图11 2018年承载仿冒页面IP地址和仿冒页面数量分布
(二)网站后门
1. 我国境内被植入后门情况
2018年,CNCERT监测发现境内外约1.6万个IP地址对我国境内约2.4万个网站植入后门。近三年来,我国境内被植入后门的网站数量持续保持下降趋势,2018年的数量较2017年下降了19.3%。其中,约有1.4万个(占全部IP地址总数的90.9%)境外IP地址对境内约1.7万个网站植入后门,位于美国的IP地址最多,占境外IP地址总数的23.2%,其次是位于中国香港和俄罗斯的IP地址,如图12所示。从控制我国境内网站总数来看,位于中国香港的IP地址控制我国境内网站数量最多,有3,994个,其次是位于美国和俄罗斯的IP地址,分别控制了我国境内3,607个和2,011个网站。
图12 2018年境外向我国境内网站植入后门IP地址所属国家或地区TOP10
2. 网站后门“攻击团伙”情况
2018年,CNCERT监测发现,攻击活跃在 10 天以上的网站“攻击团伙”有 777 个,全年活跃的“攻击团伙”13 个,如图所示。“攻击团伙”中使用过的攻击 IP地址数量大于 100个 的有 22 个,攻击网站数量超过 100 个的“攻击团伙”有 61 个。从“攻击团伙”的攻击活跃天数来看,少数攻击团伙能够保持持续活跃,如图13所示。多数“攻击团伙”的活跃天数较短,无法形成对被入侵网站服务器的持久化控制;少量值得关注的“攻击团伙”具有长时间持续攻击的特点,持续对其入侵的多个网站服务器实现长期控制。