4 “您訪問(wèn)的網(wǎng)站安全嗎？”—網(wǎng)站安全監(jiān)測(cè)情況4.1網(wǎng)頁(yè)篡改情況自2003年起，CNCERT 持續(xù)監(jiān)測(cè)、跟蹤和分析境內(nèi)網(wǎng)站被篡改情況，在發(fā)現(xiàn)重要網(wǎng)站被篡改后及時(shí)通知網(wǎng)站所在省份的分中心協(xié)助處理，爭(zhēng)取快

4 “您訪問(wèn)的網(wǎng)站安全嗎？”—網(wǎng)站安全監(jiān)測(cè)情況

4.1網(wǎng)頁(yè)篡改情況

自2003年起，CNCERT 持續(xù)監(jiān)測(cè)、跟蹤和分析境內(nèi)網(wǎng)站被篡改情況，在發(fā)現(xiàn)重要網(wǎng)站被篡改后及時(shí)通知網(wǎng)站所在省份的分中心協(xié)助處理，爭(zhēng)取快速恢復(fù)被篡改網(wǎng)站。

境內(nèi)網(wǎng)站被篡改總體情況

2010年，CNCERT 監(jiān)測(cè)到境內(nèi)被篡改網(wǎng)站月度統(tǒng)計(jì)情況如圖4-1所示。其中，每月被篡改網(wǎng)站數(shù)量平均為2904個(gè)。11月、12月，CNCERT 增強(qiáng)了對(duì)互聯(lián)網(wǎng)上從事網(wǎng)頁(yè)篡改活動(dòng)較為活躍的黑客群體的監(jiān)測(cè)，并將一類(lèi)新型網(wǎng)頁(yè)篡改攻擊事件，即以非授權(quán)的方式掛載非法網(wǎng)站鏈接（俗稱(chēng)“黑鏈”）納入監(jiān)測(cè)范圍，使得11月、12月監(jiān)測(cè)到的被篡改網(wǎng)站數(shù)量出現(xiàn)較大幅度的增加。關(guān)于掛載“黑鏈”類(lèi)網(wǎng)頁(yè)篡改攻擊的具體特點(diǎn)，參見(jiàn)本章“網(wǎng)站篡改攻擊行為分析”一節(jié)。

圖4-1 2010年境內(nèi)被篡改網(wǎng)站數(shù)量月度統(tǒng)計(jì)

如圖4-2所示，2010年境內(nèi)被篡改網(wǎng)站按域名類(lèi)型進(jìn)行統(tǒng)計(jì)，被篡改數(shù)量最多的是.com 和.com.cn 類(lèi)域名網(wǎng)站，其多為企業(yè)、公司網(wǎng)站。不過(guò)值得注意的是，.gov.cn 域名網(wǎng)站所占比例達(dá)到13.30，.org.cn 所占比例達(dá)到

1.76，.edu.cn 域名網(wǎng)站所占比例達(dá)到1.15。

1 / 12

圖4-2 2010年境內(nèi)被篡改網(wǎng)站按域名類(lèi)型分布

如圖4-3所示，2010年境內(nèi)被篡改網(wǎng)站按地域進(jìn)行統(tǒng)計(jì)，排行前十位的地區(qū)分別是：北京市、江蘇省、廣東省、福建省、上海市、浙江省、河南省、四川省、安徽省和湖北省。其中前六位與CNNIC2011年1月發(fā)布的境內(nèi)分省網(wǎng)站數(shù)量的前六位一致1。

圖4-3 2010年境內(nèi)被篡改網(wǎng)站按地域分布

境內(nèi)政府網(wǎng)站被篡改情況

2010年，境內(nèi)政府網(wǎng)站被篡改數(shù)量為4635個(gè)，與2009年的2765個(gè)相比增加67.6。在CNCERT 監(jiān)測(cè)的政府網(wǎng)站列表中，2010年被篡改的政府網(wǎng)站1 根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC ）2011年1月發(fā)布的《第27次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，分省網(wǎng)站數(shù)量排名前六位分別是廣東、北京、上海、浙江、江蘇、福建。

2 / 12

比例達(dá)到10.3，即全國(guó)有十分之一的政府部門(mén)網(wǎng)站遭遇黑客篡改。2010年境內(nèi)被篡改政府網(wǎng)站數(shù)量及其占境內(nèi)被篡改網(wǎng)站總數(shù)的比例月度統(tǒng)計(jì)如圖4-4所示。

