一、河北省2014年第二季度网络安全工作通报
1) 综合省内电信运营企业网络安全事件报告,7月全省共发生公共互联网环境一般事件10274起;8月全省共发生公共互联网环境一般事件13451起;9月全省共发生公共互联网环境一般安全事件5568起。
2)2014年第三季度河北处置网络安全事件如下
日期 | 总量 | 类型 | ||||
网页仿冒 | 恶意代码 | 网页篡改 | 网站后门 | 漏洞 | ||
2014-07 | 60 | 1 | 1 | 23 | 2 | 33 |
2014-08 | 53 | 0 | 0 | 14 | 0 | 39 |
2014-09 | 74 | 1 | 0 | 24 | 0 | 49 |
合计: | 187 | 2 | 1 | 61 | 2 | 121 |
3)CNCERT/CC河北分中心流监测系统数据正常、域名监测系统数据正常。本通报选取9月份流监测结果作为样本对流监测情况进行说明:主要流监测结果如下:
1、全省每日总流量监测
9月河北省三个基础电信运营企业(河北联通、河北电信、河北移动)每日最高流量约4526Gb,流量峰值时段为每日21:00左右;最低流量约342Gb,流量谷值时段为每日5:10左右。UDP协议数据占29.70%,TCP协议数据占70.24%,ICMP协议数据占0.03%。
2、端口流量监测与分析
2014年9月1日至31日期间,CNCERT/CC河北分中心统计了TCP和UDP端口的流量情况。其中,TCP端口流量的前10位排名及所占比例如下:
表1-TCP端口流量的前10位排名及所占比例
排名 | TCP端口 | 百分比 | 主要业务种类 |
1 | TCP/80 | 91.03% | 网页服务端口 |
2 | TCP/8080 | 1.96% | 网页服务端口 |
3 | TCP/443 | 1.35% | 网页服务端口 |
4 | TCP/1863 | 0.80% | TCP/1863 |
5 | TCP/8000 | 0.57% | TCP/8000 |
6 | TCP/9090 | 0.56% | TCP/9090 |
7 | TCP/8189 | 0.41% | TCP/8189 |
8 | TCP/1935 | 0.37% | TCP/1935 |
9 | TCP/3528 | 0.36% | TCP/3528 |
10 | TCP/6000 | 0.31% | TCP/6000 |
- | 其他端口 | 2.28% |
UDP端口流量的前10位排名及所占比例如下:
表2-UDP端口流量的前10位排名及所占比例
排名 | 协议/端口号 | 百分比 | 主要业务种类 |
1 | UDP/9909 | 32.42% | 未知端口 |
2 | UDP/5041 | 12.33% | MTLS协议端口 |
3 | UDP/8000 | 12.12% | QQ通讯端口 |
4 | UDP/1863 | 6.41% | MSN服务端口 |
5 | UDP/7171 | 4.19% | 未知端口 |
6 | UDP/8091 | 1.37% | 未知端口 |
7 | UDP/5042 | 1.34% | 未知端口 |
8 | UDP/1024 | 1.16% | 未知端口 |
9 | UDP/4693 | 1.14% | 未知端口 |
10 | UDP/9000 | 1.12% | 未知端口 |
- | 其他端口 | 26.40% |
二、河北省网络安全状况分析
根据CNCERT/CC 2014年9月份网络安全业务统计报表,本部分内容对我省网络安全状况做出了分析。
(一)木马和僵尸程序事件情况分析
1、境外木马或僵尸程序控制服务器IP地址监测情况
9月份,CNCERT/CC 863-917网络安全监测平台共监测到3031个境外IP地址控制我国大陆地区主机的木马和僵尸程序事件。
2、中国大陆木马或僵尸程序控制服务器IP地址监测情况
共监测到5771个位于大陆地区的IP地址作为木马或僵尸程序控制服务器。其中河北省共监测到207个木马或僵尸程序控制服务器IP地址,位居全国第8,排名较上月有所下降。
表3-境内木马或僵尸程序控制服务器IP地址分布TOP10
排名 | 地区 | IP地址数目 |
1 | 广东 | 1037 |
2 | 江苏 | 789 |
3 | 北京 | 463 |
4 | 浙江 | 439 |
5 | 山东 | 337 |
6 | 云南 | 265 |
7 | 河南 | 207 |
8 | 河北 | 207 |
9 | 四川 | 188 |
10 | 福建 | 182 |
其他 | 1657 |
图2-河北省各月木马或僵尸程序控制服务器数量
图3–木马或僵尸程序控制服务器在河北省各运营商分布情况
3、中国大陆木马或僵尸程序受控主机IP地址监测情况
河北省被木马或僵尸程序控制的主机对应IP地址共31948个,位居全国第11名。被控主机数量呈上升趋势。
表4-国内木马或僵尸程序被控端主机IP地址分布TOP10
排名 | 地区 | IP地址数目 |
1 | 湖南 | 213428 |
2 | 广东 | 103351 |
3 | 江苏 | 82240 |
4 | 浙江 | 68430 |
5 | 山东 | 54682 |
6 | 北京 | 41101 |
7 | 福建 | 39242 |
8 | 河南 | 37449 |
9 | 上海 | 36888 |
10 | 辽宁 | 32144 |
11 | 河北 | 31948 |
