セキュリティ系の勉強、その他開発メモとか雑談. GithubはUnity触っていた頃ものがメイン Twitterフォローもよろしくです

t-pot 観察 #7 2018/12/9-15 SMTPへの継続アクセス観測中

お久しぶりです。しばらくサボっていました。 先週の状況を簡単にまとめます。(サボってたので先々週分とかはないです)

全体

f:id:thinline196:20181217002702p:plain f:id:thinline196:20181217002708p:plain

気になるのは香港のグラフですね。

香港からtelnet(23)

f:id:thinline196:20181217004554p:plain CVE-2015-7755。Juniper ScreenOS の脆弱性TELNETセッション中に不特定のパスワードを入力することによって管理者アクセス権を取得できるそう。送信元は前者が223.197.136[.]59で18364アクセス、後者が219.76.242[.]60で21313アクセス。

2018/12/11ごろからSMTPポート25への継続アクセス

f:id:thinline196:20181217005205p:plain 見にくいですが、12/11ごろから大陸棚のようにグラフに出てます。国別に見てみますと、  

f:id:thinline196:20181217005503p:plain ブラジル、中国、アメリカ、台湾、イタリアが筆頭です。送信元IPもバラバラです。何かのキャンペーンでしょうか?プロトコルとしてはSMTPで、Mailoneyでの観測。今これを書いている日曜夜現在も攻撃が続いているので、ちょっと注目するべきですね。 f:id:thinline196:20181217012436p:plain 上位3つが関係していそうです。下で紹介しているブログさんの通り、私の観測でも、HELO mailserver, AUTH LOGINの後にQUITが順番にきています。接続してログイン要求を確認して、接続解除していました。

SMTPのハンドシェイクについては下のブログさんが解説してます。 https://tk-secu.hateblo.jp/entry/2018/07/30/001417#%E3%83%A1%E3%83%BC%E3%83%AB%E3%83%8F%E3%83%8B%E3%83%BC%E3%83%9D%E3%83%83%E3%83%88%E3%81%AE%E6%A4%9C%E8%A8%BC