今日は、17時台に23/tcpで大量のスキャンを観測しました。
この発信元は中国のIPからで、27個ほどのIPから、短時間に大量のスキャンが発生しています。
IPアドレスに偏りはなく、ボット活動による一斉スキャンではないかと思われます。また台湾や日本でも、相対的に23/tcpの活動が高まりを見せています。
これとは別に、19時台、20時台に5555/tcp(Android ADBポート)でも多くのスキャンを観測しました。
こちらの発信元は韓国割り当てのIPで、4個のIPからすべてのスキャンが発生しています。
一個はケーブルテレビ事業者、残りはキャリア系とみられるISPの管理するIPからでした。このポートは一部のセットトップボックスや、HDDレコーダー、テレビなどAndroidを使用している機器で誤って開放されていることが確認されており、マルウエア感染の原因となっています。
一方、しばらく発生していなかったWebサーバへのDoS的なイベントも一昨日、昨日と発生しており、今回は日本割り当てのIPアドレスが使用されています。
Webサーバのログからはリクエストが発生した記録がないため、単純なSYN Floodかコネクションを張るだけの攻撃とみられ、発信元は詐称されている可能性があるため、実際の攻撃元は不明です。
以上、本日の概況でした。
0 件のコメント:
コメントを投稿