其他 | 301400 |
图4 - 河北省各月木马或僵尸程序受控主机数量
4、木马僵尸网络规模Top10
监测到的规模最大的10个木马僵尸网络,其中没有属于我省的控制端IP地址。
表5-最活跃的木马控制端IP地址
活跃排名 | 控制端IP | 僵尸网络规模 | 境内外分布 | 国家地区省份 | 运营商 |
1 | 195.22.26.254 | 190803 | 境外 | 葡萄牙 | -- |
2 | 195.22.26.253 | 183429 | 境外 | 葡萄牙 | -- |
3 | 195.22.26.252 | 183357 | 境外 | 葡萄牙 | -- |
4 | 85.214.45.208 | 105999 | 境外 | 德国 | -- |
5 | 193.166.255.171 | 105930 | 境外 | 芬兰 | -- |
6 | 5.104.106.190 | 86737 | 境外 | 德国 | -- |
7 | 173.192.202.133 | 47262 | 境外 | 美国 | -- |
8 | 173.192.202.130 | 47200 | 境外 | 美国 | -- |
9 | 173.192.202.132 | 47200 | 境外 | 美国 | -- |
10 | 173.192.202.134 | 45902 | 境外 | 美国 | -- |
5、最活跃的木马或僵尸程序受控主机Top10
监测到的前10名最活跃的木马或僵尸程序受控主机中,其中没有属于我省的控制端IP地址。
表6-最活跃的木马被控端IP地址
活跃排名 | 被控制端IP | 活跃次数 | 境内外分布 | 国家地区省份 | 运营商 |
1 | 158.64.4.15 | 2220773 | 境外 | 卢森堡 | -- |
2 | 218.95.4.65 | 1556219 | 境内 | 江西 | 电信 |
3 | 123.7.117.109 | 1401514 | 境内 | 河南 | 联通 |
4 | 61.164.68.205 | 1298011 | 境内 | 浙江 | 电信 |
5 | 219.139.44.75 | 1111030 | 境内 | 湖北 | 电信 |
6 | 218.4.66.194 | 1062059 | 境内 | 江苏 | 电信 |
7 | 65.19.142.226 | 674407 | 境外 | 美国 | -- |
8 | 123.254.110.79 | 660515 | 境外 | 中国香港 | -- |
9 | 207.228.233.26 | 616772 | 境外 | 美国 | -- |
10 | 222.243.92.137 | 608763 | 境内 | 湖南 | 电信 |
(二)飞客蠕虫监测情况分析
河北省感染飞客蠕虫的主机对应IP地址共26756个,位居全国第13名。
表7-感染飞客蠕虫的主机IP地址分布TOP10
排名 | 地区 | IP地址数目 |
1 | 广东 | 255484 |
2 | 浙江 | 72701 |
3 | 江苏 | 72412 |
4 | 北京 | 64407 |
5 | 四川 | 62594 |
6 | 上海 | 59518 |
7 | 河南 | 51239 |
8 | 福建 | 40466 |
9 | 山东 | 38213 |
10 | 辽宁 | 33960 |
13 | 河北 | 26756 |
图5 - 河北省各月感染飞客蠕虫的主机数量
(三)活跃放马站点域名和IP
国家中心监测到活跃放马站点域名的TOP10,未发现属于河北省的站点域名。
表8-活跃放马站点域名TOP10
排序 | 活跃放马站点域名 |
1 | ww.zuowangzhanla.com |
2 | zn.tybests.com |
3 | hao.sxlad.com |
4 | down.aizhuomian.com |
5 | dldl.58kk.org |
6 | res.hg.youxi.com |
7 | zhainan.xzzxjly.com |
8 | 219.239.88.67 |
9 | 122.224.9.35 |
10 | soft.tybests.com |
国家中心监测到活跃放马站点IP的TOP10,未发现属于河北省的IP。
表9-活跃放马站点IP TOP10
排序 | 活跃放马站点IP |
1 | 118.122.37.107 |
2 | 222.186.19.215 |
3 | 219.239.88.67 |
4 | 122.224.9.35 |
5 | 162.212.180.51 |
6 | 221.10.135.150 |
7 | 14.29.32.122 |
8 | 119.147.137.111 |
9 | 110.85.5.35 |
10 | 120.192.85.34 |
(四)被篡改网页监测情况分析
根据CNCERT/CC自主监测、www.zone-h.org、www.zone-h.com.cn的网页篡改事件数据综合统计,本月份我省共有86个网页被篡改,居全国第16位。截至本报告发布时,所有被篡改的网页均已完成修改。
表10-中国大陆网页篡改监测情况
排名 | 地区 | 被篡改网站数量 |
1 | 北京 | 2185 |
2 | 浙江 | 1303 |
3 | 上海 | 1281 |
4 | 江苏 | 1137 |
5 | 广东 | 1035 |
6 | 福建 | 1017 |
7 | 河南 | 540 |
