23/tcpでは、一昨日の米国の後、中国やフランスなどでも比較的小規模(と言っても米国のバーストが大きすぎたためで、それぞれは十分に大きいですが)バーストが発生しています。
8080/tcpの活動は中国を中心にじわじわと活発化しているように見えます。このポートはWebプロキシの他、様々な機器のWebコンソールなどにも使われているため、様々な目的のスキャンが混在している可能性があります。
1433/tcpでは中国発が多くを占めるものの、その他多くの地域を発信元とするスキャンが観測されています。発信元はダイナミック割り当てと思われるIPが多く、PCへのマルウエア感染が疑われます。PC経由で内部のSQLサーバへの攻撃を狙うマルウエア等の可能性があります。
国別で、日本発の状況を見ると、全体的には不活発ですが、散発的に特徴的な活動もみられます。
ここ数日で目立ったのが、47924/tcpに対するものと39090/tcpに対するものです。いずれも正規の割り当てがないポートですが、グーグルで検索してみた結果では、前者はNFS関連のRPCで使われている可能性があり、後者はHPE社のVSDクラスタをProxy(F5のBigIP)経由で管理する際のポートとしてマニュアルに記載がありました。実際の目的は不明ですが、これらに関連した探索活動の可能性もあります。また、昨日の夜には139/tcpと445/tcpへのスキャンが増加しました。これらは通常の活動レベルよりもかなり高いレベルの活動で、マルウエアもしくは意識的な探索活動による可能性が高いと思われます。
以上、本日の概況でした。
0 件のコメント:
コメントを投稿