一、河南互聯(lián)網(wǎng)應急中心事件處理情況 八月份,我中心共處理2起互聯(lián)網(wǎng)安全事件�����。國家互聯(lián)網(wǎng)應急中心發(fā)現(xiàn)我省某地市政府網(wǎng)站掛馬��。我中心及時將事件信息通報相關電信運營企業(yè)�����,要求相關電信企業(yè)及時協(xié)調(diào)處理�,網(wǎng)站現(xiàn)已恢復正常。 二����、基礎電信運營企業(yè)及網(wǎng)絡安全企業(yè)上報情況 八月份,我省各基礎電信運營企業(yè)及網(wǎng)絡安全企業(yè)共上報網(wǎng)絡安全事件84起����,其中河南電信公司上報11起,河南移動公司上報3起�����,河南天融信上報63起��,河南山谷上報1起�����,世紀信安上報6起。相關電信運營企業(yè)已及時處理所上報安全事件��。 三�、河南省網(wǎng)絡安全事件分析 (一)木馬事件數(shù)據(jù) 2009年8月1日至31日���,CNCERT/CC對當前流行的木馬程序的活動狀況進行了抽樣監(jiān)測�,發(fā)現(xiàn)我國大陸地區(qū)23398個IP 地址對應的主機被其他國家或地區(qū)通過木馬程序秘密控制����,其分布情況如下圖所示,最多的地區(qū)為北京市(24.61%)�����。其中���,我省受控IP地址為826個,排名第10�。 另外,根據(jù)國內(nèi)木馬控制服務器IP地址分布情況看���,廣東最多�����,達7489個�����,河南排第5�����,共有3651個��。 �。ǘ┙┦W(wǎng)絡情況 2009年8月1日至31日,CNCERT/CC對僵尸網(wǎng)絡的活動狀況進行了抽樣監(jiān)測��,發(fā)現(xiàn)國內(nèi)699個IP地址對應的主機被利用作為僵尸網(wǎng)絡控制服務器�����,僵尸網(wǎng)絡主機數(shù)目有117852個���。其中����,我省僵尸網(wǎng)絡控制服務器數(shù)量為42個,僵尸網(wǎng)絡所感染的主機數(shù)量為6476個��。 1�、僵尸網(wǎng)絡控制服務器數(shù)量按地區(qū)排名 下圖是根據(jù)僵尸網(wǎng)絡控制服務器的數(shù)量,按地區(qū)繪制的Top10分布圖�。我省8月份僵尸網(wǎng)絡控制服務器數(shù)量在全國排第5位。
2�、僵尸網(wǎng)絡所感染主機數(shù)量按地區(qū)排名 下圖是根據(jù)僵尸網(wǎng)絡所感染主機的數(shù)量,按地區(qū)繪制的Top10分布圖���。從圖中可以看到�,我省僵尸網(wǎng)絡所感染主機數(shù)量在全國排第8位��。
3���、僵尸網(wǎng)絡控制服務器使用的控制端口分布 下圖是僵尸網(wǎng)絡控制服務器使用的控制端口分布圖����,從圖中可以看到�,56.38%的僵尸網(wǎng)絡控制服務器通過6667端口對目標計算機進行控制。
�。ㄈ┚W(wǎng)頁篡改情況 2009年8月1日至31日,我國大陸地區(qū)被篡改網(wǎng)站的數(shù)量為3693個���,其中���,我省被篡改網(wǎng)站數(shù)量為402個,排名全國第2���。
網(wǎng)頁篡改事件中�,排名前三位的攻擊者的名稱分別是:用幸福觸摸憂傷@W.S.H�����,攻擊511次���;雨夜孤魂����,攻擊200次�;Killer,攻擊74次��。 �����。ㄋ模⿶阂獯a捕獲情況 1、惡意代碼捕獲次數(shù)排名 下表是通過蜜網(wǎng)捕獲的惡意代碼樣本及其變種數(shù)量前10名: 名稱(參考卡巴斯基公司的命名方式) | 各安全廠商使用的其他名稱 | 捕獲次數(shù) | Virus.Win32.Texel.k | BitDefender:Win32.Luder.Gen
卡巴斯基:Virus.Win32.Texel.k
antivir:TR/Luder.Patched.84
ClamAV:W32.Luder-2
ClamAV_Cymru:W32.Luder-2 | 7855 | Virus.Win32.Virut.n | BitDefender:Win32.Virtob.3.Dam
卡巴斯基:Virus.Win32.Virut.n
antivir:W32/Virut.Gen
ClamAV:W32.Virut.ci
