您所在的位置:网站首页 > 网络安全 > 行业预警 > 正文

海南省网络安全通报(2017年 第2期)

  时间:2017-05-04 08:11:30  来源:海南省通信管理局
 

  一、我省本月网络安全总体情况

  2017年2月,我省互联网网络安全状况整体评价为良,木马僵尸等反映网络安全状况的部分指数有所减少,其中我省被境外控制的木马僵尸受控主机数量为6403个,较上月10255个有大幅缩减,列全国第25位;我省木马僵尸控制服务器数量为46个,比上月减少56个。从事件的地区分布来看,海口、三亚等地市感染僵尸木马的主机数量较多。本月共监测发现网页篡改事件8起,重要信息系统漏洞事件15起。每日互联网流量最高值为600G,最低值90G,未发现流量异常情况。我省重要信息系统部门或网站被攻击数量未见明显改善,部分政府网站或系统存被攻击痕迹或被植入后门,需引起政府和重要信息系统部门高度重视。

  二、本月网络安全工作动态

  1.互联网网络安全信息通报工作动态

  国家计算机网络应急技术处理协调中心海南分中心(简称海南互联网应急中心),由海南省通信管理局授权,负责收集、汇总、分析和发布本省互联网网络安全信息工作。
  2月,海南互联网应急中心共接收各基础运营企业、增值运营企业、网络安全企业等信息通报工作成员单位提供的网络安全月度信息汇总表7份。各运营企业相关网络安全责任人应密切关注本单位运营网络的安全情况,积极做好网络安全事件信息报送工作。

  2.开展木马僵尸感染主机清理工作

  2月,海南互联网应急中心共向各运营企业下发了1394条感染僵尸木马的IP数据,68条僵尸木马病毒控制端IP数据,181条感染蠕虫病毒的IP数据;后门IP数据17条。各企业积极配合并进行了处置。海南互联网应急中心针对各企业反馈涉事单位建立了重点单位监测表,进行每日监测,对监测发现的感染情况及时进行通报,并建立联系人机制,提高处置效率。

  3.手机病毒处理工作

  2月,海南互联网应急中心协调运营企业处置手机病毒254条。运营企业通过短信提醒、免费客户服务热线、网上营业厅或门户网站公告等方式,及时向用户推送手机病毒感染信息和病毒查杀方法及工具,帮助用户了解手机病毒危害及引导用户清除手机病毒,并在手机病毒处置过程中特别注意保护用户隐私。同时,将手机病毒处置结果、用户投诉等情况通报我中心。

  4.自主发现网络安全事件处置情况

  海南互联网应急中心通过国家中心系统平台,自主监测发现并处理了一些被植入后门和被篡改网页的网络安全事件,经过验证后向相关单位报送网络安全通报,并协助处理。本月共发行域名异常1起,恶意程序事件69起,漏洞事件15起,网页篡改8起,网站后门17起。

  附:本月报送和监测的数据导读

  附1:网络安全信息报送情况

  2月,海南互联网应急中心处理及或向本地区各信息通报工作成员单位报送的网络安全事件共1826起。各类事件信息详细分类统计分别如表1和表2所示。(注:此统计全包括海南互联网应急中心通报数据,另包括企业自查数据)

 

 

网络安全事件信息报送类型统计
20172
事件类型 数量
IP业务 0
基础IP网络 7
运营企业自有业务系统 0
域名系统 0
公共互联网环境 1819
合计 1826
 

表1:网络安全事件信息报送类型统计

 

 

事件类型 数量
计算机病毒事件 0
蠕虫事件 181
木马事件 68
僵尸网络事件 1394
域名劫持事件 0
网络仿冒事件 0
网页篡改事件 5
网页挂马事件 0
拒绝服务攻击事件 0
后门漏洞事件 17
非授权访问事件 0
垃圾邮件事件 0
其他网络安全事件 154
合计 1819
 

表2:公共互联网环境事件信息报送类型统计

  附2:木马僵尸监测数据分析

  1.木马僵尸受控主机的数量和分布
  2017年2月,监测发现我国大陆地区1157725个IP地址对应的主机被其他国家或地区通过木马程序秘密控制,与上月的1334277个相比减少了13.23%,其分布情况如图1所示。其中,海南省6403个(占全国0.55%),全国排名第25位。

 

图1:中国大陆木马或僵尸受控主机IP按地区分布

  2.木马僵尸控制服务器的数量和分布
  2017年2月,监测发现我国大陆地区10030个IP地址对应的主机被利用作为木马控制服务器,与上月的16473个相比减少了39.10%,其分布情况如图2所示。其中,海南省46个(占全国0.46%),全国排名第28位。

图2:中国大陆木马或僵尸控制服务器IP按地区分布

  3.境外木马控制服务器的数量和分布
  2017年2月,秘密控制我国大陆计算机的境外木马控制服务器IP有4459个,与上月的6102个相比减少了26.90%,主要来自美国、俄罗斯等国家,具体分布如图3所示。