圖4-4 2010年境內(nèi)被篡改的網(wǎng)站中政府網(wǎng)站的數(shù)量和比例

政府網(wǎng)站易被篡改的主要原因是網(wǎng)站整體安全性差，缺乏必要的經(jīng)常性維護(hù)，某些政府網(wǎng)站被篡改后長(zhǎng)期無(wú)人過(guò)問(wèn)，還有些網(wǎng)站雖然在接到報(bào)告后能夠恢復(fù)，但并沒(méi)有根除安全隱患，從而遭到多次篡改。表4-1所示為CNCERT 監(jiān)測(cè)發(fā)現(xiàn)的2010年被篡改的部分重要政府網(wǎng)站列表。

表4-1 2010年CNCERT 監(jiān)測(cè)發(fā)現(xiàn)被篡改的部分省部級(jí)政府網(wǎng)站列表

■ 網(wǎng)站篡改攻擊行為分析

2010年對(duì)境內(nèi)網(wǎng)站進(jìn)行網(wǎng)頁(yè)篡改攻擊數(shù)量最多的前20位的攻擊者如表4-2所示。其中，疑為來(lái)自境外的攻擊者有8名。

表4-2 2010年CNCERT 監(jiān)測(cè)到的篡改境內(nèi)網(wǎng)站按數(shù)量排行TOP 20的攻擊者

上述攻擊者發(fā)起網(wǎng)頁(yè)篡改的攻擊動(dòng)機(jī)可以分為三類(lèi)：第一類(lèi)是出于政治、宗教目的，如：ZoRRoKiN 和aGReSiF 經(jīng)常將境內(nèi)政府部門(mén)網(wǎng)站作為重點(diǎn)攻擊目標(biāo)，攻擊成功后通常會(huì)在網(wǎng)站留下宣揚(yáng)其政治、宗教理念的文字或圖片，相關(guān)示例如圖4-5所示；第二類(lèi)是出于技術(shù)炫耀目的，如圖4-6所示，攻擊者篡改網(wǎng)站成功后留下大名，并留有調(diào)侃風(fēng)格的文字或圖片；第三類(lèi)則是在網(wǎng)站上留存后門(mén)頁(yè)面，如圖4-7所示，一是方便其以后再次進(jìn)入，二則不排除其將該后門(mén)用于地下交易牟取非法利益的可能。

4 / 12

圖4-5 黑客篡改網(wǎng)站后留下的頁(yè)面圖例一(攻擊者：

aGReSiF)

圖4-6 黑客篡改網(wǎng)站后留下的頁(yè)面圖例二（攻擊者：賣(mài)火機(jī)的男孩）

圖4-7 黑客篡改網(wǎng)站后留下的頁(yè)面圖例三（攻擊者：J0K ）

CNCERT 還對(duì)互聯(lián)網(wǎng)中大量存在的所謂“廣告聯(lián)盟”組織進(jìn)行跟蹤分析，發(fā)現(xiàn)

5 / 12

一些“廣告聯(lián)盟”幕后組織者利用網(wǎng)站的安全漏洞，在網(wǎng)站上（通常為首頁(yè)面）嵌入和掛載大量網(wǎng)站鏈接，以達(dá)到通過(guò)增加網(wǎng)站點(diǎn)擊流量非法牟利的目的。如圖4-8所示，攻擊者不僅以非授權(quán)的方式掛載非法網(wǎng)站鏈接（俗稱(chēng)“黑鏈”），并且留下文字變相地威脅網(wǎng)站所屬部門(mén)。

2010年11月、12月，CNCERT 對(duì)“廣告聯(lián)盟”掛載的網(wǎng)游私服網(wǎng)站、網(wǎng)游外掛網(wǎng)站、網(wǎng)絡(luò)博彩網(wǎng)站等三類(lèi)鏈接特征進(jìn)行了監(jiān)測(cè)，對(duì)應(yīng)監(jiān)測(cè)到的被掛載黑鏈的受害網(wǎng)站約占被篡改網(wǎng)站總數(shù)的37。此外，CNCERT 對(duì)黑鏈產(chǎn)業(yè)進(jìn)行了初步的摸底調(diào)研，一些“廣告聯(lián)盟”的組織者對(duì)在各類(lèi)域名上掛載“黑鏈”的活動(dòng)進(jìn)行明碼標(biāo)價(jià)。其中，在.gov.cn 、.edu.cn 、.org 、.org.cn 等站點(diǎn)掛“黑鏈”的收費(fèi)較高，這有兩方面原因：一是上述各類(lèi)域名在搜索引擎檢索時(shí)權(quán)重值較高，二是政府、高校、事業(yè)單位和公益組織的網(wǎng)站在安全管理方面更可能存在疏漏，黑鏈存活的時(shí)間較長(zhǎng)。綜合上述情況看，由這些“廣告聯(lián)盟”一手導(dǎo)致的網(wǎng)頁(yè)篡改（或稱(chēng)網(wǎng)頁(yè)掛載黑鏈）事件已經(jīng)成為諸多政府部門(mén)、高校和公司企業(yè)網(wǎng)站安全的重要威脅。

