ハニーポットの観測(T-Pot:2024/6/29~)Observation of Honeypot

セキュリティ
ブログ

今週のアクセス数上位ポート

except port 123

今週は106万件でした。再び100万件台を突破です。しかし今回は、123番ポートへのDDoSが増えたというよりも、Cowrieの観測が22番ポートへのアクセスが1.5倍に増えたことによるものでしょう。上図のように123番ポート以外のポートを観測すると22番ポートへのアクセスが常時2,3千件発生しています。

only port 1433

地味に1433番ポーとへのアクセスが発生してます。特段増えているわけではないようですが、1433番ポートは、Microsoft関係のSQLサーバーの待ち受けに使われています。「今週の攻撃IDパスワード」でも1433番ポートを抽出しましたが、「sa」がユーザーネームにあるなど、如何にもってな感じです。

This week the number of cases was 1.06 million. The number of cases has again surpassed the 1,000,000 mark. However, this time, rather than an increase in DDoS to port 123, Cowrie's observation is probably due to a 1.5-fold increase in accesses to port 22. As shown in the figure above, observation of ports other than port 123 shows that 2,3,000 accesses to port 22 occur at all times.
There is also a modest increase in accesses to port 1433. Port 1433 is used to listen for SQL servers related to Microsoft, although there does not seem to be a particular increase in the number of accesses. Port 1433 was also extracted in the "Attack ID Passwords of the Week," but the "sa" is in the user name, which is quite unusual.

今週のアクセス数上位国

except ports 123 and 22

アクセス数上位国(123番ポート以外)

① アメリカ(22) ② スペイン(22) ③ エクアドル(22) ④ インドネシア(22) ⑤ ブラジル(22)

以上のように22番ポートを省かないと、全部22番ポートに占められてしまいます。以前は445番ポートが優勢だった気がしますが、様相が変わってきているようです。

ロシアはほぼ1433番ポートへのアクセスが占めています。

Top countries by number of accesses (excluding port 123)
(1) U.S.A. (22) (2) Spain (22) (3) Ecuador (22) (4) Indonesia (22) (5) Brazil (22)
As shown above, if port 22 is not omitted, all of them will be occupied by port 22. It seems that port 445 used to be predominant, but the situation seems to be changing.
Russia is almost entirely occupied by access to port 1433.

今週の攻撃IDパスワード

only port 1433

前述したように1433番ポートへのアクセス時の「ユーザー名」「パスワード」です。

ユーザー名は「sa」が最も多いです。Microsoft SQL Serverの管理者アカウントです。狙ってますねえ。

As mentioned above, this is the "user name" and "password" for accessing port 1433.
The most common user name is "sa," which is a Microsoft SQL Server administrator account. That's a target, isn't it?

その他

7/2OpenSSHに重大な脅威となる脆弱性「regreSSHion」(CVE-2024-6387)が発覚、ほぼすべてのLinuxシステムに影響GigaZiNE
7/32024年1Qのクレカ不正利用、前四半期から12.4%減SecurityNext
7/4徳島県、委託先から個人情報約14.5万件が流出 – 削除報告受けるもデータ残存SecurityNext
7/5サイバー犯罪者に悪用された攻撃エミュレーションツール「Cobalt Strike」の海賊版サーバー593台が停止し弱体化GigaZiNE

コメント