图 年中国大陆地区被篡改网站按域名类型分布 图 年中国大陆地区被篡改网站按地域分布 49 / 131

图 4-1 2011 年中国大陆地区被篡改网站数量月度统计 11 11 CNCERT 定义的网站被篡改概率指数 =CNCERT 监测发现的该类网站被篡改数量比例 /CNCERT 对该类网站监测的数量比例 概率指数越大, 则该类网站相对被篡改的概率就越大 概率指数主要用于反映网站的脆弱性和黑客攻击时的目标选择喜好 48 / 131

图 4-2 2011 年中国大陆地区被篡改网站按域名类型分布 图 4-3 2011 年中国大陆地区被篡改网站按地域分布 49 / 131

图 4-4 2011 年中国大陆被篡改的网站中政府网站的数量和比例月度统计 表 4-1 2011 年 CNCERT 监测发现被篡改的部分省部级政府网站列表 网站所属部门 被篡改后的 URL 监测时间 黑龙江省水利厅 http://www.hljsl.gov.cn/hack1990.txt 2011/1/4 中国气象局大气成分观测与服务中心 http://www.cawas.cma.gov.cn/cawasweb/zxl.txt 2011/1/4 福建省地震局 http://www.fjea.gov.cn/admin/upload_file//%20si mon.txt 2011/1/12 宁夏回族自治区金融管理办公室 http://www.nxjr.gov.cn/ina.htm 2011/1/16 江西省制造业信息化网 http://www.jxmie.gov.cn/ina.htm 2011/1/19 贵州省旅游局 http://www.gz12301.gov.cn/dflzjslyb/index.asp 2011/1/20 湖北省防汛抗旱指挥部办公室 http://www.hbfxb.gov.cn/index.htm 2011/1/31 安徽省交通厅 http://zhuanjia.ahjt.gov.cn/default.asp 2011/2/4 安徽省交通厅 http://ahjt.gov.cn/default.asp 2011/2/4 安徽省交通厅 http://shangbao.ahjt.gov.cn/default.asp 2011/2/5 安徽省交通科学研究所 http://jtkx.ahjt.gov.cn/default.asp 2011/2/5 安徽省交通厅 http://chaxun.ahjt.gov.cn/default.asp 2011/2/6 青海省招商局 http://qhwit.gov.cn 2011/2/13 四川省标准化研究院 http://tiaoma.scbzhy.gov.cn/index.php 2011/2/13 国务院南水北调工程建设委员会 http://www.nsbd.gov.cn/others/gzlx/gzlx.htm#1 2011/2/18 50 / 131

甘肃省直机关工委 http://www.szgw.gansu.gov.cn/index.htm 2011/3/4 青海省公安交通管理局 http://jjzd.qhga.gov.cn/indonesia.htm 2011/3/13 江西省劳动就业服务管理局 http://jxjy.gov.cn/index.htm 2011/4/3 宁夏回族自治区统计局 http://www.nxtj.gov.cn/jgzn/ 2011/4/19 教育部语言文字应用研究所 http://www.china-language.gov.cn/xiaozan.html 2011/5/11 天津市人民政府人民防空 ( 民防 ) 办公室 http://www.tjrf.gov.cn/w.txt 2011/5/16 山东省经济和信息化委员会 http://miisd.gov.cn 2011/5/23 黑龙江省档案局 http://www.hljdaj.gov.cn/cert/wlpage/wl716wb502. html 2011/6/13 陕西人民教育出版社 http://www.sxxwcb.gov.cn/bk/post/285.html 2011/6/17 广西自治区老领委 http://www.gxllw.gov.cn/wsly/index_main.asp?pag e3 2011/6/26 福建省信息化局 http://fjtwit.gov.cn/index.htm 2011/8/14 山东省监察厅 http://www.mirror.gov.cn/index.htm 2011/8/20 四川省测绘地理信息局 http://scbsm.gov.cn/index.htm 2011/8/21 江西省委政法委员会 http://www.jxzfw.gov.cn/tzzwd/index.asp 2011/8/29 内蒙古自治区测绘事业局 http://www.nmgch.gov.cn/htm/xczl/default.htm 2011/8/29 安徽省省直住房公积金网 http://www.ahgjj.gov.cn/prince.html 2011/8/30 安徽省省直住房公积金网 http://ahgjj.gov.cn/index.htm 2011/9/7 宁夏回族自治区商务厅 http://www.nxdofcom.gov.cn/index.html 2011/9/18 新疆维吾尔自治区关工委 http://www.xjggw.gov.cn/admin\databackup\seme ng.txt 2011/9/21 湖北省安全生产监督管理局 http://hubeisafety.gov.cn/index.htm 2011/9/29 黑龙江省制造业信息化服务平台 http://www.hljzzy.gov.cn/index.htm 2011/ 9/30 陕西省中小企业促进局 http://www.smte.gov.cn/tr-x.txt 2011/10/26 湖北省企业上市领导小组办公室 http://www.hbssb.gov.cn/index.htm 2011/11/7 江苏省民防局 http://www.jsrf.gov.cn/rss/ 2011/11/27 海南省安全生产监督管理局 http://www.hnsajj.gov.cn/news/ 2011/12/17 陕西省测绘局 http://www.shasm.gov.cn/xuehui/view.asp 2011/12/22 湖南省林业厅 http://rsjy.hnforestry.gov.cn 2011/12/24 安徽省省直住房公积金网 http://ahgjj.gov.cn/index.htm 2011/12/24 新疆自治区出入境检验检疫局 http://www.xjciq.gov.cn//index.asp 2011/12/30 51 / 131

