一、河南互聯(lián)網(wǎng)應(yīng)急中心事件處理情況

　　八月份，我中心共處理2起互聯(lián)網(wǎng)安全事件。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)現(xiàn)我省某地市政府網(wǎng)站掛馬。我中心及時(shí)將事件信息通報(bào)相關(guān)電信運(yùn)營(yíng)企業(yè)，要求相關(guān)電信企業(yè)及時(shí)協(xié)調(diào)處理，網(wǎng)站現(xiàn)已恢復(fù)正常。

　　二、基礎(chǔ)電信運(yùn)營(yíng)企業(yè)及網(wǎng)絡(luò)安全企業(yè)上報(bào)情況

　　八月份，我省各基礎(chǔ)電信運(yùn)營(yíng)企業(yè)及網(wǎng)絡(luò)安全企業(yè)共上報(bào)網(wǎng)絡(luò)安全事件84起，其中河南電信公司上報(bào)11起，河南移動(dòng)公司上報(bào)3起，河南天融信上報(bào)63起，河南山谷上報(bào)1起，世紀(jì)信安上報(bào)6起。相關(guān)電信運(yùn)營(yíng)企業(yè)已及時(shí)處理所上報(bào)安全事件。

　　三、河南省網(wǎng)絡(luò)安全事件分析

　　（一）木馬事件數(shù)據(jù)

　　2009年8月1日至31日，CNCERT/CC對(duì)當(dāng)前流行的木馬程序的活動(dòng)狀況進(jìn)行了抽樣監(jiān)測(cè)，發(fā)現(xiàn)我國(guó)大陸地區(qū)23398個(gè)IP 地址對(duì)應(yīng)的主機(jī)被其他國(guó)家或地區(qū)通過(guò)木馬程序秘密控制，其分布情況如下圖所示，最多的地區(qū)為北京市（24.61%）。其中，我省受控IP地址為826個(gè)，排名第10。

　　另外，根據(jù)國(guó)內(nèi)木馬控制服務(wù)器IP地址分布情況看，廣東最多，達(dá)7489個(gè)，河南排第5，共有3651個(gè)。

　　（二）僵尸網(wǎng)絡(luò)情況

　　2009年8月1日至31日，CNCERT/CC對(duì)僵尸網(wǎng)絡(luò)的活動(dòng)狀況進(jìn)行了抽樣監(jiān)測(cè)，發(fā)現(xiàn)國(guó)內(nèi)699個(gè)IP地址對(duì)應(yīng)的主機(jī)被利用作為僵尸網(wǎng)絡(luò)控制服務(wù)器，僵尸網(wǎng)絡(luò)主機(jī)數(shù)目有117852個(gè)。其中，我省僵尸網(wǎng)絡(luò)控制服務(wù)器數(shù)量為42個(gè)，僵尸網(wǎng)絡(luò)所感染的主機(jī)數(shù)量為6476個(gè)。

　　1、僵尸網(wǎng)絡(luò)控制服務(wù)器數(shù)量按地區(qū)排名

　　下圖是根據(jù)僵尸網(wǎng)絡(luò)控制服務(wù)器的數(shù)量，按地區(qū)繪制的Top10分布圖。我省8月份僵尸網(wǎng)絡(luò)控制服務(wù)器數(shù)量在全國(guó)排第5位。

　　2、僵尸網(wǎng)絡(luò)所感染主機(jī)數(shù)量按地區(qū)排名

　　下圖是根據(jù)僵尸網(wǎng)絡(luò)所感染主機(jī)的數(shù)量，按地區(qū)繪制的Top10分布圖。從圖中可以看到，我省僵尸網(wǎng)絡(luò)所感染主機(jī)數(shù)量在全國(guó)排第8位。

　　3、僵尸網(wǎng)絡(luò)控制服務(wù)器使用的控制端口分布

　　下圖是僵尸網(wǎng)絡(luò)控制服務(wù)器使用的控制端口分布圖，從圖中可以看到，56.38％的僵尸網(wǎng)絡(luò)控制服務(wù)器通過(guò)6667端口對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行控制。

　　（三）網(wǎng)頁(yè)篡改情況

　　2009年8月1日至31日，我國(guó)大陸地區(qū)被篡改網(wǎng)站的數(shù)量為3693個(gè)，其中，我省被篡改網(wǎng)站數(shù)量為402個(gè)，排名全國(guó)第2。

　　網(wǎng)頁(yè)篡改事件中，排名前三位的攻擊者的名稱(chēng)分別是：用幸福觸摸憂(yōu)傷@W.S.H，攻擊511次；雨夜孤魂，攻擊200次；Killer，攻擊74次。

　　（四）惡意代碼捕獲情況

　　1、惡意代碼捕獲次數(shù)排名

　　下表是通過(guò)蜜網(wǎng)捕獲的惡意代碼樣本及其變種數(shù)量前10名：

　　2、感染惡意代碼的主機(jī)對(duì)應(yīng)IP按地區(qū)分布

　　8月份，我國(guó)感染惡意代碼的主機(jī)對(duì)應(yīng)IP數(shù)為215708個(gè)，其中，我省有8545個(gè)IP地址感染了惡意代碼，排名全國(guó)第6。下圖是根據(jù)感染惡意代碼的主機(jī)所對(duì)應(yīng)IP的數(shù)量，按地區(qū)繪制的Top10分布圖。

　　鑒于近期網(wǎng)絡(luò)安全形勢(shì)不容樂(lè)觀，各電信運(yùn)營(yíng)企業(yè)及各有關(guān)單位要充分重視，對(duì)各自系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全加固，及時(shí)升級(jí)殺毒軟件，并及時(shí)更新病毒庫(kù)，安裝網(wǎng)絡(luò)防火墻，有效地防止惡意代碼的攻擊。

