ハニーポットの観測(T-Pot:2023/5/20~)Observation of Honeypot

Linux
ブログ

今週のアクセス数上位ポート Top Ports Accessed This Week

今週は61万件でした。先週から比べるとほぼ横ばいで増減なしです。

アクセス数上位ポート ①123 ②445 ③22 ④7070 ⑤5038

5位に5038番ポートへのアクセスが7,197件ありますが、かつてPBX「Asterisk」の管理画面を狙う辞書攻撃に使われていたようです。

There were 610,000 cases this week. Compared to last week, the number of accesses remained almost flat with no increase or decrease.
Top access ports: (1) 123, (2) 445, (3) 22, (4) 7070, (5) 5038
There were 7,197 accesses to port 5038 in 5th place, which was once used in a dictionary attack targeting the administration screen of the PBX "Asterisk.

左図は123番ポートへのアクセスですが、「アメリカ、中国、日本、ドイツ、韓国」がほぼ同じようなグラフになっています。先週と比べると「バングラディッシュ」が「韓国」に変わっただけで、他は順位が同じです。

The left chart shows access to port 123. "United States, China, Japan, Germany, and South Korea" have almost the same graph. Compared to last week, only "Bangladesh" has changed to "South Korea," but the other rankings are the same.

今週のアクセス数上位国 Top countries accessed this week

アクセス数上位国 ①アメリカ(123) ②ベルギー(123) ③中国(445) ④インド(445) ⑤ベトナム(445)

アクセス数上位ポートで出てきた5038番、7070番ポートはアメリカからがほとんどですね。

中国、インドからは、22番(ssh)、23番(telnet)、6379番(Redis)ポートは、認証して攻撃できるポートが多いことが特徴でしょうか。

Top Access Countries ①USA(123) ②Belgium(123) ③China(445) ④India(445) ⑤Vietnam(445)
Ports 5038 and 7070, which appeared in the top access ports, are mostly from the United States.
From China and India, ports 22 (ssh), 23 (telnet), and 6379 (Redis) are the ports that can be authenticated and attacked?

今週の攻撃IDパスワード Attack ID & password of the week

今週もusername「root」のみを抽出しました。5432番(PostgreSQL)はドイツから、3306番(MySQL)はベルギーからが大半でした。どちらもデータベース系ですので、rootからログインされてしまえば、元も子もありません。

狙ってますね。

Again this week, only the username "root" was extracted: 5432 (PostgreSQL) was mostly from Germany and 3306 (MySQL) was mostly from Belgium. Both of them are database-based, so if they are logged in as root, they will be useless.

一週間の出来事

5/23豊見城市は、教育委員会が管理するメールサーバーが令和5年3月13日~4月17日の間、オープンリレー状態となり、外部から第三者に宛てたメールを意図せずに中継していたことを公表した。原因はファイアーウォールの設定不備であったという。5/26
SecurityNext
5/23フーヅフリッジは、ウェブページが改ざんされ、不適切なページ表示がされていたこと、注文に関する一部情報が不正にダウンロードされていたと公表した。利用者に対して、パスワード変更とウイルスチェックをするよう促している。5/31
SecurityNext
5/25エネックスは、一部顧客情報がインターネット上で閲覧できる状態となっていたとして、情報が流出した可能性があると公表した。5/25
SecurityNext
5/25岩手県盛岡市は、盛岡市中央卸売市場のWebサーバーがフィッシングメールの踏み台として悪用されたことを明らかにした。不正アクセスを受けた原因は、メール送信時に利用するパスワードが単純なものであったためという。5/25
SecurityNext
5/25茨城県福祉部障害福祉課は、メール送信時「BCC」にすべきところ「CC」で送信したことによりメールアドレスが流出したと公表した。5/29
SecurityNext
5/25滋賀県は、ミシガン州立大学連合日本センター英語講座において、案内メールを送信した際、BCCで送信すべきところ、送信先の宛先が確認できる状態でメール送信をしたと公表した。5/31
SecurityNext

コメント