云南省互联网网络安全月度通报2010年第1期

1.本月网络安全基本态势分析

本月，国家互联网应急中心云南分中心（YNCERT）接收各信息通报成员单位上报的网络安全月度信息汇总表共4份，自主系统监测周报4期，监测结果及通报汇总报告1份。

本月我省互联网安全状况整体评价为良。

YNCERT监测、处理“1.12”百度域名劫持事件，baidu.com域名一度不能访问，原因为其域名注册信息被非法篡改。

监测到我省互联网流量异常2次，由于及时响应、处置得当，未对我省互联网业务造成影响。

监测到我省感染“飞客”蠕虫病毒主机23,453台。其中感染“飞客”b变种23,071台，感染“飞客”c变种382台。

监测到我省政府网站网络安全事件3起，网站的主办单位分别为：云南省大理白族自治州宾川县教育局、云南省普洱市人民政府法制办公室、云南省曲靖市陆良县政府采购中心。

云南省通信管理局委托国家互联网应急中心云南分中心（YNCERT）收集YNCERT自主监测、省内各基础电信业务经营者、电信增值服务提供商汇总的信息，报送CNCERT。其中各类一般性网络安全事件信息共8,271件，较上月报送的16,156起下降约51.2%，其中，恶意代码事件数量连续四个月下降，较上月减少51.6%。

1.1 YNCERT重点监测及处理的事件

重点监测公众个案事件3起：

YNCERT监测到我省政府网站网络安全事件3起，分别是：

云南省大理白族自治州宾川县教育局网站被黑客控制，后台入口为（bce.gov.cn/help.asp），该网站已经连续多月被黑客控制。

云南省普洱市人民政府法制办公室网站（fzb.puershi.gov.cn/hex.htm）被黑客篡改。

云南省曲靖市陆良县政府采购中心网站（http://www.llgp.gov.cn/spook.htm）被黑客篡改。

1.2 YNCERT监测结果及分析

1.2.1恶意代码数据分析

本月YNCERT捕获恶意软件样本5,419次，平均每天捕获174次，恶意代码数量较上月大幅下降。捕获恶意软件新样本150个，平均每天捕获5个。

1.2.2僵尸木马网络数据分析

本月YNCERT发现僵尸网络控制服务器437个，发现新僵尸网络控制服务器数目为92个。

上述僵尸网络控制服务器的主要使用端口为6667，51987，31960，789，26195，5213，5001，7302。

上述僵尸网络控制服务器的地域分布为：美国38.38%、丹麦6.06%、俄罗斯4.04%、加拿大4.04%、荷兰3.03%、捷克2.02%、日本2.02%、瑞典2.02%。僵尸网络规模平均在线可见数量统计：1-100：83.87%、100-500：4.84%、500-1000：4.84%、1000-5000：1.61%、>5000：0%。僵尸网络所使用的僵尸程序家族TOP9：allaple、lipler、delf、agent、krap、refroso、fraudpack、instantaccess、virut。

1.2.3网页恶意代码、网页篡改及网页仿冒数据分析

本月YNCERT发现恶意URL事件次，恶意URL通过网页挂恶意软件，俗称网页挂马。其中国内恶意URL事件2,179起，其中ask.39.net，c.pee.cn，b177.cnzz.com，cj.lo26.com，a2.364736.com，www.nongcun35.com，www.yahoozsw.com，www.yahooxa0.com为YNCERT发现的国内主要恶意URL网站。

YNCERT监测到我省政府网站网页被篡改9起，截止发文时被篡改网页仍未恢复的有3起，整个网站无法正常访问的有2起：

云南广电网络集团公司（http://www.ynbit.com）和昭通广电网络（http://ztgd.ynbit.cn）网站无法正常访问；

大理白族自治州宾川县教育局网站留有后门（http://bce.gov.cn/help.asp）；

云南省普洱市人民政府法制办公室网站（http://fzb.puershi.gov.cn/hex.htm）被土耳其黑客组织HEXB00T3R攻击，网页被篡改。

云南省曲靖市陆良县政府采购中心网站（http://www.llgp.gov.cn/spook.htm）被黑客组织Spook攻击，网页被篡改。

1.2.4流量及用户数据分析

本月我省出省互联网流量平均98.04Gbps，每日峰值平均160Gbps，每日谷值平均30Gbps。UDP流量占总流量的63.05%，TCP流量占总流量的36.85%。

