【ハニーポットの検証】ハニーポット設置93日目 ~インドネシアからの攻撃はVNC?honeytrap?~
いろいろ出張等が重なり、最近更新できていませんでしたので、今回は一挙に7日分のデータで状況を確認していきたいと思います。
本日の攻撃状況
過去1週間の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
Cowrie以外は、特に大きな攻撃は来ていないようでしたが、どうも本日honeytrapのアクセスが大量に発生しているようです。
1週間分まとめてみる予定でしたが、少し変わった傾向がありましたので、本日分も詳細を見てみます。
本日の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
久々に、honeytrapが大量発生していますね。21時以降に大量発生している地域はインドネシアですが、日中ちょくちょく上がっているのは中国のようですね。
このインドネシアは少し気になります。フィルターをかけて調べて見ます。
インドネシアからの攻撃
攻撃の状況
インドネシアでフィルターをかけてみると、このようになりました。大量発生しているのはやはり21時~ですが、それまでも少しは攻撃が入っていることが分かりますね。
攻撃の傾向
攻撃のほとんどがPort5901を使用しています。Port5901はVNCで使用するPortのようです。 だとすると、Vnclowpotではなく、honeytrapで反応した原因は何なのでしょうか。
攻撃元
攻撃元を見てみると、大半が「PT Hesta Media Sinergi」であることが分かります。IPアドレスも同一のものですので、同じ場所からの攻撃であることは間違いないでしょう。
Suricata Alert Signature - Top 10を見てみると、2番目に「ET SCAN Potential VNC Scan 5900-5920」があります。
やはり、VNCに関する攻撃であることは間違いないでしょう。