圖4-8 “廣告聯(lián)盟”在受害網(wǎng)站放置的“黑鏈”

4.2 網(wǎng)頁(yè)掛馬情況

網(wǎng)頁(yè)掛馬是目前互聯(lián)網(wǎng)黑色地下產(chǎn)業(yè)中進(jìn)行最為猖獗的、對(duì)互聯(lián)網(wǎng)安全危害較為嚴(yán)重的非法活動(dòng)。一些針對(duì)新披露的信息安全漏洞制造的新型惡意代碼往往會(huì)借網(wǎng)頁(yè)掛馬的方式進(jìn)行大規(guī)模傳播；網(wǎng)絡(luò)中一些搜索熱詞或社會(huì)熱點(diǎn)事件的出

6 / 12

現(xiàn)引發(fā)了網(wǎng)民大量搜索和點(diǎn)擊，相關(guān)頁(yè)面也容易被黑客利用來(lái)掛馬，達(dá)到快速傳播惡意代碼并控制大量用戶(hù)主機(jī)的目的。網(wǎng)頁(yè)掛馬是揭開(kāi)互聯(lián)網(wǎng)黑色地下產(chǎn)業(yè)鏈黑幕的重要一環(huán)，是CNCERT 監(jiān)測(cè)的重點(diǎn)目標(biāo)。政府和重要信息系統(tǒng)部門(mén)、訪問(wèn)量較大的網(wǎng)站被掛馬事件，以及網(wǎng)頁(yè)掛馬相關(guān)的惡意域名同時(shí)也是CNCERT 事件處置的重點(diǎn)2。

在通信行業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)工作中，有多家安全企業(yè)定期向CNCERT 報(bào)告網(wǎng)頁(yè)掛馬情況3，與CNCERT 建立了良好的協(xié)作關(guān)系。對(duì)掛馬網(wǎng)站及惡意域名信息的獲取，安全企業(yè)主要通過(guò)兩種途徑：一是通過(guò)主動(dòng)巡檢的方式，對(duì)設(shè)定的目標(biāo)網(wǎng)站進(jìn)行遍歷、抓取相關(guān)頁(yè)面后研判分析得到；二是通過(guò)企業(yè)安全防護(hù)軟件產(chǎn)品客戶(hù)端進(jìn)行攔截捕獲；兩種方式都能有效地掌握當(dāng)前網(wǎng)站安全及用戶(hù)訪問(wèn)網(wǎng)站安全的相關(guān)情況。本報(bào)告主要關(guān)注境內(nèi)網(wǎng)站被掛馬及惡意域名威脅情況。

掛馬網(wǎng)站監(jiān)測(cè)情況

根據(jù)知道創(chuàng)宇公司、奇虎360公司、網(wǎng)御星云公司的監(jiān)測(cè)數(shù)據(jù)，2010年境內(nèi)網(wǎng)頁(yè)掛馬情況呈現(xiàn)先揚(yáng)后抑的趨勢(shì)，各公司監(jiān)測(cè)到的掛馬網(wǎng)站（頁(yè)面）數(shù)量在5月或6月份間出現(xiàn)全年最高點(diǎn)，而在下半年數(shù)量逐漸下降。如圖4-9、4-10、4-11所示。此外，根據(jù)知道創(chuàng)宇公司對(duì)全國(guó)200余萬(wàn)個(gè)網(wǎng)站的監(jiān)測(cè)結(jié)果，如圖4-12所示，境內(nèi)掛馬網(wǎng)站數(shù)量按地域統(tǒng)計(jì)前十位分別是北京市、江蘇省、廣東省、浙江省、上海市、福建省、安徽省、山東省、湖北省和四川省。

