• 本文作者: 漏洞应急响应中心
  • |
  • 2015年6月19日
  • |
  • 未分类
  • |

2015年第25周安全周报

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞153个,其中高危漏洞34个,中危漏洞91个,低危漏洞28个。漏洞数与前一周环比上升0.7%,与去年同期同比上升18.6%;
  • 本周主要记录了一款开源CMS Drupal 的数十个扩展模块存在的多个漏洞,如任意代码执行漏洞、跨站点脚本漏洞、跨站点请求伪造漏洞、信息泄露漏洞等;还记录了另外一个主流的建站系统WordPress的多个插件的漏洞,如目录遍历漏洞、代码注入漏洞、任意命令执行漏洞等高危漏洞;
  • 也同时记录了思科、Vmware、XEN、Elasticsearch、OpenSSL等公司产品的多个漏洞;

1.2 本周恶意域名与IP地址跟踪情况

  • 本统计期恶意IP地址数量在前一周继续下降后出现了大幅反弹走势,总的来说,每周的恶意IP地址数量缓步增加的趋势依旧保持
  • 另外本统计期的海外的新增恶意IP地址的数量继续大幅增加,还需要密切关注;
  • 根据分析本统计期单个IP地址对应的恶意域名数量前10位列表的结果,大陆的前10位列表与前一周相比保持不变;海外的前10位列表与前一周相比出现了一个IP地址的更替;
  • 在本统计期的大陆的恶意IP地址数量地理分布排名列表中,北京、浙江、广东、江苏、河南位居前五,跟前一周相比,浙江排名提前到第二;
  • 在本统计期的海外的恶意IP地址数量地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比排名不变;

1.3 下周安全预警等级

中度

2 安全漏洞

2.1 漏洞统计

 

2015-25-V

最近四周漏洞数量示意图

2015-24-V

本周统计CVE漏洞前五位示意图

2.1 漏洞预警

2.1.1 Services module for Drupal Services任意代码执行漏洞

2015-25-1

2.1.2 Spider Contacts module for Drupal 注入漏洞

2015-25-2

2.1.3 XCloner plugin 静态代码注入漏洞

2015-25-3

2.1.4 zM Ajax Login & Register plugin跨站点脚本漏洞

2015-25-4

2.1.5 Cisco Prime Collaboration 注入漏洞

2015-25-5

 

3 恶意域名与IP地址跟踪

3.1 总体情况

本期从国家权威部门获取的恶意域名数是23个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是13216个,将这些域名进行例行的IP地址解析,本周的验证结果如下::

  • 根据分析单个IP地址对应的恶意域名数量前10位列表的结果,大陆的前10位列表与前一周相比保持不变;海外的前10位列表与前一周相比继续出现了一个IP地址的更替;
  • 在大陆的恶意IP地址数量地理分布排名列表中,北京、广东、江苏、浙江、河南位居前五,跟前一周相比,广东和江苏排名靠前一位而浙江排名后退到第四;
  • 在海外的恶意IP地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比荷兰和香港再次交换位置;
  • 本期全部有效IP地址数量是2860个,其中海外有效IP地址数量是1814个,大陆有效IP地址数量是1046个,全部有效IP地址较上周相比增加780个,增幅达到37.5%;跟前一周相比,海外IP地址数量和大陆IP地址数量均出现大幅上升。
  • 本统计期恶意IP地址数量在前一周继续下降后出现了巨幅的反弹走势,总的来说,每周的恶意IP地址数量缓步增加的趋势依旧保持。另外海外的新增恶意IP地址的数量继续大幅增加,还需要密切关注;

以下是本统计期的数量趋势图。

2015-24

3.2 单个IP地址对应的恶意域名数量前10位分析

3.2.1 大陆的单个IP地址对应的恶意域名数量前10 位分析

我们看到跟前一周的记录相比,前十位记录保持不变,这已经是连续第五周了,还需要继续关注这种情况还能维持多久。以下是前10位地址的详细介绍:

