t-pot 観察 #7 2018/12/9-15 SMTPへの継続アクセス観測中
お久しぶりです。しばらくサボっていました。
先週の状況を簡単にまとめます。(サボってたので先々週分とかはないです)
全体
気になるのは香港のグラフですね。
香港からtelnet(23)
CVE-2015-7755。Juniper ScreenOS の脆弱性でTELNETセッション中に不特定のパスワードを入力することによって管理者アクセス権を取得できるそう。送信元は前者が223.197.136[.]59で18364アクセス、後者が219.76.242[.]60で21313アクセス。
2018/12/11ごろからSMTPポート25への継続アクセス
見にくいですが、12/11ごろから大陸棚のようにグラフに出てます。国別に見てみますと、
ブラジル、中国、アメリカ、台湾、イタリアが筆頭です。送信元IPもバラバラです。何かのキャンペーンでしょうか?プロトコルとしてはSMTPで、Mailoneyでの観測。今これを書いている日曜夜現在も攻撃が続いているので、ちょっと注目するべきですね。
上位3つが関係していそうです。下で紹介しているブログさんの通り、私の観測でも、HELO mailserver
, AUTH LOGIN
の後にQUIT
が順番にきています。接続してログイン要求を確認して、接続解除していました。
SMTPのハンドシェイクについては下のブログさんが解説してます。 https://tk-secu.hateblo.jp/entry/2018/07/30/001417#%E3%83%A1%E3%83%BC%E3%83%AB%E3%83%8F%E3%83%8B%E3%83%BC%E3%83%9D%E3%83%83%E3%83%88%E3%81%AE%E6%A4%9C%E8%A8%BC