CNCERT：2018年网站攻击态势及“攻击团伙”挖掘报告

2019年3月15日，国家互联网应急中心（以下简称CNCERT/CC）发布最新《2018年网站攻击态势及“攻击团伙”挖掘分析报告》。报告中的“攻击团伙”指的是通过相对独占的网络资源（例如攻击IP、代理IP、特定攻击工具等），针对相同的目标进行长期或者规模化攻击的网络资源集合。在网站后门攻击事件中，考虑到网站后门的相对独占性，则可以认为是通过攻击IP以及网站后门的连接紧密程度（例如连接关系、连接频繁度等），挖掘而出的攻击IP及其掌握的网站后门链接的集合。通过对挖掘而出的重要团伙进行深入分析，CNCERT/CC发现，这些值得关注的团伙往往由带有一定目的的个人、组织，掌握和使用，通过网站后门持续保持对网站服务器的权限，实现数据窃取、黑帽SEO、网页篡改等可能的黑色产业意图。后续CNCERT/CC将对观测到的部分典型网站攻击团伙进行细致跟踪分析并对外进行陆续发布。一、2018年网站攻击统计态势据CNCERT/CC抽样监测，2018年各月抽样监测发现的网站后门链接个数分布情况如下图所示。可以发现，2018年3-8月期间，监测到的网站攻击活动较为活跃。2018年抽样监测到的网站后门脚本类型分布如下