【ハニーポットの検証】ハニーポット設置5日目

本日より、念願のT-POT専用PCでの運用としています。

そのため、管理ツールの配色が、若干変わっています。

さて、今日は少し見る場所を変更してみます。

まずは最上段の「Honeypot Destination Ports Histogram」を見てみます。ここでは、宛先ポートをヒストグラムで見ることができます。

ハードコピーだと少し見づらいのですが、ポートは「445」に対するアクセスが多いですね。

Port「445」は、ダイレクト・ホスティングSMBサービスですので、ファイル共有やプリンタ共有を行っている場合に開放しておくポートですね。やはり、このポートは狙われやすいポートとなっているようです。

他には「2222」「2223」へのアクセスも多く発生しています。

wikiで調べてみたところ、「DirectAdmin default」と「ESET Remote administrator」となっていました。なぜこのポートにアクセスがあるのかは今後調査してみたいと思います。

次に、アクセスの多い国を見てみます。最近の報道では、アメリカがWannaCryが北朝鮮の攻撃であると発言していたりしますが、最もアクセスが多いのは「ドイツ」ですね。

次いで、ベトナム、ブラジル、日本、中国の順となっています。

最後は、いつものシグネチャを見てみます。

教もトップは断トツで

「ET EXPLOIT [PTsecurity] DoublePulsar Backdoor installation communication」

これですね。ただ、攻撃件数が2万ちょっとしかありません。少し落ち着いてきているのでしょうか。

他は、これまでと似たような傾向にありますね。

残念ながら、miraiによるDDoSは、まだ見えていないですね。