　　四、近期安全威脅公告

　　（一）無(wú)線(xiàn)局域網(wǎng) AutoConfig 服務(wù)中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼

　　此安全更新解決無(wú)線(xiàn)局域網(wǎng) AutoConfig 服務(wù)中一個(gè)秘密報(bào)告的漏洞。如果啟用了無(wú)線(xiàn)網(wǎng)絡(luò)接口的客戶(hù)端或服務(wù)器收到特制的無(wú)線(xiàn)幀，該漏洞可能允許遠(yuǎn)程執(zhí)行代碼。未啟用無(wú)線(xiàn)卡的系統(tǒng)不受此漏洞的威脅。

　　參考信息：

　　http://www.microsoft.com/china/technet/security/bulletin/MS09-049.mspx

　　（二）微軟Windows Vista等系統(tǒng)存在畸形SMB報(bào)文遠(yuǎn)程拒絕服務(wù)漏洞

　　Windows Vista和Windows Server 2008等操作系統(tǒng)中服務(wù)器消息塊（SMB）2.0驅(qū)動(dòng)程序存在嚴(yán)重“零日”安全漏洞。SRV2.SYS驅(qū)動(dòng)在實(shí)現(xiàn)NEGOTIATE PROTOCOL REQUEST功能時(shí)沒(méi)有正確處理發(fā)來(lái)的畸形SMB頭字段數(shù)據(jù)，若遠(yuǎn)程攻擊者在發(fā)送的SMB報(bào)文的“Process Id High”頭字段中包含有“&”字符，則會(huì)導(dǎo)致系統(tǒng)藍(lán)屏宕機(jī)，從而造成拒絕服務(wù)攻擊。該漏洞利用簡(jiǎn)單，漏洞信息和攻擊代碼已公開(kāi)，微軟公司尚未發(fā)布針對(duì)該漏洞的補(bǔ)丁程序。

　　在目前廠商暫未提供補(bǔ)丁或者升級(jí)程序的情況下，CNCERT推薦廣大用戶(hù)關(guān)閉445端口，直至官方提供相應(yīng)的補(bǔ)丁。注意：如果用戶(hù)選擇關(guān)閉445端口，可能造成用戶(hù)局域網(wǎng)內(nèi)無(wú)法進(jìn)行文件共享傳輸，請(qǐng)謹(jǐn)慎操作。如發(fā)現(xiàn)有關(guān)攻擊活動(dòng)請(qǐng)及時(shí)與我中心聯(lián)系。

　　操作方法如下：

　　通過(guò)添加注冊(cè)表項(xiàng)關(guān)閉445端口，添加后必須重啟計(jì)算機(jī)：

　　[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters]

　　新建注冊(cè)表項(xiàng)：SMBDeviceEnabled

　　類(lèi)型: REG_DWORD

　　值: 0

　　參考信息：

　　http://www.microsoft.com/technet/security/advisory/975497.mspx

　　http://hi.baidu.com/antiyfx/blog/item/a8d4a0cd81ce701901e92848.html

　　（三）DHTML 編輯組件 ActiveX 控件中的安全漏洞可能允許遠(yuǎn)程執(zhí)行代碼
此安全更新解決 DHTML 編輯組件 ActiveX 控件中的一個(gè)秘密報(bào)告的漏洞。 攻擊者可以通過(guò)構(gòu)建特制的網(wǎng)頁(yè)來(lái)利用該漏洞。 當(dāng)用戶(hù)查看網(wǎng)頁(yè)時(shí)，該漏洞可能允許遠(yuǎn)程執(zhí)行代碼。 成功利用此漏洞的攻擊者可以獲得與登錄用戶(hù)相同的用戶(hù)權(quán)限。 那些帳戶(hù)被配置為擁有較少系統(tǒng)用戶(hù)權(quán)限的用戶(hù)比具有管理用戶(hù)權(quán)限的用戶(hù)受到的影響要小。

　　參考信息：

　　http://www.microsoft.com/china/technet/security/bulletin/MS09-046.mspx

　　關(guān)于“河南互聯(lián)網(wǎng)應(yīng)急中心”

　　國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心河南分中心（簡(jiǎn)稱(chēng)河南互聯(lián)網(wǎng)應(yīng)急中心，HENCERT）成立于2004年11月，是河南省通信管理局領(lǐng)導(dǎo)下的省級(jí)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急機(jī)構(gòu)。河南互聯(lián)網(wǎng)應(yīng)急中心作為國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急體系的成員之一，在國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡(jiǎn)稱(chēng)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心，CNCERT/CC）的統(tǒng)一協(xié)調(diào)下運(yùn)行。

　　河南互聯(lián)網(wǎng)應(yīng)急中心的主要職責(zé)：

　　1、協(xié)調(diào)、指導(dǎo)省內(nèi)相關(guān)計(jì)算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急單位開(kāi)展應(yīng)急處置工作，共同處理省內(nèi)公共電信基礎(chǔ)網(wǎng)絡(luò)上的安全緊急事件；

　　2、為省內(nèi)公共電信基礎(chǔ)網(wǎng)絡(luò)以及請(qǐng)求協(xié)助的省內(nèi)重要信息系統(tǒng)和關(guān)鍵部門(mén)等提供網(wǎng)絡(luò)安全的監(jiān)測(cè)、預(yù)警、應(yīng)
急、防范等安全服務(wù)和技術(shù)支持；
　
　　3、及時(shí)收集、核實(shí)、匯總、報(bào)告有關(guān)互聯(lián)網(wǎng)安全的權(quán)威性信息；

　　4、組織省內(nèi)相關(guān)計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急組織進(jìn)行交流與合作。