【ハニーポットの検証】ハニーポット設置2日目
2日目は、0時~23時頃まで、ほぼ1日つけっぱなしにしてみました。
(24時間常時稼働するのがBESTなんでしょうが、PCが1台しかないため、現在は使用しない時間をハニーポット稼働時間としています)
昨日に続き、
「ET EXPLOIT [PTsecurity] DoublePulsar Backdoor installation communication」
の件数が非常に多く、1日で23,978件となっています。
興味深いところとしては、昨日は1件も発生していなかった
「ET SCAN MS Terminal server Traffic on Non-standard Port」
が、上記に次ぐ3,134件も発生しているという点でしょうか。
攻撃に使われている脆弱性は、圧倒的に
「CVE-2001-0540」
が多いですね。
この脆弱性は「Windows NTおよびWindows 2000のターミナルサーバーのメモリリークにより、リモートの攻撃者は、多数の不正なリモートデスクトッププロトコル(RDP)要求を使用してポート3389にサービス拒否(メモリ枯渇)を引き起こす可能性があります。(http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0540)」となっています。
やはり簡単なRDPが狙われやすい傾向にあるようですね。