  • 目前在前十位列表中还有四个跟去年九月大量恶意域名爆发有关的IP地址,它们是湖北襄阳的IP地址111.177.111.83,两个山西吕梁IP地址60.221.255.11和60.221.255.10,以及一个浙江的IP地址183.136.235.15,它们涉及到的恶意域名数量之和已经超过了四千个,继续保持在高位,这些恶意域名大部分以形式“[xxxx].liulanwangye.com、[yyyymmddhhmmsssss]. Hflddz|mtvmin|wangendong.com”存在,需要继续跟踪;
  • 前10位继续保持的还有广东省深圳市 电信(龙岗/南山区)的IP地址219.134.132.88,它涉及的恶意域名数量达到386个,这些恶意域名大部分以形式“[XXX]. isgre.at”,需要继续关注;
  • 还需跟踪北京市联通的IP地址111.206.120.34和天津市联通的IP地址60.28.14.125,它们涉及到的恶意域名数量之和超过两千个,这些恶意域名大部分以形式“{XXXX].0519mr.net、 [XXXX] .bjsyedu.cn、xasobe.mingyuanjiafang.com”存在,需要继续关注;
  • 前10位继续保持的还有广东省深圳市 电信(龙岗/南山区)的IP地址219.134.132.88,它涉及的恶意域名数量达到386个,这些恶意域名大部分以形式“[XXX]. isgre.at”,需要继续关注;
  • 前10位继续保持的还有河南省南阳市电信的IP地址219.150.241.46 ,它涉及的恶意域名数量达到203个,些恶意域名大部分以形式“[xxx].conna.dtdns.net”存在,需要继续关注;
  • 前10位继续保持的还有广西的IP地址118.184.176.13,它涉及的恶意域名数量达到196个,这些恶意域名大部分以形式“[xxxx].go.8800.org”存在,需要继续关注;
  • 前两周进入前十位的IP地址江苏省镇江市电信的222.186.129.198继续存在,涉及到108个恶意域名,这些恶意域名大部分以形式“xxxxxx.xxxxx.pw”存在,需要继续关注

3.2.2 海外的单个IP地址对应的恶意域名数量前10位分析

我们看到跟前一周的记录相比,前十位记录出现了一个IP地址的更替。以下是前10位地址的详细介绍:

  • 美国新泽西州Merck公司的54.72.9.51重新出现,这已经是重复新增达3次了,它涉及到类似www.taobaosxx.com的金融诈骗等恶意域名数量达到78个,需要高度关注;
  • 前10位消失的地址是在前一周保持第一位的美国IP地址74.82.63.228,其对应的恶意域名如xxxxx.bjsyedu.cn是否继续迁移到其他地址还需要继续关注;
  • 本周排名第一的是韩国IP地址59.11.88.234,它涉及到的恶意域名数量是537个,大部分是类似“20140914121153313.sltbzy.com”的恶意域名,这正是跟去年九月大量恶意域名爆发有关的域名。这也是一个国内恶意域名爆发后对应IP地址迁移到海外的一个实例。
  • 前10位继续保持的地址有德国的IP地址88.198.132.3,涉及的恶意域名数量是269个,这些恶意域名大部分以形式”[任意字符].usa/flu/igg.cc”存在;
  • 前10位继续保持的地址美国 新泽西州Merck公司的IP地址54.235.159.97,它涉及的恶意域名数量是125个,这些恶意域名大部分以形式”cdn.[xxxx].[xxxx].us、cdn.[xxx].com”存在
  • 前10位继续保持的地址还有美国的IP地址67.208.74.71,它涉及的恶意域名数量是112个,这些恶意域名大部分以形式[xxx].rr.nu,[xxx].bestdeals.at存在;
  • 前10位保持的地址还有香港的IP地址如103.232.215.133,它涉及的域名数量是99个,这些恶意域名大部分以形式“[xxxx].dyjclj.com、www.icbc[XXX].com”存在;
  • 前10位保持的地址还有美国的IP地址216.38.62.18 ,它涉及的恶意域名数量是66个,这些恶意域名大部分以形式“[xxx].cu.cc”存在;
  • 前一周新增的美国IP地址208.91.197.132保持在前十位列表中,而它涉及到66个恶意域名,主要跟金融诈骗有关,如“bcndgdf34.cdbpl.com”、“zaixianzhifu3.235.xrjzb.com”、“zhifubaonewws.xrjzb.com”等恶意域名。
  • 前10位保持的地址还有法国的IP地址5.135.146.24和5.135.149.81,它们涉及的域名数量均是61个,这些恶意域名大部分以形式[任意字符].c4.fr,fr.mu等形式存在;

 

3.3 大陆和海外的恶意IP地址地理分布情况

3.3.1 大陆恶意IP地址地理分布情况

在本周大陆的恶意IP地址地理分布排名列表中,北京、广东、江苏、浙江、河南位居前五,跟前一周相比,广东和江苏排名靠前一位而浙江排名后退到第四;山东保持第六,在第七到第十的排名中,河北和湖南交换位置,而福建取代山西进入前十;

以下是分布示意图:

2015-24-m

 

3.3.2 海外恶意IP地址地理分布情况

在本周海外恶意IP地址地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比荷兰和香港互换位置,而涉及到的IP地址数量较前一周有大幅上升;在第六到第十的排名中,跟前一周相比加拿大名次提升到第六,英国、加拿大、俄罗斯和法国分列七到十位。

以下是分布示意图:

2015-25-o

 

Written by 漏洞应急响应中心