吉林省互联网网络安全情况月度通报（2021年2月）

一、公共互联网网络安全预警信息

（一）情况综述
　　2021年2月，我省互联网络总体运行情况良好。基础网络运行总体平稳，互联网骨干网各项监测指标正常，未发生较大以上网络安全事件。

（二）本月重要威胁情况
　　  Redis未授权访问漏洞

（1）威胁描述

Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证（一般为空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下，利用 Redis 自身的提供的config 命令，可以进行写文件操作，攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中，进而可以使用对应私钥直接使用ssh服务登录目标服务器。

（2）事件危害

1) 攻击者无需认证访问到内部数据，可能导致敏感信息泄露，黑客也可以恶意执行flushall来清空所有数据。

2) 攻击者可通过EVAL执行lua代码，或通过数据备份功能往磁盘写入后门文件。

3) 最严重的情况，如果Redis以root身份运行，黑客可以给root账户写入SSH公钥文件，直接通过SSH登录受害服务器。

（3）修复建议

1) 禁止一些高危命令。

2) 以低权限运行 Redis 服务，为 Redis 服务创建单独的用户和家目录，并且配置禁止登陆。

3) 为 Redis 添加密码验证。

4) 禁止外网访问 Redis。

5) 修改默认端口 。

6) 保证 authorized_keys 文件的安全。

7) 设置防火墙策略。

    二、省内手机恶意程序情况统计

（一）概述

    本月移动互联网发生病毒事件58.23万余件，其中“诱骗欺诈”类病毒活跃最猖獗，占本期病毒活跃事件数的59.71%，其次是“流氓行为”类病毒占本期病毒活跃事件数的35.97%，然后是“隐私窃取”类病毒占本期病毒活跃事件数的4.22%。

（二）受感染用户情况

 病毒感染用户数1.42万余户（已去重，下同），高危病毒感染用户终端583余户，占本期感染用户总数的4.1%；中危病毒感染用户终端60余户，占本期感染用户总数的0.42%；低危病毒感染用户终端1.36万余户，占本期感染用户总数的95.48%，如图所示。在这些用户中，安卓用户数为1.39万余户，IOS用户数为296户。

图1  本期病毒感染用户（已去重）数量分布图

（三）省内各地事件数对比

    本月各地区上报恶意事件分布图，横轴表示“地区”，纵轴表示“病毒活跃事件数”。其中长春市病毒活跃最猖獗，病毒活跃事件数达到15.8万件；其后吉林市的病毒活跃事件数达到14.6万件；延边朝鲜族自治州的病毒活跃事件数达到7.6万件。

图 2 各地市移动恶意事件分布

三、省内僵木蠕情况统计

（一）概述

本月僵尸网络、木马、蠕虫事件共26万条，其中，僵尸网络事件量为2.5万余条，木马事件量为23.5万余条，蠕虫事件量为363条。

（二）省内各地事件数对比

本月各地区僵木蠕事件分布情况如下图所示，其中长春市事件数最大达到25万余条，其次为延边朝鲜族自治州僵木蠕事件量达3707条，吉林市事件数达到2221条。

图 3 各地市僵木蠕事件分布