一、河南互聯(lián)網(wǎng)應(yīng)急中心事件處理情況 八月份,我中心共處理2起互聯(lián)網(wǎng)安全事件�����。國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)現(xiàn)我省某地市政府網(wǎng)站掛馬�。我中心及時將事件信息通報相關(guān)電信運(yùn)營企業(yè)���,要求相關(guān)電信企業(yè)及時協(xié)調(diào)處理,網(wǎng)站現(xiàn)已恢復(fù)正常�����。 二、基礎(chǔ)電信運(yùn)營企業(yè)及網(wǎng)絡(luò)安全企業(yè)上報情況 八月份�����,我省各基礎(chǔ)電信運(yùn)營企業(yè)及網(wǎng)絡(luò)安全企業(yè)共上報網(wǎng)絡(luò)安全事件84起�����,其中河南電信公司上報11起,河南移動公司上報3起,河南天融信上報63起�����,河南山谷上報1起�����,世紀(jì)信安上報6起�。相關(guān)電信運(yùn)營企業(yè)已及時處理所上報安全事件。 三���、河南省網(wǎng)絡(luò)安全事件分析 ���。ㄒ唬┠抉R事件數(shù)據(jù) 2009年8月1日至31日,CNCERT/CC對當(dāng)前流行的木馬程序的活動狀況進(jìn)行了抽樣監(jiān)測��,發(fā)現(xiàn)我國大陸地區(qū)23398個IP 地址對應(yīng)的主機(jī)被其他國家或地區(qū)通過木馬程序秘密控制�����,其分布情況如下圖所示,最多的地區(qū)為北京市(24.61%)����。其中,我省受控IP地址為826個����,排名第10。 另外���,根據(jù)國內(nèi)木馬控制服務(wù)器IP地址分布情況看�����,廣東最多����,達(dá)7489個�����,河南排第5���,共有3651個�����。 ����。ǘ┙┦W(wǎng)絡(luò)情況 2009年8月1日至31日��,CNCERT/CC對僵尸網(wǎng)絡(luò)的活動狀況進(jìn)行了抽樣監(jiān)測��,發(fā)現(xiàn)國內(nèi)699個IP地址對應(yīng)的主機(jī)被利用作為僵尸網(wǎng)絡(luò)控制服務(wù)器��,僵尸網(wǎng)絡(luò)主機(jī)數(shù)目有117852個�����。其中����,我省僵尸網(wǎng)絡(luò)控制服務(wù)器數(shù)量為42個,僵尸網(wǎng)絡(luò)所感染的主機(jī)數(shù)量為6476個���。 1�����、僵尸網(wǎng)絡(luò)控制服務(wù)器數(shù)量按地區(qū)排名 下圖是根據(jù)僵尸網(wǎng)絡(luò)控制服務(wù)器的數(shù)量���,按地區(qū)繪制的Top10分布圖�����。我省8月份僵尸網(wǎng)絡(luò)控制服務(wù)器數(shù)量在全國排第5位���。
2、僵尸網(wǎng)絡(luò)所感染主機(jī)數(shù)量按地區(qū)排名 下圖是根據(jù)僵尸網(wǎng)絡(luò)所感染主機(jī)的數(shù)量��,按地區(qū)繪制的Top10分布圖�。從圖中可以看到,我省僵尸網(wǎng)絡(luò)所感染主機(jī)數(shù)量在全國排第8位���。
3�、僵尸網(wǎng)絡(luò)控制服務(wù)器使用的控制端口分布 下圖是僵尸網(wǎng)絡(luò)控制服務(wù)器使用的控制端口分布圖�,從圖中可以看到,56.38%的僵尸網(wǎng)絡(luò)控制服務(wù)器通過6667端口對目標(biāo)計算機(jī)進(jìn)行控制���。
(三)網(wǎng)頁篡改情況 2009年8月1日至31日�����,我國大陸地區(qū)被篡改網(wǎng)站的數(shù)量為3693個,其中����,我省被篡改網(wǎng)站數(shù)量為402個,排名全國第2����。
網(wǎng)頁篡改事件中,排名前三位的攻擊者的名稱分別是:用幸福觸摸憂傷@W.S.H�,攻擊511次;雨夜孤魂����,攻擊200次;Killer����,攻擊74次。 ���。ㄋ模⿶阂獯a捕獲情況 1����、惡意代碼捕獲次數(shù)排名 下表是通過蜜網(wǎng)捕獲的惡意代碼樣本及其變種數(shù)量前10名: 名稱(參考卡巴斯基公司的命名方式) | 各安全廠商使用的其他名稱 | 捕獲次數(shù) | Virus.Win32.Texel.k | BitDefender:Win32.Luder.Gen
卡巴斯基:Virus.Win32.Texel.k
antivir:TR/Luder.Patched.84
ClamAV:W32.Luder-2
ClamAV_Cymru:W32.Luder-2 | 7855 | Virus.Win32.Virut.n | BitDefender:Win32.Virtob.3.Dam
卡巴斯基:Virus.Win32.Virut.n
antivir:W32/Virut.Gen
