Web Server 與 Malware 關聯分析 by Google

在 Google 所作的這篇報告中，期望能洞察網頁伺服器軟體與惡意網站之間的關聯性。這項調查透過發送 'Server:' HTTP header 的請求，針對大約 8000萬個網域進行分析。

網頁伺服器平台分佈

可能是為了避免遭探測、攻擊等因素，在使用 Apache 的伺服器樣本中，約有 35% 沒有提供版本資訊，最常見的三個版本為 1.3.37 (15%)、1.3.33 (7.91%)及 2.0.54 (6.25%)。

而使用 IIS 的部份則大多為 6.0 版，約佔了 80%，其次則為 IIS 5.0。

由於是透過機器人程式自動爬行網站根目錄以取得樣本，因此未納入無法取得首頁之網站，也可能因為如此，所得結果與 NetScrft 的最新報告有所差異。

網頁伺服器平台/惡意網站分佈

在過去一個月中，我們檢驗了約七萬個散佈惡意程式或含有惡意連結之網站，而它們所使用的網頁伺服器平台分佈如下圖，不過請注意，其中有不少是因為作業系統本身之漏洞所導致。

相較於之前的網頁伺服器平台佔有率，含有惡意程式之 Microsoft IIS 呈兩倍分佈 (49% vs. 23%)，而版本分佈則大致相同，IIS 6.0 與 IIS 5.0 約為 8:2。

含有惡意程式之 Apache 網站的版本分佈則不盡相同，分別為 1.3.37 (50%)、1.3.34 (12%)及 1.3.33 (5%)，未提供版本資訊者則佔了 21%，順帶一提，1.3.37 是 Apache 1.3 系列中的最新一個版本，在此佔有這麼高的分佈讓人有些訝異。

網頁伺服器平台/區域分佈

在左邊的圖表中顯示了不同國家的 Apache、IIS 及 nginx 網頁伺服器使用率分佈，雖然各國之間有所差異，不過整體而言 Apache 仍佔大多數；在右邊的圖表中，則為散佈惡意程式或含有惡意連結之平台分佈。

有趣的是，雖然中國及南韓使用 Apache 的網站總數同樣居高，但惡意網站卻明顯多為 IIS 平台，我們猜測這可能是因為這兩個國家的盜版率較高 (參考 NationMaster 及 BSA 的統計資料)，因此部份主機無法順利取得微軟的安全性更新服務 (由於 WGA 等因素)。

整體而言，我們可以觀察到幾種不同的情況，像在德國，Apache 平台的惡意網站遠高於 IIS，而亞洲地區則相反 (也因此造成了高達 49% 的比率)。總結來說，我們的分析顯示了確保網站伺服器軟體更新的重要性。