お久しぶりです。しばらくサボっていました。 先週の状況を簡単にまとめます。(サボってたので先々週分とかはないです)

全体

気になるのは香港のグラフですね。

香港からtelnet(23)

CVE-2015-7755。Juniper ScreenOS の脆弱性でTELNETセッション中に不特定のパスワードを入力することによって管理者アクセス権を取得できるそう。送信元は前者が223.197.136[.]59で18364アクセス、後者が219.76.242[.]60で21313アクセス。

2018/12/11ごろからSMTPポート25への継続アクセス

見にくいですが、12/11ごろから大陸棚のようにグラフに出てます。国別に見てみますと、　　

ブラジル、中国、アメリカ、台湾、イタリアが筆頭です。送信元IPもバラバラです。何かのキャンペーンでしょうか？プロトコルとしてはSMTPで、Mailoneyでの観測。今これを書いている日曜夜現在も攻撃が続いているので、ちょっと注目するべきですね。 上位３つが関係していそうです。下で紹介しているブログさんの通り、私の観測でも、HELO mailserver, AUTH LOGINの後にQUITが順番にきています。接続してログイン要求を確認して、接続解除していました。

SMTPのハンドシェイクについては下のブログさんが解説してます。 https://tk-secu.hateblo.jp/entry/2018/07/30/001417#%E3%83%A1%E3%83%BC%E3%83%AB%E3%83%8F%E3%83%8B%E3%83%BC%E3%83%9D%E3%83%83%E3%83%88%E3%81%AE%E6%A4%9C%E8%A8%BC