表 4-2 2011 年 CNCERT 监测到的篡改中国大陆地区网站按数量排行 TOP20 的攻击者 排名 攻击者名称 篡改网站数量 ( 个 ) 攻击者所属国家 1 soojoy 900 中国 2 s4r4d0 468 葡萄牙 3 Link 261 中国 4 冰寒 231 中国 5 QQ:124320170 197 中国 6 ZoRRoKiN 160 土耳其 7 Ashiyane Digital Security Team 158 土耳其 8 iskorpitx 113 土耳其 9 Cracker-Mr.X 113 中国 10 qq1281232825 111 中国 11 Βǒ12812 100 中国 12 twy 83 中国 13 HLck 75 中国 14 haaie 69 中国 15 hack1990 68 中国 16 linux 65 中国 17 By_aGReSiF 59 土耳其 18 Dirk 54 中国 19 hu1s4 52 中国 20 卖菜的大婶 50 中国 52 / 131

图 4-5 2011 年中国大陆地区挂马网站趋势图 ( 来源 : 知道创宇公司 ) 12 知道创宇公司即北京知道创宇信息技术有限公司, 是通信行业互联网网络安全信息通报工作单位, 同时也是 CNCERT 省级应急服务支撑单位 13 网御星云公司即北京网御星云信息技术有限公司, 是通信行业互联网网络安全信息通报工作单位 53 / 131

图 4-6 2011 年监测被挂马页面数量月度统计 ( 来源 : 奇虎 360 公司 ) 图 4-7 2011 年中国大陆挂马网站数量月度统计 ( 来源 : 安天公司 ) 图 4-8 2011 年中国大陆地区挂马网站按地域 TOP10( 来源 : 知道创宇公司 ) 54 / 131

表 4-3 用于网页挂马的恶意域名 TOP10( 来源 : 奇虎 360 公司 ) 挂马网站域名 相关挂马子域名数 部分挂马子域名举例 3322.org 3261 qqaazz48.3322.org ty02dngf1f.3322.org 123qwer2.3322.org 8866.org 855 360se.aq33ff.8866.org tgb1.8866.org aaahsgz11.8866.org 3-a.net 696 bdj.3-a.net anj.3-a.net ane.3-a.net isgre.at 631 bur.isgre.at ccv.isgre.at die.isgre.at 2288.org 627 emb.2288.org dgr.2288.org epq.2288.org 0303.in 610 qqqq51.0303.in qqqq388.0303.in qqqq55.0303.in 6600.org 531 444setrj7jh5eh67k7tj.6600.org hengsan001.6600.org guangxi003.6600.org 7766.org 259 xrgth.7766.org dewe.7766.org 360sd.chunan001.7766.org 8800.org 227 bug4.8800.org aiwo225.8800.org vava12.8800.org ns02.us 218 evb.ns02.us dyq.ns02.us eil.ns02.us 55 / 131

表 4-4 挂马网站 ( 恶意域名 ) 按子域名数排行 TOP 10 ( 来源 : 安天公司 ) 挂马网站域名相关挂马子域名数部分挂马子域名举例 3322.org 3732 y568.3322.org y65f.3322.org y6tg.3322.org 8866.org 1064 xiao1.8866.org xiao2.8866.org xiao3.8866.org 6600.org 800 zhongsanji001.6600.org zhongsanji002.6600.org zhongsanji004.6600.org 8800.org 404 ads1.8800.org ads2.8800.org ads3.8800.org 2288.org 398 eod.2288.org eog.2288.org eow.2288.org cncshj.com 351 1a.cncshj.com 1b.cncshj.com 1c.cncshj.com cgwx.info 300 lt.cgwx.info nk.cgwx.info nt.cgwx.info 09466.net 282 1c.09466.net 1d.09466.net 1e.09466.net nshl.in 266 sd4.nshl.in tr4.nshl.in u6n.nshl.in thesswws.com 155 kxkx.thesswws.com qvod.thesswws.com 表 4-5 一个典型的挂马事件案例 ( 来源 : 安天公司 ) 步骤第一步 说明利用网站漏洞取得相关权限, 嵌入恶意跳转链接 [wide] http://outdoor.cnad.com/ ( 被挂马网站 ) 56 / 131