2 2010年在CNCERT 組織的木馬和僵尸網(wǎng)絡(luò)多次專(zhuān)項(xiàng)治理行動(dòng)中，惡意域名作為一項(xiàng)重要治理內(nèi)容，由CNCERT 協(xié)調(diào)CNNIC 、中國(guó)萬(wàn)網(wǎng)、新網(wǎng)互聯(lián)、新網(wǎng)數(shù)碼、東南融通、希網(wǎng)網(wǎng)絡(luò)等域名注冊(cè)管理和服務(wù)機(jī)構(gòu)進(jìn)行清除。

3 每月或每周定期向CNCERT 報(bào)送網(wǎng)頁(yè)掛馬信息的安全企業(yè)有：微軟公司、北京神州綠盟科技有限公司、北京網(wǎng)御星云信息技術(shù)有限公司、奇虎360軟件（北京）有限公司、華為技術(shù)有限公司、北京知道創(chuàng)宇信息技術(shù)有限公司、哈爾濱安天信息技術(shù)有限公司、北京天融信科技有限公司、金山網(wǎng)絡(luò)科技有限公司、北京啟明星辰信息技術(shù)有限公司、沈陽(yáng)東軟軟件股份有限公司、浪潮集團(tuán)有限公司、北京安信華科技有限公司。

7 / 12

圖4-9 2010年境內(nèi)掛馬網(wǎng)站數(shù)量趨勢(shì)（來(lái)源：知道創(chuàng)宇）

圖4-10 2010年掛馬頁(yè)面數(shù)量趨勢(shì)（來(lái)源：奇虎360）

圖4-11 2010年掛馬事件數(shù)量趨勢(shì)（來(lái)源：網(wǎng)御星云）

圖4-12 2010年境內(nèi)掛馬網(wǎng)站按地域分布（來(lái)源：知道創(chuàng)宇）

8 / 12

惡意域名監(jiān)測(cè)情況

惡意域名是黑客進(jìn)行網(wǎng)頁(yè)掛馬的重要資源。掛馬網(wǎng)站數(shù)量反映的是黑客對(duì)網(wǎng)站的侵害情況以及對(duì)用戶(hù)的威脅情況，而惡意域名的活躍情況則進(jìn)一步反映了攻擊者進(jìn)行掛馬攻擊的能力。如表4-3所示，黑客注冊(cè)了類(lèi)似7766.org 、8866.org 等動(dòng)態(tài)域名用于傳播網(wǎng)頁(yè)木馬。

表4-3 用于網(wǎng)頁(yè)掛馬的惡意域名TOP10（來(lái)源：安天公司）

2010年CNCERT 對(duì)境內(nèi)外活躍的惡意域名進(jìn)行了分類(lèi)跟蹤，發(fā)現(xiàn)侵害我國(guó)境內(nèi)網(wǎng)站和用戶(hù)的惡意域名主要有以下幾組，如表4-4所示。從下表也可以看出，目前，侵害我國(guó)網(wǎng)站的惡意域名其注冊(cè)商主要為境外機(jī)構(gòu)。

9 / 12

網(wǎng)頁(yè)掛馬攻擊特點(diǎn)

對(duì)于網(wǎng)頁(yè)掛馬攻擊的行為特點(diǎn)，首先通過(guò)一個(gè)掛馬事件案例進(jìn)行說(shuō)明。2010年9月6日，CNCERT 監(jiān)測(cè)發(fā)現(xiàn)某電視臺(tái)網(wǎng)站存在掛馬頁(yè)面，當(dāng)用戶(hù)訪問(wèn)相關(guān)頁(yè)面時(shí)，系統(tǒng)會(huì)自動(dòng)執(zhí)行黑客嵌入的惡意鏈接或惡意腳本。在用戶(hù)主機(jī)存在相關(guān)操作系統(tǒng)或應(yīng)用軟件漏洞，又沒(méi)有做好安全防護(hù)的情況下，會(huì)感染黑客放置的惡意代碼。黑客借此可以控制用戶(hù)主機(jī)，進(jìn)而竊取用戶(hù)私密信息。黑客掛馬的技術(shù)步驟如表4-5所示。

通過(guò)利用操作系統(tǒng)和應(yīng)用軟件漏洞，特別是利用最新披露的零日漏洞進(jìn)行掛馬是黑客常用的攻擊手段，圖4-13所示為2010年監(jiān)測(cè)到的網(wǎng)頁(yè)掛馬利用的漏洞情況。2010年出現(xiàn)的高危漏洞如“極光”漏洞（CVE-2010-0249）、“極風(fēng)”漏洞（CVE-2010-0806）、CVE-2010-3962漏洞，在漏洞披露的短時(shí)間內(nèi)，CNCERT

10 / 12