CNCERT發(fā)布2009年11月網(wǎng)絡(luò)安全公告求職網(wǎng)站成掛馬重點(diǎn)

文/紀(jì)玉春

CNCERT發(fā)布2009年11月網(wǎng)絡(luò)安全公告求職網(wǎng)站成掛馬重點(diǎn)

文/紀(jì)玉春

2009年11月，我國(guó)境內(nèi)僵尸網(wǎng)絡(luò)受控端的數(shù)量繼續(xù)保持較大降幅，已接近2009年5月出現(xiàn)的最低點(diǎn)，但絕對(duì)數(shù)量仍較高；境內(nèi)被篡改網(wǎng)站的數(shù)量在10月達(dá)到2009年最高點(diǎn)后又略有回落。

11月CNCERT重點(diǎn)監(jiān)測(cè)和處置網(wǎng)頁(yè)掛馬和網(wǎng)絡(luò)仿冒事件。其中，高校類網(wǎng)站、求職類網(wǎng)站成為掛馬的重點(diǎn)，這也反映出黑客利用求職高峰期掛馬的活動(dòng)。此外，年底節(jié)慶日較集中，近期利用“送禮”、“抽獎(jiǎng)”進(jìn)行網(wǎng)絡(luò)釣魚的事件屢見(jiàn)不鮮。

木馬活動(dòng)轉(zhuǎn)戰(zhàn)高校

2009年11月1日至30日，CNCERT/CC對(duì)流行的木馬程序的活動(dòng)狀況進(jìn)行了抽樣監(jiān)測(cè)，同比有所下降，高校類網(wǎng)站、求職類網(wǎng)站成為掛馬的重點(diǎn)。

數(shù)據(jù)表明，我國(guó)大陸地區(qū)20342個(gè)IP地址對(duì)應(yīng)的主機(jī)被其他國(guó)家或地區(qū)通過(guò)木馬程序秘密控制，與10月的22154個(gè)相比下降8.2%，其分布情況如圖1所示，最多的地區(qū)分別為廣東省（15.67%）、福建省（7.18%）和山東省（7.15%）。

境外控制者來(lái)自9690個(gè)IP地址，這些地址按國(guó)家和地區(qū)分布如圖2所示，與10月的16620個(gè)相比下降41.7%。

僵尸網(wǎng)絡(luò)受控大幅下降

2009年11月1日至30日，CNCERT/CC對(duì)僵尸網(wǎng)絡(luò)的活動(dòng)狀況進(jìn)行了抽樣監(jiān)測(cè)，發(fā)現(xiàn)國(guó)內(nèi)外2981個(gè)IP地址對(duì)應(yīng)的主機(jī)被利用作為僵尸網(wǎng)絡(luò)控制服務(wù)器，與10月的2267個(gè)相比增長(zhǎng)31.5%。境外控制端共2548個(gè)，比10月的1867個(gè)增長(zhǎng)36.5%。攻擊者一般通過(guò)這些控制服務(wù)器控制僵尸網(wǎng)絡(luò)的活動(dòng)。

僵尸網(wǎng)絡(luò)控制服務(wù)器在我國(guó)大陸的地區(qū)分布中，最多的地區(qū)分別是廣東省（24.02%）、浙江省（10.85%）和北京市（7.85%）。

2009年11月1日至30日，CNCERT/CC發(fā)現(xiàn)并跟蹤的僵尸網(wǎng)絡(luò)中，所用控制端口的分布情況如圖3所示。可以看出：6667和3113端口是僵尸網(wǎng)絡(luò)最常用的控制端口，所占比例較大。

2009年11月1日至30日，CNCERT/CC監(jiān)測(cè)發(fā)現(xiàn)國(guó)內(nèi)外共有1600668個(gè)IP地址所對(duì)應(yīng)的主機(jī)為僵尸網(wǎng)絡(luò)的客戶端（即被黑客利用僵尸網(wǎng)絡(luò)所控制的計(jì)算機(jī)），與10月相比下降4.3%。其中位于我國(guó)大陸的有59157個(gè)，與10月的108222個(gè)相比，下降45.3%。僵尸網(wǎng)絡(luò)客戶端在我國(guó)大陸的地區(qū)分布，最多的地區(qū)分別是上海市（11.65%）、廣東省（10.61%）和浙江省（7.20%）。

在發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)中，規(guī)模大于5000的僵尸網(wǎng)絡(luò)有67個(gè)，與10月持平，規(guī)模在1000以下的占96%以上，分布情況如圖4所示。

注：僵尸網(wǎng)絡(luò)的規(guī)模是指該僵尸網(wǎng)絡(luò)所擁有的受控主機(jī)數(shù)目。

?

漏洞報(bào)告數(shù)量略有下降

2009年11月1日至30日期間，CNCERT/CC收到國(guó)內(nèi)外通過(guò)電子郵件、熱線電話、網(wǎng)站提交、傳真等方式報(bào)告的網(wǎng)絡(luò)安全事件2055件（不含掃描類事件，也合并了通過(guò)不同方式報(bào)告的同一網(wǎng)絡(luò)安全事件），較10月增長(zhǎng)21.6%，其中來(lái)自國(guó)外的事件報(bào)告有2026件。

合并不同來(lái)源的重復(fù)報(bào)告后，11月共接收事件報(bào)告2055件，其中，垃圾郵件事件投訴占較大比例，為1070件。除漏洞報(bào)告數(shù)量略有下降外，其他的網(wǎng)絡(luò)安全事件報(bào)告數(shù)量均有不同程度的增長(zhǎng)，其中，病毒、蠕蟲(chóng)或木馬事件報(bào)告數(shù)量增幅最大，較10月增長(zhǎng)23倍。各類事件的具體數(shù)量如表1。

2009年11月1日至30日期間，CNCERT/CC接收到國(guó)內(nèi)外安全組織報(bào)告的漏洞31個(gè)，其中高危漏洞16個(gè)。受影響的軟硬件系統(tǒng)包括Apple、BIND 9、Blackberry、Google Chrome、HP 、Kaspersky、Linux、Microsoft、Opera和Serv-U FTP等廠商。11月份病毒、木馬等惡意代碼威脅程度相對(duì)較高，其傳播和擴(kuò)散的途徑往往是利用了已經(jīng)公布的系統(tǒng)和應(yīng)用軟件漏洞。

（作者單位為國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心）