ハニーポットの観測(T-Pot:2023/3/18~)Observation of Honeypot

PC
ブログ

今週のアクセス数上位ポート Top Ports Accessed This Week

今週は45万件でした。アクセス数上位ポート ①445 ②6379 ③5432 ④22 ⑤53

3月18日(JST)に6379番ポートへの大量アクセスの後は、6379番ポートへのアクセスは下火になっています。その代わり、3月20日(JST)からは445番ポートへのアクセスが大量に、そして継続的にアクセスが増えています。

This week it was 450,000. Highest number of access ports ①445 ②6379 ③5432 ④22 ⑤53
After the mass access to port 6379 on March 18 (JST), access to port 6379 has declined. Instead, since March 20 (JST), access to port 445 has increased in volume and continuously.

3月24日(JST)には、急に5432番ポートへのPostgreSQLへのアクセスが急増しました。PostgreSQLのログイン試行が急に発生しましたが、計19,521件(うちオランダからが19,499件)のリスト型攻撃であることがわかりました。

On March 24th (JST), access to PostgreSQL on port 5432 suddenly surged. A sudden burst of PostgreSQL login attempts turned out to be a list-type attack with a total of 19,521 (19,499 of which were from the Netherlands).

今週のアクセス数上位国 Top countries accessed this week

アクセス数上位国 ①フィリピン(445) ②インド(6379) ③アメリカ(6379) ④中国(22) ⑤ベトナム(445)

オランダからのPostgreSQL(5432ポート)へのログイン試行が2万件近くありましたが、ただ単なる数だけなら、他のDDoSの方が多いため、アクセス数上位国に入りませんでした。

Countries with the highest number of accesses ①Philippines (445) ②India (6379) ③USA (6379) ④China (22) ⑤Vietnam (445)
There were nearly 20,000 login attempts to PostgreSQL (port 5432) from the Netherlands, but if we were just looking at the numbers, other DDoSs outnumbered the other countries, so it wasn't among the top countries in terms of access.

今週の攻撃IDパスワード Attack ID & password of the week

今週は久しぶりにグローバルIPアドレス名指し攻撃がありました。3月12日17時00分(JST)にグローバルIPアドレスが変更になりましたが、3月21日12時00分から始まりました。約9日ほどで攻撃が来ています。

そして、案の定「username」には、ポート番号5432番のPostgreSQLへの攻撃を示す「postgres」が一番大きく表示されていました。

This week, for the first time in a long time, there was a global IP address pointing attack. The global IP address was changed at 17:00 (JST) on March 12th, but it started at 12:00 on March 21st. The attack is coming in about 9 days.
And, as expected, "postgres", which indicates an attack on PostgreSQL with port number 5432, was displayed in the largest size in "username".

一週間の出来事

3/20JPCERTは、マルウェア「Emotet」の感染状況をチェックできる「EmoCheck v2.4.0」をリリースした。3/20
JPCERT
3/20室蘭市は、地域生活課において、特定地域の自治会加入申込者に対してメールを一斉送信した際、メールアドレスを「BCC」欄で送付すべきところを、誤って「宛先」欄で送信したため、個人のメールアドレスを流出させる事案が発生したと発表した。3/20
SecurityNext
3/22日本コンピュータセキュリティインシデント対応チーム協議会(NCA)は、サイバー攻撃演習訓練実施マニュアル」を公開した。3/24
SecurityNext
3/22遠州夢咲農業協同組合は、職員が業務用の携帯電話を紛失したことを公表した。同組合によれば、3月13日の業務開始前に職員が業務用携帯電話が見当たらないことに気づいたもの。事務所内や自宅を捜索したが発見できなかったという。3/24
SecutiryNext
近畿大学は、2月20日16時と17時過ぎの2回にわけて、芸術学科舞台芸術専攻の公演会に関する案内メールを送信した際、送信先を誤って宛先に設定。受信者間でメールアドレスを確認できる状態となっていたと公表した。3/24
SecutiryNext

コメント