ClamAV_Cymru:W32.Virut.ci | 7748 | Backdoor.Win32.Rbot.bqj | 安天:unknown
金山:Worm.Bobic.ig.183296
瑞星:Backdoor.Mybot.wzj
趨勢:unknown
冠群:Win32/Rbot.GCG
BitDefender:Backdoor.SDbot.DFNQ
卡巴斯基:Backdoor.Win32.Rbot.bqj
微軟:Backdoor:Win32/Rbot.gen
antivir:WORM/Rbot.147456.27
ClamAV:Trojan.SdBot-9861
ClamAV_Cymru:Trojan.SdBot-9861
賽門鐵克:W32.Spybot.Worm | 4874 | Trojan.Win32.Patched.bj | BitDefender:Win32.Luder.Gen
卡巴斯基:Trojan.Win32.Patched.bj
antivir:W32/Texel.M
ClamAV:W32.Luder-2
ClamAV_Cymru:W32.Luder-2 | 2602 | Worm.Win32.AutoIt.r | BitDefender:Worm.Generic.53596
卡巴斯基:Worm.Win32.AutoIt.r
antivir:WORM/AutoIt.Z
ClamAV:Worm.Autorun-126
ClamAV_Cymru:DETECT_83.33 | 1547 | Virus.Win32.Virut.av | BitDefender:Backdoor.Sdbot.DGBX
卡巴斯基:Virus.Win32.Virut.av
antivir:W32/Virut.AX
ClamAV:W32.Virut-54
ClamAV_Cymru:W32.Virut-54 | 1451 | Net-Worm.Win32.Allaple.b | BitDefender:Win32.Worm.Allaple.Gen
卡巴斯基:Net-Worm.Win32.Allaple.b
antivir:WORM/Allaple.Gen
ClamAV:Worm.Allaple-31
ClamAV_Cymru:Worm.Allaple-2 | 792 | Backdoor.Win32.Poison.pg | BitDefender:Trojan.Keylog.ZKT
卡巴斯基:Backdoor.Win32.Poison.pg
antivir:BDS/Poisonivy.E.3
ClamAV:Trojan.Downloader-24568
ClamAV_Cymru:DETECT_80.95 | 662 | Virus.Win32.Virut.as | BitDefender:IRC-Worm.Generic.5867
卡巴斯基:Virus.Win32.Virut.as
antivir:W32/Virut.AP
ClamAV:Trojan.VanBot-366
ClamAV_Cymru:Trojan.VanBot-366 | 554 | Type_Win32 | BitDefender:Win32.Virtob.Gen.12
卡巴斯基:Type_Win32
antivir:unknown
ClamAV:unknown
ClamAV_Cymru:DETECT_61.90 | 501 |
2���、感染惡意代碼的主機對應IP按地區(qū)分布 8月份���,我國感染惡意代碼的主機對應IP數(shù)為215708個,其中�����,我省有8545個IP地址感染了惡意代碼���,排名全國第6����。下圖是根據(jù)感染惡意代碼的主機所對應IP的數(shù)量���,按地區(qū)繪制的Top10分布圖�。