第二步 第三步 第四步 第五步 链接 ) [script]http://ad.cnad.com/js/outdoor/ad_outdoor_top.js ( 恶意跳转 通过恶意跳转链接, 再次跳转至多个集成网马页面 [script] http://ad.cnad.com/js/outdoor/ad_outdoor_top.js ( 恶意跳转链接 ) 面 ) [script]http://t.crabdance.com:10086/images/1.gif ( 集成网马页 通过集成网马页面, 跳转至漏洞触发页面 [script]http://t.crabdance.com:10086/images/1.gif ( 集成网马页面 ) [iframe]http://bugs.chickenkiller.com:10/images/1.htm (CVE-2010-0806 漏洞 ) [iframe]http://bugs.chickenkiller.com:10/images/2.htm (CVE-2010-0611 漏洞 ) 漏洞触发条件执行成功, 取得用户主机权限, 自动下载带有远程控制或窃取信息等功能的恶意程序 http://bbs.jk136.com:123/js/js/js.js 在用户主机上执行下载的恶意程序 表 4-6 黑客网页挂马使用的技术变形示例 ( 来源 : 奇虎 360 公司 ) 步骤第一步第二步第三步第四步 说明网站被 ARP, 嵌入网马跳转链接 [wide] http://www.eauto365.com/a/langyi/20110604/24608.html ( 被挂马网站 ) [iframe] http://axswx.3322.org:9898/index.html?id=101 ( 网马跳转地址 ) 通过网马跳转地址, 跳转至漏洞触发页面 [iframe] http://axswx.3322.org:9898/index.html?id=101 ( 网马跳转地址 ) [iframe] http://gax.ns02.us/11/6.htm ( 极光漏洞并且进行了变异加密 ) 变形的代码片段 : 'K'+'58'+'58'+'K5858'+'K10EB'+'K4B5BK'+'C933KB966'+'K03B8K3480KBD'+ '0BKFAE2K05EBKEBE8KFFFFK54FFKBEA3KBDBDKD9E2K8D1CKBDB DK36BDKB1FDKCD36'+'K10A1KD536K36B5KD74AKE4ACK03 漏洞触发条件执行成功, 取得用户主机权限, 自动下载带有远程控制或窃取信息等功能的恶意程序 http://gax.ns02.us/o/ue.exe 在用户主机上执行下载的恶意程序 表 4-7 黑客网页挂马使用的策略控制示例 ( 来源 : 奇虎 360 公司 ) 步骤第一步 第二步 说明网站被 ARP, 嵌入网马控制 JS 地址 [wide] http://700.cc/question.asp?cityid=334 ( 被挂马网站 ) [iframe]http://dsp.uglyas.com/b.js?google=12x203 ( 网马控制 JS) 通过网马跳转地址, 进行判断是否出发木马 [iframe] http://dsp.uglyas.com/b.js?google=12x203 ( 网马跳转地址 ) 57 / 131

第三步 [iframe] http://gay.ns02.us/11/lyay.htm ( 集成木马地址 ) 策略控制 : 如果是当天第一次访问将触发网马, 否则不触发木马 代码片段如下 : function baiduuu(){ var Then = new Date() Then.setTime(Then.getTime() + 12*60*60*1000) var cookiestring = new String(document.cookie) var cookieheader = "Cookvie1=" var beginposition = cookiestring.indexof(cookieheader) if (beginposition!= -1){ } else 通过集成网马页面, 跳转至漏洞触发页面 [iframe] http://gay.ns02.us/11/lyay.htm ( 集成网马页面 ) [iframe] http://gay.ns02.us/11/6.htm( 极光漏洞 ) [iframe] http://gay.ns02.us/11/7.htm(iepeers 漏洞 ) 58 / 131

图 4-9 2011 年仿冒网站服务器 IP 地址分布 图 4-10 2011 年境外仿冒境内银行网站域名数量 TOP3 59 / 131

图 4-11 2011 年向中国境内网站植入后门的境外 IP 地址分布 图 4-12 2011 年境外通过植入后门控制我国境内网站数量 TOP3 60 / 131