕虫主机IP数量月度统计图
7月,哈尔滨、牡丹江、齐齐哈尔、大庆、佳木斯五个城市感染飞客蠕虫主机IP数量最多,其中哈尔滨占全省总数的59.81%,如图7所示。
图7黑龙江省感染飞客蠕虫主机IP数量按地市分布图
2.2我省网站安全状况分析
2.2.1我省网页篡改事件
2014年7月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省68个网站被篡改,占全国总数的0.55%,如图8所示。
图8黑龙江省被篡改网站数量月度统计图
7月,在我省被篡改网站中,按照域名类型分布,.com&.com.cn域名数量最多,占全省56%,如图9所示。
图9 黑龙江省被篡改网站数量按类型分布图
2.2.2我省网页后门事件
2014年7月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省遭后门攻击网站33个,占全国总数的0.79%,如图10所示。
图10 黑龙江省遭后门攻击网站月度统计图
7月,在我省遭后门攻击网站中,按照域名类型分布,.com&.com.cn域名数量最多,占全省64%,如图11所示。
图11 黑龙江省遭后门攻击网站数量按域名统计图
2.2.3我省网页放马事件
2014年7月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省存在网页放马网站3个,如图12所示。
图12黑龙江省被放马网页数量月度统计图
三、 7月漏洞数据分析
1、IBM产品安全漏洞
IBM InfoSphere Master Data Management Server for Product Information Management(IBM InfoSphere MDM Server for PIM)是美国 IBM公司的一套企业产品信息管理解决方案。IBM InfoSphere Master Data Management(MDM) - Collaborative Edition是一套为产品信息管理(PIM)提供协同编辑的解决方案。IBM 1754 GCM系列在单一设备中提供了经由IP的KVM和串行控制台管理技术。IBM Storwize V7000是一个模块化的终端存储产品,能够与需求同步增长。上述产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息、注入任意WEB/HTML代码或执行任意脚本代码。
2、Apache产品安全漏洞
Apache HTTP Server 是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。Traffic Server 是 Apache软件基金会所研发的开放源码代理服务器和Web缓存服务器。上述产品被披露存在多个安全漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。
3、、Embarcadero ER/Studio Data Architect ActiveX远程代码执行漏洞
Embarcadero ER/Studio Data Architect (ER/Studio DA)是一种可视化数据建模工具。Embarcadero ER/Studio Data Architect被披露存在综合评级为“高危”的远程代码执行漏洞。攻击者利用漏洞可构建恶意WEB页,诱使用户解析,触发缓冲区溢出,或使应用程序崩溃、执行任意代码。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。