海南省网络安全月度态势情况分析报告（2019年 第12期）

12月，监测发现我省网络安全漏洞17起；被境外控制的木马僵尸受控主机数量为2658个，较上月1825个增加了45.64%，列全国第28位；发现木马僵尸控制服务器4个，较上月4个未作变化。每日互联网流量最高值为9461.76G，最低值894.65G，未发现流量明显异常情况。我省重要信息系统部门或网站被攻击数量未见明显改善，部分政府网站或系统存在被攻击痕迹或被植入后门的现象依然存在，需引起政府和重要信息系统部门高度重视。

一、开展木马僵尸感染主机清理工作

12月，海南互联网应急中心共向各运营企业下发了139条感染僵尸木马的IP数据，6条僵尸木马病毒控制端IP数据，39条感染蠕虫病毒的IP数据；网站后门数据44条；网页篡改数据2条，网络漏洞数据17条。各企业积极配合并进行了处置。海南互联网应急中心针对各企业反馈涉事单位建立了重点单位监测表，进行每日监测，对监测发现的感染情况及时进行通报,并建立联系人机制，提高处置效率。

二、手机病毒处理工作

12月，海南互联网应急中心协调运营企业处置手机病毒多条。运营企业通过短信提醒、免费客户服务热线、网上营业厅或门户网站公告等方式，及时向用户推送手机病毒感染信息和病毒查杀方法及工具，帮助用户了解手机病毒危害及引导用户清除手机病毒，并在手机病毒处置过程中特别注意保护用户隐私。同时，将手机病毒处置结果、用户投诉等情况通报我中心。

三、自主发现网络安全事件处置情况

海南互联网应急中心通过国家中心系统平台，自主监测发现并处理了126起网络安全事件，经过验证后向相关单位报送网络安全通报，并协助处理。其中:漏洞事件17起，恶意程序事件18起，网页篡改事件89起，网站后门事件2起。

四、网络安全监测数据分析

（一）木马僵尸监测数据分析

1、木马僵尸受控主机的数量和分布

2019年12月，CNCERT监测发现我国大陆地区1299438个IP地址对应的主机被其他国家或地区通过木马程序秘密控制，与上月的1280608个相比增加了1.47%，其分布情况如图1所示。其中，海南省2658个（占全国0.2％），全国排名第28位。

图1：中国大陆木马或僵尸受控主机IP按地区分布

2、木马僵尸控制服务器的数量和分布

2019年12月，CNCERT监测发现我国大陆地区1545个IP地址对应的主机被利用作为木马控制服务器，与上月的2253个相比减少了31.42%，布情况如图2所示。其中，海南省5个（占全国0.32%，全国排名第25位。

图2：中国大陆木马或僵尸控制服务器IP按地区分布

3、境外木马控制服务器的数量和分布

2019年12月，CNCERT监测发现秘密控制我国大陆计算机的境外木马控制服务器IP有3753个，与上月的3144个相比增加了19.37%，主要来自美国、中国香港等国家或地区，具体分布如图3所示。

图3：通过木马或僵尸程序控制中国大陆主机的境外IP按国家和地区分布

4、木马僵尸网络规模分布

2019年12月，在CNCERT监测发现的僵尸网络中，规模大于5000的僵尸网络有469个，规模在100－1000的有268个，规模在1000－5000的有242个，分布情况如图4所示。

图4：僵尸网络的规模分布

（二）境内被植入后门的网站按地区分布

2019年12月，CNCERT监测发现我国大陆地区11245个网站被植入后门程序，比上月的12500个减少了10.04%，其分布情况如图5所示。其中，海南省4个（占全国0.03％），全国排名第28位。

图5：境内被植入后门的网站按地区分布

（三）网页篡改监测数据分析

2019年12月，CNCERT监测发现我国大陆地区被篡改网站17286个，与上月的20135个相比减少了14.14%。其中，海南省15个（占全国0.086％），排名第29位。具体分布如图6所示。

图6：境内被篡改网站按地区