ClamAV:W32.Virut.ci
ClamAV_Cymru:W32.Virut.ci | 7748 | Backdoor.Win32.Rbot.bqj | 安天:unknown
金山:Worm.Bobic.ig.183296
瑞星:Backdoor.Mybot.wzj
趨勢:unknown
冠群:Win32/Rbot.GCG
BitDefender:Backdoor.SDbot.DFNQ
卡巴斯基:Backdoor.Win32.Rbot.bqj
微軟:Backdoor:Win32/Rbot.gen
antivir:WORM/Rbot.147456.27
ClamAV:Trojan.SdBot-9861
ClamAV_Cymru:Trojan.SdBot-9861
賽門鐵克:W32.Spybot.Worm | 4874 | Trojan.Win32.Patched.bj | BitDefender:Win32.Luder.Gen
卡巴斯基:Trojan.Win32.Patched.bj
antivir:W32/Texel.M
ClamAV:W32.Luder-2
ClamAV_Cymru:W32.Luder-2 | 2602 | Worm.Win32.AutoIt.r | BitDefender:Worm.Generic.53596
卡巴斯基:Worm.Win32.AutoIt.r
antivir:WORM/AutoIt.Z
ClamAV:Worm.Autorun-126
ClamAV_Cymru:DETECT_83.33 | 1547 | Virus.Win32.Virut.av | BitDefender:Backdoor.Sdbot.DGBX
卡巴斯基:Virus.Win32.Virut.av
antivir:W32/Virut.AX
ClamAV:W32.Virut-54
ClamAV_Cymru:W32.Virut-54 | 1451 | Net-Worm.Win32.Allaple.b | BitDefender:Win32.Worm.Allaple.Gen
卡巴斯基:Net-Worm.Win32.Allaple.b
antivir:WORM/Allaple.Gen
ClamAV:Worm.Allaple-31
ClamAV_Cymru:Worm.Allaple-2 | 792 | Backdoor.Win32.Poison.pg | BitDefender:Trojan.Keylog.ZKT
卡巴斯基:Backdoor.Win32.Poison.pg
antivir:BDS/Poisonivy.E.3
ClamAV:Trojan.Downloader-24568
ClamAV_Cymru:DETECT_80.95 | 662 | Virus.Win32.Virut.as | BitDefender:IRC-Worm.Generic.5867
卡巴斯基:Virus.Win32.Virut.as
antivir:W32/Virut.AP
ClamAV:Trojan.VanBot-366
ClamAV_Cymru:Trojan.VanBot-366 | 554 | Type_Win32 | BitDefender:Win32.Virtob.Gen.12
卡巴斯基:Type_Win32
antivir:unknown
ClamAV:unknown
ClamAV_Cymru:DETECT_61.90 | 501 |
2、感染惡意代碼的主機(jī)對應(yīng)IP按地區(qū)分布 8月份��,我國感染惡意代碼的主機(jī)對應(yīng)IP數(shù)為215708個��,其中����,我省有8545個IP地址感染了惡意代碼,排名全國第6���。下圖是根據(jù)感染惡意代碼的主機(jī)所對應(yīng)IP的數(shù)量��,按地區(qū)繪制的Top10分布圖�����。
鑒于近期網(wǎng)絡(luò)安全形勢不容樂觀��,各電信運(yùn)營企業(yè)及各有關(guān)單位要充分重視��,對各自系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全加固�����,及時升級殺毒軟件���,并及時更新病毒庫,安裝網(wǎng)絡(luò)防火墻���,有效地防止惡意代碼的攻擊����。 四���、近期安全威脅公告 ��。ㄒ唬o線局域網(wǎng) AutoConfig 服務(wù)中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼 此安全更新解決無線局域網(wǎng) AutoConfig 服務(wù)中一個秘密報告的漏洞���。如果啟用了無線網(wǎng)絡(luò)接口的客戶端或服務(wù)器收到特制的無線幀,該漏洞可能允許遠(yuǎn)程執(zhí)行代碼��。未啟用無線卡的系統(tǒng)不受此漏洞的威脅���。 參考信息: http://www.microsoft.com/china/technet/security/bulletin/MS09-049.mspx �。