【ハニーポットの検証】ハニーポット設置2日目

2日目は、0時～23時頃まで、ほぼ1日つけっぱなしにしてみました。

（24時間常時稼働するのがBESTなんでしょうが、PCが1台しかないため、現在は使用しない時間をハニーポット稼働時間としています）

昨日に続き、

「ET EXPLOIT [PTsecurity] DoublePulsar Backdoor installation communication」

の件数が非常に多く、1日で23,978件となっています。

興味深いところとしては、昨日は1件も発生していなかった

「ET SCAN MS Terminal server Traffic on Non-standard Port」

が、上記に次ぐ3,134件も発生しているという点でしょうか。

攻撃に使われている脆弱性は、圧倒的に

「CVE-2001-0540」

が多いですね。

この脆弱性は「Windows NTおよびWindows 2000のターミナルサーバーのメモリリークにより、リモートの攻撃者は、多数の不正なリモートデスクトッププロトコル（RDP）要求を使用してポート3389にサービス拒否（メモリ枯渇）を引き起こす可能性があります。（http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0540）」となっています。

やはり簡単なRDPが狙われやすい傾向にあるようですね。