ハニーポットの観測(T-Pot:2024/1/13～)Observation of Honeypot

今週のアクセス数上位ポート

今週は、339万件でした。

アクセス数上位ポート　①1900　②123　③445　④22　⑤19

今週は久々に300万件を超えました。53番ポートへのアクセスがない週にしては、最大のアクセス数です。1900番ポート（UPnP）へのDDoSが多い週でした。これだけSSDPを使ったDDoSが来たのは初めてです。しかも下図のように、1900番ポートへのアクセスのほとんどは、ウクライナからのものでした。123番も負けず劣らず多かったですが、こちらは、南アフリカと香港からでした。

This week, the number of accesses was 3.39 million.
Top Ports Accessed (1) 1900 (2) 123 (3) 445 (4) 22 (5) 19
This week exceeded 3 million accesses for the first time in a long time, the largest number for a week with no accesses to port 53 It was a week with many DDoS to port 1900 (UPnP). This is the first time we have had this many DDoS visits using SSDP. Moreover, as shown in the figure below, most of the accesses to port 1900 were from Ukraine; port 123 was not too far behind, but this one was from South Africa and Hong Kong.

The figure on the left shows non-DDoS accesses. As usual, port 445 had the most accesses; there were also a reasonable number of accesses to port 22.
The right figure is also non-DDoS, but once DDoS was excluded, it was clear that accesses from all countries were coming in a reasonable amount in full force.

今週のアクセス数上位国

どの国からも満遍なく、たくさんの試行がされていました。

1900番は前述のとおり、突出していましたが、見ての通りほとんどアメリカです。２位の香港と比べても、３桁も位が異なっています。

Top countries by number of accesses (excluding DDoS)
(1) China (22) (2) India (445) (3) U.S.A. (22)　(4) Russia (22) (5) Singapore (22)
SSH must be very easy to use for attacks.
There were many attempts from all countries in full force.
As mentioned above, the number 1900 was outstanding, but as you can see, it was almost all from the U.S. Compared to Hong Kong, which ranked second, the number was three digits different.

今週の攻撃IDパスワード

その他

1/19	Drupal Core の脆弱性について (SA-CORE-2024-001)	annai
1/19	Ivanti（旧Pulse Connect Secure）製VPN製品のゼロデイ脆弱性、PoCが公開 – 復旧時は再発防ぐ対応を	SecurityNext
1/19	FacebookやYahooのパスワード2500万件以上を含む100GB超えのデータがダークネットで取引されていることが判明	GigaZiNE