ǘ┪④沇indows Vista等系統(tǒng)存在畸形SMB報文遠(yuǎn)程拒絕服務(wù)漏洞 Windows Vista和Windows Server 2008等操作系統(tǒng)中服務(wù)器消息塊(SMB)2.0驅(qū)動程序存在嚴(yán)重“零日”安全漏洞��。SRV2.SYS驅(qū)動在實(shí)現(xiàn)NEGOTIATE PROTOCOL REQUEST功能時沒有正確處理發(fā)來的畸形SMB頭字段數(shù)據(jù),若遠(yuǎn)程攻擊者在發(fā)送的SMB報文的“Process Id High”頭字段中包含有“&”字符����,則會導(dǎo)致系統(tǒng)藍(lán)屏宕機(jī),從而造成拒絕服務(wù)攻擊��。該漏洞利用簡單�,漏洞信息和攻擊代碼已公開,微軟公司尚未發(fā)布針對該漏洞的補(bǔ)丁程序�����。 在目前廠商暫未提供補(bǔ)丁或者升級程序的情況下�,CNCERT推薦廣大用戶關(guān)閉445端口,直至官方提供相應(yīng)的補(bǔ)丁��。注意:如果用戶選擇關(guān)閉445端口����,可能造成用戶局域網(wǎng)內(nèi)無法進(jìn)行文件共享傳輸,請謹(jǐn)慎操作��。如發(fā)現(xiàn)有關(guān)攻擊活動請及時與我中心聯(lián)系��。 操作方法如下: 通過添加注冊表項(xiàng)關(guān)閉445端口�,添加后必須重啟計算機(jī): [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters] 新建注冊表項(xiàng):SMBDeviceEnabled 類型: REG_DWORD 值: 0 參考信息: http://www.microsoft.com/technet/security/advisory/975497.mspx http://hi.baidu.com/antiyfx/blog/item/a8d4a0cd81ce701901e92848.html ��。ㄈ〥HTML 編輯組件 ActiveX 控件中的安全漏洞可能允許遠(yuǎn)程執(zhí)行代碼
此安全更新解決 DHTML 編輯組件 ActiveX 控件中的一個秘密報告的漏洞�。 攻擊者可以通過構(gòu)建特制的網(wǎng)頁來利用該漏洞�����。 當(dāng)用戶查看網(wǎng)頁時��,該漏洞可能允許遠(yuǎn)程執(zhí)行代碼�����。 成功利用此漏洞的攻擊者可以獲得與登錄用戶相同的用戶權(quán)限��。 那些帳戶被配置為擁有較少系統(tǒng)用戶權(quán)限的用戶比具有管理用戶權(quán)限的用戶受到的影響要小���。 參考信息: http://www.microsoft.com/china/technet/security/bulletin/MS09-046.mspx
關(guān)于“河南互聯(lián)網(wǎng)應(yīng)急中心” 國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心河南分中心(簡稱河南互聯(lián)網(wǎng)應(yīng)急中心,HENCERT)成立于2004年11月����,是河南省通信管理局領(lǐng)導(dǎo)下的省級互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急機(jī)構(gòu)。河南互聯(lián)網(wǎng)應(yīng)急中心作為國家計算機(jī)網(wǎng)絡(luò)應(yīng)急體系的成員之一����,在國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱國家互聯(lián)網(wǎng)應(yīng)急中心���,CNCERT/CC)的統(tǒng)一協(xié)調(diào)下運(yùn)行。 河南互聯(lián)網(wǎng)應(yīng)急中心的主要職責(zé): 1���、協(xié)調(diào)����、指導(dǎo)省內(nèi)相關(guān)計算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急單位開展應(yīng)急處置工作���,共同處理省內(nèi)公共電信基礎(chǔ)網(wǎng)絡(luò)上的安全緊急事件���; 2、為省內(nèi)公共電信基礎(chǔ)網(wǎng)絡(luò)以及請求協(xié)助的省內(nèi)重要信息系統(tǒng)和關(guān)鍵部門等提供網(wǎng)絡(luò)安全的監(jiān)測�、預(yù)警、應(yīng)
急�����、防范等安全服務(wù)和技術(shù)支持�;
3、及時收集���、核實(shí)����、匯總、報告有關(guān)互聯(lián)網(wǎng)安全的權(quán)威性信息���; 4��、組織省內(nèi)相關(guān)計算機(jī)網(wǎng)絡(luò)安全應(yīng)急組織進(jìn)行交流與合作����。
| 
