ハニーポットの観測(T-Pot:2022/12/24~)Observation of Honeypot

Linux
ブログ

今週のアクセス数上位ポート Top Ports Accessed This Week

アクセス数上位ポート ①445番 ②123番 ③22番 ④23番 ⑤25番

今週は35万件でした。やはり53番ポート(DNS)へのDDoSが落ち着いたことで、落ち着いています。

Ports with the highest number of accesses ①445 ②123 ③22 ④23 ⑤25
This week it was 350,000. After all,DDoS to port 53(DNS)has settled down, so it has calmed down.

今週のアクセス数上位国 Top countries accessed this week

アクセス数上位国 ①ブラジル(22) ②ベトナム(445) ③インド(445) ④アメリカ(123) ⑤中国(445)

Countries with the highest number of accesses ①Brazil (22) ②Vietnam (445) ③India (445) ④USA (123) ⑤China (445)
ブラジルからの攻撃の推移     Changes in Attacks from Brazil
攻撃ログ attack log
sshログイン試行 ssh login attempt

今週は、ブラジルからの22番ポート(ssh)へのアクセスが目立ちました。「ブラジルからのアクセスの推移」を見ると、12月28日18:00から12月29日3:00までに集中しています。アクセスログを見てもその期間のデータが他のデータよりも10倍程度増えています。その期間のsshによるログイン試行をされた「ユーザー名」「パスワード」を見ると「sshログイン試行」のような感じです。ここでは表示しきれませんが、12,000種類ほどのログイン試行がありました。一番多いのは「ユーザー名:root、パスワード:admin」の組み合わせですが、それでも19件程度でした。

This week, accesses on port 22 (ssh) from Brazil were conspicuous. Looking at "Accesses from Brazil", they are concentrated from 18:00 on the 28th to 3:00 on the 29th. Looking at the access log, the data for that period is about 10 times more than the other data. Looking at the "user name" and "password" that were attempted to login by ssh during that period, it looks like "attempted ssh login". I can't show it here, but there were about 12,000 different login attempts. The combination of "user name: root, password: admin" was the most common, but there were still about 19 cases.

今週の攻撃IDパスワード Attack ID & password of the week

今週は、久しぶりにうちのグローバルIPアドレスを名指ししたtelnet攻撃がありました。うちのグローバルIPは変動するため、前回に来た時と今回は異なります。グローバルIPアドレスが変更されてから特定されるまでの時間がこの空白期間なのでしょうか?

This week, there was a telnet attack that named my global IP address for the first time in a long time. My global IP fluctuates, so this time is different from last time. Is this blank period the time from when the global IP address is changed until it is identified?

一週間の出来事

12/27Zero Day InitiatibeはLinuxカーネルの「ksmdb」にリモート実行の脆弱性があると発表した。12/27
ITmedia
12/28愛知県病院薬剤師会は、メーリングリスト利用者のメールアドレスリストを誤掲載したと発表した。10月5日本来「薬剤業務一般に関するアンケート」を掲載するところ、誤ってメールアドレスリストを掲載してしまったもの。掲載後30分ほどしてご掲載の疑義連絡を受け対処した。12/28
SecurityNext
12/28Trend Micro Apex Oneに「CVE-2022-45797」「CVE-2022-45798」の脆弱性。12/28
TrendMicro
12/2812月22日、埼玉県立特別支援学校において、登録ボランティアへメールを送る際、受信者間でアドレスが表示される状態で送信してしまったことを明らかにした。12/28
SecurityNext
12/28一般社団法人日本クレジット協会は、2022年第3四半期におけるクレジットカードの不正利用による被害額は約102億円だと取りまとめた。3四半期連続で100億円超え。1/5
Security NEXT
12/29脅威アクター「BlueNoroff」が日本の金融機関を語って攻撃を行っていることから、日本企業が標的になっている可能性がある。12/29
ITmedia
12/30
現地
Synologyは、「Synology VPN Plus Server」に深刻度「Critical」の脆弱性があると明らかにした。1/6
ITmedia

コメント