ハニーポットの観測(T-Pot:2023/12/9~)Observation of Honeypot

セキュリティ
ブログ

今週のアクセス数上位ポート

今週は299万件でした。千の位を四捨五入すると、なんと300万件です。初めて300万に近づきました。

アクセス数上位ポート ①53 ②123 ③445 ④23 ⑤19

やはり53番ポートのへのアクセスが1位です。以前53番ポートへのアクセスが来ないので、T-Potのメンテナーさんに、どうすればいいでしょう?と聞いたことがありました。そのやり取りの中で、「DNSのDDoSは、あまりにすごいので、その観測が本当に必要かどうかは検討してください」と言われたことがあります。今の結果を見ると、そう言われたことに納得です。このまま放っておくと、とんでもないことになりそうです。しかし、とりあえずこのまま観測してみます。

This week there were 2.99 million cases. Rounding to the nearest thousand, the number is a whopping 3 million. This is the first time we have approached 3 million.
Top access ports (1) 53 (2) 123 (3) 445 (4) 23 (5) 19
As expected, accesses to port 53 ranked first. In the past, accesses to port 53 did not come in, so we asked the T-Pot maintainer what we should do. In that exchange, I was told that "DNS access to port 53 is the first priority. In that exchange, I was told that the DNS DDoS was so great that I should consider whether that observation was really necessary. Looking at the current results, I agree with what you said. If we leave it as it is, it will be a terrible thing. But for now, I will continue to observe it as is.
except ports 53 and 123
except ports 53 and 123

上図は、123番及び53番ポートへのアクセスを除いた結果です。

19番ポートは、これもDdospotの観測で、DDoSに数えられるので、それを除くと、445番、22番、6379番ポートが目立ちます。そこに2323番ポートがあるのが不思議です。こんな記事を見つけましたが、「Mirai」の攻撃なのでしょうか?記事自体は5年も前のものですが、今でも活動中なのでしょうか?

ちなみに、2323番ポートに来ていたアクセスには、以前ブログに書いていた「android-cts-7.1_r6-linux_x86-arm.zip」をダウンロードさせるものだったようです。これと「Mirai」が関係するのか?それとも、別のものなのか。このzipファイルがどのような影響を与えるものなのでしょうか?

The above figure shows the results excluding accesses to ports 123 and 53.
Port 19 is also counted as DDoS in the Ddospot observation, so excluding it, ports 445, 22, and 6379 stand out. It is strange that port 2323 is there. I found this article...is this a "Mirai" attack? The article itself is 5 years old, but is it still active?
By the way, it seems that the access that came to port 2323 was to download the "android-cts-7.1_r6-linux_x86-arm.zip" that I had blogged about before. Is this related to "Mirai"? Or is it something else? How does this zip file affect you?
only port 53

左図は53番ポートのみの結果です。先週と比べると、他国の攻撃も増えて、ブラジルからが、若干おとなしく見えます。それでも脅威に変わりありませんが・・・

右図は123番ポートのみです。相変わらず全体的な調和がとれた感じです。

アメリカ、香港の1、2位は不動です。

only port 123
The left figure shows the results for port 53 only. Compared to last week, the number of attacks from other countries has increased, and from Brazil, it looks a little quieter. Still, it remains a threat.
The right chart shows only port 123. The overall harmony is still the same.
The first and second places of the U.S. and Hong Kong are unchanged.

今週のアクセス数上位国

except ports 53 and 123

アクセス数上位国(DDoS以外)

① ベトナム(2323)?

②ブラジル(445)SMB

③アメリカ(22)SSH

④フィリピン(445)SMB

⑤ベルギー(1026)

ベルギーは、先週と同様に、まんべんなくいろいろなポートへのアクセスがあります。イランが入ってくるのは珍しいですが、ほとんどが445番ポートへのアクセスです。

Top countries by number of accesses (other than DDoS)
① Vietnam (2323)?
② Brazil (445) SMB
③United States (22) SSH
④Philippines (445) SMB
⑤ Belgium (1026)
Belgium, as in the past week, has access to a variety of ports evenly distributed. It is rare to see Iran coming in, but mostly access to port 445.

今週の攻撃IDパスワード

その他

12/11奈良県公式Xの偽アカウントを確認、県が注意喚起SecurityNext
12/129割以上が現状のクラウドセキュリティ体制に懸念 特に注意すべき脅威はITmedia
12/12Log4Shellから2年 3分の1のアプリが脆弱なバージョンのLog4jを使用していると判明ITmedia
12/12サーバにランサム攻撃、情報流出は調査中 – ダイヤモンド社SecurityNext
12/12FXC製の情報コンセント型無線LANルータに脆弱性 – 悪用の動きもSecurityNext
12/12WordPressの開発チーム名乗るフィッシング – 不正プラグインに誘導SecurityNext
12/12中国政府と関係のあるハッカーらがアメリカの水道・ガス・電気などを攻撃して停止させた上に公益事業や交通システムも標的にしていると安全保障当局者らが警告GigaZiNE
12/12E2EEとは何か? 今すぐ使える暗号化技術のメリットと設定方法を解説ITmedia
12/13ウクライナがロシア連邦税務局をハッキングしたと発表、1カ月は税制がマヒしロシア政府に大打撃GigaZiNE
12/14#6 サービス事業者に対するセキュリティ要件
<標準から学ぶICSセキュリティ>
JPCERT/CC
12/14フィッシング報告が大幅減 – 攻撃者も「DMARC」を意識SecurityNext
12/14サポート詐欺でPC遠隔操作、情報流出は否定 – 京都教育大付属中
12/14OfficeやPDF形式のファイルの悪用が増加 2023年カスペルスキー調査ITmedia
12/14位置情報やチャットなど閲覧可能 – 「NauNau」の調査結果SecurityNext
12/15SBOM、約6割が「知らない」 アシュアードが脆弱性対策の実施状況を調査ITmedia
12/15送配電子会社から顧客情報が閲覧可能、点検で判明 – 九電SecurityNext
12/15おお蔵のInstagramアカウントが乗っ取り被害SecurityNext
12/15訪問看護ステーション宛のメールで誤送信 – 島根県SecurityNext
12/16“無償で”インシデントレスポンスを提供 Palo Alto Networksが大口顧客向けにITmedia
12/25設備のパスワードをデフォルトの「1111」から変更しなかった水道事業者がイランのハッカーにハッキングされてしまうGigaZiNE
12/26「PCが危険な状態です」などのウソで詐欺に誘導する偽セキュリティ警告画面の閉じ方を学べるサイトが公開されたので使ってみたGigaZiNE

コメント