图3:通过木马或僵尸程序控制中国大陆主机的境外IP按国家和地区分布

  4.木马僵尸网络规模分布
  在发现的僵尸网络中,规模大于5000的僵尸网络有21个,规模在100-1000的有274个,规模在1000-5000的有61个,分布情况如图4所示。

图4:僵尸网络的规模分布

  附3、境内被植入后门的网站按地区分布

  2017年2月,监测发现我国大陆地区3228个网站被植入后门程序,其分布情况如图6所示。其中,海南省9个(占全国0.29%),排全国第22位。

图6:境内被植入后门的网站按地区分布

  附4、网页篡改监测数据分析

  2017年2月,我国大陆地区被篡改网站4493个,与上月的4981个相比有所减少;其中,海南省5个(占全国0.11%),排名第27位。具体分布如图5所示。
 

图7:境内被篡改网站按地区分布

  附5、恶意代码数据分析

  2017年2月,恶意代码捕获与分析系统监测得到的放马站点统计。

 

 1.2017年2月CNCERT捕获的恶意代码数量  
名称 数量  
新增恶意代码名称数 4  
新增恶意代码家族数 2  
2. 2017年2月活跃放马站点域名和IP
排序 活跃放马站点域名 活跃放马站点IP
1 www.go890.com 106.37.238.1
2 wdx.go890.com 183.60.106.54
3 dl.wandoujia.com 117.23.6.63
4 dl.cdn.wandoujia.com 117.23.6.64
5 nc-dl.wdjcdn.com 117.23.6.68
6 cl.ssouy.com 117.23.6.67
7 idq.liukejun.com 120.26.127.170
8 icq.liukejun.com 222.73.72.3
9 cl.zasuv.com 59.50.75.195
10 i.kpzip.com 110.157.232.206

 

  附6:重要漏洞与重要事件处置公告

  2017年2月,CNVD整理和发布以下重要安全漏洞信息。同时提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。(更多漏洞信息,请关注CNVD官方网站:www.cnvd.org.cn)
  关于Apache Struts2存在S2-045远程代码执行漏洞的安全公告
  3月7日,国家信息安全漏洞共享平台(CNVD)收录了杭州安恒信息技术有限公司发现的Apache struts2 S2-045远程代码执行漏洞(CNVD-2017-02474,对应CVE-2017-5638),远程攻击者利用该漏洞可直接取得网站服务器控制权。由该应用较为广泛,且攻击利用代码已经公开,已导致互联网上大规模攻击的出现。
  一、漏洞情况分析
  Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,并成为当时国内外较为流行的容器软件中间件。jakarta是apache组织下的一套Java解决方案的开源软件的名称,包括很多子项目。Struts就是jakarta的紧密关联项目。
  根据CNVD技术组成员单位——杭州安恒信息技术有限公司提供的分析情况,基于Jakarta Multipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值,可通过精心构造附带OGNL表达的URL导致远程代码执行。
  CNVD对漏洞的综合评级均为“高危”。由于struts 2.3.5之前的版本存在S2-016漏洞,因此有较多升级后的Apache struts2的版本为2.3.5及以上版本,极有可能受到漏洞的影响。
  二、漏洞影响范围
  受漏洞影响的版本为:Struts2.3.5-Struts2.3.31, Struts2.5-Struts2.5.10。截至7日13时,互联网上已经公开了漏洞的攻击利用代码,同时已有安全研究者通过CNVD网站、补天平台提交了多个受漏洞影响的省部级党政机关、金融、能源、电信等行业单位以及知名企业门户网站案例。根据CNVD秘书处抽样测试结果,互联网上采用Apache Struts 2框架的网站(不区分Struts版本,样本集>500,覆盖政府、高校、企业)受影响比例为60.1%。
  三、漏洞处置建议
  Apache Struts官方已在发布的新的版本中修复了该漏洞。建议使用Jakarta Multipart parser模块的用户升级到Apache Struts版本2.3.32或2.5.10.1。除了升级struts版本外,为有效防护漏洞攻击,建议用户采取主动检测、网络侧防护的方法防范黑客攻击:
  (一)无害化检测方法(该检测方法由安恒公司提供)
在向服务器发出的http请求报文中,修改Content-Type字段:
Content-Type: %{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vul','vul')}.multipart/form-data,如返回response报文中存在vul:vul字段项则表明存在漏洞。
  (二)网络侧防护技术措施
  建议在网络防护设备上配置过滤包含如下#nike='multipart/form-data' 以及#container=#context['com.opensymphony.xwork2.ActionContext.container' 字段串(及相关字符转义形式)的URL请求。
  CNCERT/CNVD已着手组织国内安全企业协同开展相关检测和攻击监测相关工作,后续将再次汇总处置工作情况。
相关文章:
【关闭窗口】【返回顶部】责任编辑:海南省互联网协会

海南省互联网协会版权所有 翻版必究 地址:海口市南沙路47号通信广场  邮编:570206 电话:0898-66502933 传真:0898-66533698 技术支持:海南布谷

Copyright ©2012 HAINAN INTERNET Association. All rights reserved

ICP证 琼ICP备12002399号-1