SCANを受けているポートTOP10
ハニーポット用にたてているWebサーバー。
基本的にハニーポットに届く通信とサーバ管理用で必要な通信ポート以外ブロックをしてログに記録しております。
そこで、どんなサービスに対してスキャンが来ているのだろうと思い、ブロックされているポートと件数TOP10をまとめてみました。
【観測環境】
■観測期間:2018年2月18日~3月20日(30日間)
■観測場所:日本国内IP(一か所しかないです。はい)
1位 23/TCP(9690件) :いわずもがなTelnet
2位 1433/TCP(2882件) :SQL Severのポート
4位 8545/TCP(1338件) :???
6位 52869/TCP(995件) :某メーカー製ルータの脆弱性を狙ったSCAN
8位 8080/TCP( 885件) :いろんなサービスで使用中
9位 3389/TCP( 730件) :リモートデスクトップ
11位以下は下図ご参照
23/TCPへの通信がダントツですね。
いろいろ検索してみるとMirai-Bot関連のSCANのようです。
日本サイバー犯罪対策センター(JC3)のWebサイトをはじめ様々な注意喚起文が出てました。
これによると2323/TCPや52869/TCPも同じもののようです。
きっとMirai亜種とかいろんなものがいるんだろうなぁ。
Miraiはよく使われるアカウントとパスワードをバシバシぶつけてくるとのこと。
これからインターネットに公開しようとするサーバやIoT機器は標準設定や簡単なアカウント・パスワードを使わず、ちゃんと変更をしましょう。
(既存の機器は乗っ取られていないことの確認が必要かも…どうやって???)