8 | 四川 | 449 |
9 | 天津 | 392 |
10 | 安徽 | 357 |
16 | 河北 | 86 |
图6 - 河北省各月网页篡改数量
(五)网站后门事件统计
由于目前网站后门成为黑客入侵的主要手段,CNCERT/CC在2012年发布了网站后门事件统计,可以由此看出网站后门的影响趋势和防范方向。本月份我省共有38个网站后门事件,居全国第16位。
表11-河北网站后门监测情况
排名 | 地区 | IP地址数量 |
1 | 北京 | 580 |
2 | 浙江 | 325 |
3 | 江苏 | 297 |
4 | 广东 | 192 |
5 | 上海 | 189 |
6 | 四川 | 101 |
7 | 山东 | 99 |
8 | 江西 | 94 |
9 | 河南 | 90 |
10 | 福建 | 88 |
16 | 河北 | 38 |
图7 - 河北省各月网站后门数量
(六)CNVD漏洞情况统计
表12- CNVD漏洞情况统计情况
本月收录的漏洞总数 | 高危 | 中危 | 低危 | 可远程攻击的漏洞 | 0day漏洞 | |
1月 | 496 | 115 | 326 | 55 | 496 | 115 |
2月 | 524 | 169 | 315 | 40 | 524 | 169 |
3月 | 466 | 142 | 277 | 47 | 466 | 142 |
4月 | 554 | 168 | 342 | 44 | 554 | 168 |
5月 | 522 | 175 | 299 | 48 | 522 | 175 |
6月 | 442 | 151 | 245 | 46 | 442 | 151 |
7月 | 586 | 162 | 354 | 70 | 586 | 162 |
8月 | 398 | 124 | 232 | 42 | 398 | 124 |
9月 | 466 | 134 | 275 | 57 | 466 | 134 |
10月 | ||||||
11月 | ||||||
12月 | ||||||
总数 | 3988 | 1206 | 2390 | 392 | 3988 | 1206 |
(七)本月行业漏洞信息
本月, CNVD收录了11个电信行业高危漏洞、14个移动互联网行业高危漏洞(如下列表所示),请各运营企业根据自身情况进行漏洞修复。
表13-本月行业漏洞信息情况
行业 | 漏洞标题 | 危险等级 | 是否有补丁 |
电信 | Apache Tomcat任意文件上传漏洞 | 高 | 是 |
电信 | Oracle MySQL Client yaSSL证书解码缓冲区溢出漏洞 | 高 | 是 |
电信 | Huawei Honor Cube WS860S任意文件上传漏洞 | 高 | 否 |
移动互联网 | Rooted SSH/SFTP Daemon默认登录漏洞 | 高 | 否 |
移动互联网 | Briefcase Pro for iOS存在多个漏洞 | 高 | 否 |
电信 | 多个Aztech ADSL2/2+路由器存在多个漏洞 | 高 | 否 |
电信 | Cisco IOS和IOS XE Software拒绝服务漏洞(CNVD-2014- | 高 | 是 |
电信 | Cisco IOS和IOS XE Software拒绝服务漏洞(CNVD-2014- | 高 | 是 |
电信 | Cisco IOS和IOS XE Software Multicast DNS Gateway拒绝服务 | 高 | 是 |
电信 | Cisco IOS和IOS XE Software拒绝服务漏洞(CNVD-2014- | 高 | 是 |
电信 | Cisco IOS和IOS XE Software Multicast DNS Gateway内存泄露 | 高 | 是 |
电信 | Cisco IOS和IOS XE Software DHCPv6拒绝服务漏洞 | 高 | 是 |
电信 | Cisco IOS和IOS XE Software拒绝服务漏洞(CNVD-2014- | 高 | 是 |
移动互联网 | Apple iOS IOAcceleratorFamily API参数拒绝服务漏洞 | 高 | 是 |
移动互联网 | Apple iOS IntelAccelerator驱动空指针引用漏洞 | 高 | 是 |
移动互联网 | Apple iOS Mach ports两次释放处理任意代码执行漏洞 | 高 | 是 |
移动互联网 | Apple iOS IOHIDFamily越界读漏洞 | 高 | 是 |
移动互联网 | Apple iOS IOHIDFamily特权提升漏洞 | 高 | 是 |
移动互联网 | Apple iOS Libnotify特权提升漏洞 | 高 | 是 |
移动互联网 | Apple iOS IODataQueue对象处理任意代码执行漏洞 | 高 | 是 |
移动互联网 | Apple iOS IOKit整数溢出漏洞 | 高 | 是 |
移动互联网 | Apple iOS IOHIDFamily堆溢出漏洞 | 高 | 是 |
移动互联网 | Apple iOS IOHIDFamily空指针引用远程代码执行漏洞 | 高 | 是 |
移动互联网 | Apple iOS IODataQueue对象处理任意代码执行漏洞 | 高 | 是 |
移动互联网 | Mzone Login application for Android SSL证书验证漏洞 | 高 | 否 |