2015年7月云南省互联网网络安全月度通报(社会版-云南省互联网应急.doc

云南省互联网网络安全月度通报 2015年第7期 国家计算机网络应急技术处理协调中心云南分中心 　2015年08月10日 1.本月网络安全基本态势分析 本月，国家互联网应急中心云南分中心（YNCERT）共接收各信息通报成员单位上报的网络安全月度信息汇总表共4份，自主系统监测周报4期，监测结果及通报汇总报告2份。 本月我省互联网安全状况整体评价为优。 通过各基础电信企业处置我省僵尸木马控制端程序17个（其中，电信16个；移动1个），其中涉及17个重点用户的主机。 及时处理25起安全事件，将安全问题通报给涉及单位。其中包括： 捷克CERT投诉称来自我国的恶意软件被上传至他们的蜜罐; 云南省临沧市人力资源市场网存在SQL注入漏洞; 云南联通微信公众平台存在弱口令漏洞; 云南省卫生统计信息综合采集与辅助决策支持系统存在弱口令漏洞; 云南大朝地产网后台存在弱口令漏洞; 云南联通工程项目管理系统存在弱口令漏洞; 云南省退役士兵就业服务网被植入黑页; 曲靖长安网被植入黑页; 云南联通宽带数字家庭系统存在SQL注入漏洞; 曲靖市卫生信息网存在SQL注入漏洞; 云滇人才网系统存在未授权访问漏洞; 云南省昆明市人力资源和社会保障局网站存在SQL注入漏洞; 云南省住房和城乡建设厅网站系统被入侵; 云南楚雄交通运输集团有限公司安全平台存在未授权访问漏洞; 云南省交通运输厅工程质量监督局网站系统存在遍历目录漏洞; 云南省交通运输厅工程质量监督局网站系统存在未授权访问漏洞; 云南省工程建设信息网存在SQL注入漏洞; 昆明卫生人才网在线招聘系统（旧版）存在弱口令漏洞; 高级专业技术职务任职资格评审系统（卫生部门）存在弱口令漏洞; 昆明卫生人才网在线招聘系统（2015版）存在弱口令漏洞; 云南旅游市场监管系统存在SQL注入漏洞; 个旧教育信息网存在目录遍历漏洞; 个旧教育信息网被入侵; 云南建工集团有限公司网站存在SQL注入漏洞; 汇付四海金融服务平台存在权限绕过漏洞。 省通信管理局委托国家互联网应急中心云南分中心（YNCER T）收集YNCERT自主监测、省内各基础电信业务经营者、电信增值服务提供商汇总的信息。汇总的信息主要来自YNCERT以及省内基础电信业务经营者、省内电信增值服务提供商。 1.2 YNCERT监测结果及分析 1.2.1僵尸木马网络数据分析 本月YNCERT监测发现我省僵尸网络控制服务器23个，被僵尸网络控制的主机数为22317个。 1.2.2 网页篡改数据分析 本月YNCERT发现我省被篡改和暗链测试的网站数量共16个。 1.2.3流量及用户数据分析 本月我省出省互联网流量平均584.69Gbps，每日峰值平均1200Gbps，每日谷值平均200Gbps。UDP流量占总流量的31.72%，TCP流量占总流量的68.12%，ICMP流量占总流量的0.05%。 我省互联网应用协议TCP端口TOP 10为：TCP/80，TCP/8080，TCP/443，TCP/5580，TCP/1443，TCP/1863，TCP/8189， TCP/3528，TCP/554 ，TCP/1935。http应用协议使用最广，占总流量的92.68%。 我省互联网应用协议UDP端口TOP 10为：UDP/9909，UDP/5041，UDP/8000， UDP/53， UDP/4466，UDP/1863，UDP/7273，UDP/4693， UDP/123， UDP/9595。MSN（1863）占总流量的2.36%， QQ或灰鸽子木马默认（8000）占总流量的8.89%。 1.2.4域名系统数据分析 本月我省15台域名服务器无域名劫持事件发生。 2 漏洞报告情况 本月，国家信息安全漏洞共享平台（CNVD）整理和发布以下重要安全漏洞信息。详细信息请访问网站。 附件：术语解释 1.木马 木马是一种由攻击者秘密安装在受害者计算机上的窃听及控制程序。计算机一旦被植入木马，其重要文件和信息不仅会被窃取，用户的一切操作行为也都会被密切监视，而且还会被攻击者远程操控实施对周围其它计算机的攻击。木马通常包含控制端和被控制端两部分。被控制端植入受害者计算机，而黑客利用控制端进入受害者的计算机，控制其计算机资源，盗取其个人信息和各种重要数据。 2.僵尸网络 僵尸网络是指由黑客通过控制服务器间接并集中控制的僵尸程序感染计算机群。僵尸程序一般是由攻击者专门编写的类似木马的控制程序，通过网络病毒等多种方式传播出去。由于受控计算机数目很大，攻击者可利用僵尸网络实施信息窃取、垃圾邮件、网络仿冒、拒绝服务攻击等各种恶意活动，是当前互联网安全的主要威胁之一。 3.恶意代码 恶意代码是对人为编写制造的计算机攻击程序的总称，包括计算机病毒、网络蠕虫、木马程序、僵尸网络、网页恶意脚本、间谍软件等