鑒于近期網(wǎng)絡安全形勢不容樂觀����,各電信運營企業(yè)及各有關單位要充分重視�,對各自系統(tǒng)進行網(wǎng)絡安全加固��,及時升級殺毒軟件��,并及時更新病毒庫�����,安裝網(wǎng)絡防火墻��,有效地防止惡意代碼的攻擊����。 四����、近期安全威脅公告 (一)無線局域網(wǎng) AutoConfig 服務中的漏洞可能允許遠程執(zhí)行代碼 此安全更新解決無線局域網(wǎng) AutoConfig 服務中一個秘密報告的漏洞����。如果啟用了無線網(wǎng)絡接口的客戶端或服務器收到特制的無線幀,該漏洞可能允許遠程執(zhí)行代碼���。未啟用無線卡的系統(tǒng)不受此漏洞的威脅��。 參考信息: http://www.microsoft.com/china/technet/security/bulletin/MS09-049.mspx ���。ǘ┪④沇indows Vista等系統(tǒng)存在畸形SMB報文遠程拒絕服務漏洞 Windows Vista和Windows Server 2008等操作系統(tǒng)中服務器消息塊(SMB)2.0驅(qū)動程序存在嚴重“零日”安全漏洞����。SRV2.SYS驅(qū)動在實現(xiàn)NEGOTIATE PROTOCOL REQUEST功能時沒有正確處理發(fā)來的畸形SMB頭字段數(shù)據(jù)��,若遠程攻擊者在發(fā)送的SMB報文的“Process Id High”頭字段中包含有“&”字符���,則會導致系統(tǒng)藍屏宕機����,從而造成拒絕服務攻擊����。該漏洞利用簡單,漏洞信息和攻擊代碼已公開��,微軟公司尚未發(fā)布針對該漏洞的補丁程序��。 在目前廠商暫未提供補丁或者升級程序的情況下�,CNCERT推薦廣大用戶關閉445端口,直至官方提供相應的補丁�。注意:如果用戶選擇關閉445端口���,可能造成用戶局域網(wǎng)內(nèi)無法進行文件共享傳輸,請謹慎操作�����。如發(fā)現(xiàn)有關攻擊活動請及時與我中心聯(lián)系��。 操作方法如下: 通過添加注冊表項關閉445端口�,添加后必須重啟計算機: [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters] 新建注冊表項:SMBDeviceEnabled 類型: REG_DWORD 值: 0 參考信息: http://www.microsoft.com/technet/security/advisory/975497.mspx http://hi.baidu.com/antiyfx/blog/item/a8d4a0cd81ce701901e92848.html �。ㄈ〥HTML 編輯組件 ActiveX 控件中的安全漏洞可能允許遠程執(zhí)行代碼
此安全更新解決 DHTML 編輯組件 ActiveX 控件中的一個秘密報告的漏洞。 攻擊者可以通過構建特制的網(wǎng)頁來利用該漏洞�。 當用戶查看網(wǎng)頁時,該漏洞可能允許遠程執(zhí)行代碼����。 成功利用此漏洞的攻擊者可以獲得與登錄用戶相同的用戶權限。 那些帳戶被配置為擁有較少系統(tǒng)用戶權限的用戶比具有管理用戶權限的用戶受到的影響要小�����。 參考信息: http://www.microsoft.com/china/technet/security/bulletin/MS09-046.mspx
關于“河南互聯(lián)網(wǎng)應急中心” 國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心河南分中心(簡稱河南互聯(lián)網(wǎng)應急中心���,HENCERT)成立于2004年11月����,是河南省通信管理局領導下的省級互聯(lián)網(wǎng)網(wǎng)絡安全應急機構。河南互聯(lián)網(wǎng)應急中心作為國家計算機網(wǎng)絡應急體系的成員之一����,在國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心(簡稱國家互聯(lián)網(wǎng)應急中心,CNCERT/CC)的統(tǒng)一協(xié)調(diào)下運行�����。 河南互聯(lián)網(wǎng)應急中心的主要職責: 1��、協(xié)調(diào)��、指導省內(nèi)相關計算機網(wǎng)絡安全事件應急單位開展應急處置工作���,共同處理省內(nèi)公共電信基礎網(wǎng)絡上的安全緊急事件���; 2、為省內(nèi)公共電信基礎網(wǎng)絡以及請求協(xié)助的省內(nèi)重要信息系統(tǒng)和關鍵部門等提供網(wǎng)絡安全的監(jiān)測�、預警、應
急��、防范等安全服務和技術支持;
3����、及時收集、核實���、匯總�、報告有關互聯(lián)網(wǎng)安全的權威性信息�; 4、組織省內(nèi)相關計算機網(wǎng)絡安全應急組織進行交流與合作��。
| 
