【ハニーポットの検証】ハニーポット設置128日目 ~イギリスから正体不明の攻撃アリ~
少し古い話になりますが、「Kali Linux 2018.2」が公開されていますね。
試そう試そうと思いつつ、先延ばしになってしまっています。すでに、日本語化の記事も出ているようですので、近いうちにチェックしてみたいと思います。
あと、今日はセキュリティEXPOですね!私も行きたかったのですが、いろいろあって行けなくなってしまいました。
けど、名古屋で開催される「Nikkei BP ITイベント 2018 Spring-Summer」と大阪で開催される「@ITセキュリティセミナーRoadshow」には参加できたらいいなぁと考えています。
Nikkei BP ITイベント 2018 Spring-Summer
雑談が多いのですが、最近Twitterでハニーポットを始めたというtweetをよく見かける気がします。中には、このブログをご覧いただいて興味を持たれたという方も…。うれしい限りですね。ぜひ、情報共有して行ければと思います。
本日の攻撃状況
過去1週間の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
Cowrieは昨日に引き続き、大量発生しているようですね。他は、honeytrapがやや多く来ているようです。
Mailoneyに来ていた攻撃は、やはり一時だけの攻撃だったようですね。
本日の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
honeytrapの量が気になりますね。少し詳細に見てみます。
さて、今回はいつもと違って、国別で絞ろうと思っても、いろいろな国が入り乱れていてうまく絞ることができません。
国別では、1位アメリカ、2位セイシェル、3位ロシア、4位中国、5位ベトナムとなっていますね。
やはり、ここでもセイシェルが出てきます。攻撃者が多いのか、踏み台が多いのか、頻繁に出てくる国名ですね。
攻撃傾向の円グラフです。
上段が国別の攻撃Portになっていますが、セイシェルはPort:502に対する攻撃がほとんどですね。
このPortは、CVE2008-7199やCVE2011-4861などで使用されるPortのようです。
他の国は、いろいろな攻撃が平均してきている感じですね。
攻撃元のIPアドレスも分散されているのかと思いましたが、1つだけ集中して届いているIPアドレスがありますね。
Tarosでチェックしてみると、「イギリス」という結果がでるのですが、T-POT側では国別に判別できていないようです。
と、いうことは、最も多い攻撃はイギリスからになるのかもしれません。
Reputation Lookup - Cisco Talos
なぜか、このPortでフィルタリングしても、うまく情報が収集できないようですね。
少し、注意が必要なIPアドレスかもしれません。
