ハニーポットの観測(T-Pot:2023/6/10~)Observation of Honeypot

PC
ブログ

今週のアクセス数上位ポート Top Ports Accessed This Week

今週は157万件でした。アクセス数上位ポート ①123 ②445 ③22 ④2922 ⑤5038

今週は久々に100万件を超えました。しかも、53/UDPがない状態での150万件なので、私の観測史上最大のアクセス数でした。

その原因は左図(香港からだけのアクセスを抽出)のとおり。香港からの123/UDPです。

香港からの123/UDPだけで58万件ありました。

There were 1.57 million accesses this week. Top accessed ports ①123 ②445 ③22 ④2922 ⑤5038
This week I exceeded 1 million hits for the first time in a long time. And that's without 53/UDP. From that point of view, 1.5 million was the largest number of accesses in the history of my observation.
The reason for this is shown in the figure on the left (accesses only from Hong Kong are extracted). 123/UDP from Hong Kong.
There were 580,000 cases of 123/UDP from Hong Kong alone.

今週のアクセス数上位国 Top countries accessed this week

アクセス数上位国 ①香港(123) ②アメリカ(123) ③中国(2922) ④ベトナム(445) ⑤イタリア(445)

やはり香港の123/UDPが圧倒的な存在感です。先ほどアクセスポート上位の3番目に2922番ポートがありましたが中国からのみのアクセスでした。

上図のようなポートのようです。ianaで調べると、コンテンツを配信するポートのようですが、何なのでしょう?よくわかりませんでした。

Top Access Countries ①Hong Kong (123) ②USA (123) ③China (2922) ④Vietnam (445) ⑤Italy (445)
As expected, Hong Kong's 123/UDP has an overwhelming presence. Port 2922 was the third most accessed port, but it was accessed only from China.
Port 2922 looks like the port shown above.
Looking it up in IANA, it seems to be a port for content delivery, but what is it? I did not understand it well.

今週の攻撃IDパスワード Attack ID & password of the week

今週はusernameに「pi」を選んでみました。「pi」と言えば・・・・そうRaspberryPiです。私も先月まで使っていました。RaspberryPiの基本OSは「Rasbian」です。現在は違いますが、以前の「Rasbian」のデフォルトは、ユーザー名「pi」パスワード「raspberry」でした。しっかりデフォルトパスワードでの試行が行われていることがわかります。デフォルトって怖いですね。

This week I chose "pi" for username. The name "pi" is ・・・・, which is the RaspberryPi, which I used to use until last month. The basic OS of RaspberryPi is "Rasbian". The default for "Rasbian" used to be the username "pi" and password "raspberry". You can see that the default password is firmly used in the attempt. Defaults are scary.

一週間の出来事

6/12警察庁と経済産業省は、サイバー警察局便りで、企業でのCMS活用におけるデータベースからの情報漏えい、改ざん等についての注意喚起を行った。6/16
SecurityNext
6/13プロットは、SmoothFile(ファイル転送サービス)などで、ランサムウェアの被害を受け、現在(6月17日19:20JST)、調査・復旧作業を行っている。6/13
ITMedia
6/13Microsoftは、Windows10 21H2のサポートを終了した。Windows10のサポートは2025年10月14日まで。6/13
6/14ベン・ナッシーは、機器に搭載されているLED(電源が入っているか示す)のちらつきから、デバイスの暗号化と復号に用いる秘密の暗号化キーを解読することに成功した。6/14
GigaZiNE
6/16ヤマハは、米国子会社において、社内ネットワークへの第三者による不正アクセスを受け、情報漏えいが発生したと公表した。ランサムウェアによる被害が確認できたという。詳細は現在調査中。6/20
SecurityNext
6/16東京海上ホールディングスは、富士通が2月に発表したインターネット回線サービスに対するサイバー攻撃に関連し、利用していた「FENCEメール誤送信対策サービス」から1300件以上のメールが流出した可能性があることを明らかにした。6/16
SecurityNext

コメント