本月我省互联网应用协议TCP端口TOP10为：http/80，TCP/8080，TCP/6601，TCP/8090，TCP/443，TCP/554，TCP/3128，TCP/9912，TCP/8284，TCP/10778。http应用协议使用最广，占总流量的72.87%。

我省互联网应用协议UDP端口TOP10为：UDP/15000，UDP/1863，UDP/8183，UDP/29909，UDP/5041，UDP/8000，UDP/1723，UDP/11847，UDP/7600，UDP/7000。迅雷软件应用协议（15000）流量最大，占总流量的14.48%，其次是MSN（1863）占11.92 %，QQdownload（29909）占总流量的2.56 %，BT下载（8889）占总流量的2.48 %，QQ或灰鸽子木马默认（8000）占总流量的1.76%，网际快车(7600)占总流量的1.9%，网络游戏端口(7000)占总流量的0.85%。

1.2.5域名系统数据分析

本月我省12台域名服务器无域名劫持事件发生。

www.baidu.com于1月12日发生域名劫持事件，导致用户无法正常访问“百度网站”。事件发生原因为其域名注册信息被非法篡改。YNCERT积极处置，于当日基本恢复www.baidu.com网站的正常访问。

2.本月网络安全动态信息

2.1 公安部物证鉴定中心网站被黑客篡改

2010年1月2日，公安部物证鉴定中心的中英文网站遭到黑客入侵，网站页面不断被篡改。根据黑客在篡改页面中留存的信息和署名，公安部物证鉴定中心网站正被至少两名以上的黑客控制和修改。

2.2 日本防卫省2011年建立“网军”

日本防卫厅决定于2011年组建专门应对电脑攻击的“刁闹空间防卫队”。电脑防卫队主要负责搜集最新的电脑病毒信息，研究避免病毒感染的对策，并加强对防卫省和自卫队情报系统的监管。

2.3 韩国政府投资36亿发展云计算

韩国广播通信委员会、知识经济部、行政安全部公布《搞活云计算综合计划》。决定于2014年之前向云计算机领域投资6146亿韩元（36亿人民币），争取使韩国云计算市场的规模扩大为目前的四倍，达到2.5万亿韩元。

2.4 2010年四大安全趋势：黑客瞄上Chrome OS

1月2日，据国外媒体报道，2010年网络安全市场将呈现以下趋势：1）Facebook和Twitter等社交网站将成为主要攻击目标；2）URL缩写服务和银行网站成为“钓鱼”攻击的主要对象；3）谷歌Chrome OS系统将面临严峻的安全挑战；4）Adobe将成为第一大攻击目标。

2.5 全国首例侵犯公民信息安全案珠海宣判

1月3日，全国首例公民信息安全案在珠海宣判。被告人周建平因非法出售公民个人信息资料被珠海市香洲区人民法院以非法获取公民个人信息罪判处有期徒刑1年6个月，并处罚金2000源。周建平是2009年10月16日最高法院、最高检察院针对《刑法修正案(七)》而公布实施的《罪名补充规定(四)》后，国内被法院以侵犯个人信息安全的新罪名追究刑事责任的第一人。

2.6 百度网站域名被劫持，全球无法正常访问

1月12日上午7时，百度公司网站（www.baidu.com）突然无法访问，此事件引起互联网用户的广泛关注，在工业与信息化部的领导下，CNCERT积极协调各省分中心、百度公司、CNNIC和基础电信企业采取应急处置措施。12日上午11时，网站逐步恢复正常。12日下午1时，工业和信息化部召集百度公司、基础电信运营企业、CNCERT及CNNIC召开专家研判会。百度公司域名在美国register.com公司的注册信息被非法篡改，导致域名在全球的解析被错误指向。

3. 恶意代码捕获及分析情况

2010年1月1日至31日，CNCERT捕获数量位于前十位的恶意代码样本如下：

4. 漏洞报告情况

本月，国家信息安全漏洞共享平台（CNVD）整理和发布以下重要安全漏洞信息。详细信息请访问http://www.cert.org.cn网站。

4.1 Discuz!7.1 & 7.2 showmessage远程代码执行漏洞

4.2 PHPWind 7.5存在多个安全漏洞

4.3 嵌入式OpenType字体引擎中的漏洞可能允许远程代码执行

4.4 Adbobe Reader和Acrobat发布安全更新

4.5 微软IE浏览器存在对象重用远程攻击“0day”漏洞及修补MS10-002公告

4.6 Apple Mac OS X代码执行和安全绕过漏洞

4.7 MySQL yaSSL库存在证书解析远程溢出漏洞

4.8 Cisco Unified MeetingPlace存在多个安全漏洞