Jun 25, 2018

UTM、週報、06/23


Date: 2018/06/23
Type: weekly






TOP10 dropped services

Total dropped packets: 21 389
Top
Service Name
Protocol
Service
Packets
%
1
TELNET
TCP
23
2 358
11.02 %
2
MICROSOFT-DS
TCP
445
2 006
9.38 %
3
HTTP
TCP
80
1 712
8.00 %
4
MS-SQL-S
TCP
1433
598
2.80 %
5
HTTP-ALT
TCP
8080
465
2.17 %
6
TCP
8545
394
1.84 %
7
IPSEC-MSFT
UDP
4500
357
1.67 %
8
HOSTS2-NS
TCP
81
307
1.44 %
9
IRDMI
TCP
8000
306
1.43 %
10
TCP
52869
262
1.22 %
Port 81
shodan で、port=81 で出てくるのは、全部 XtreamerRATとされています。

 これを見ると、そうとも限らないと思え、shodanの実装・検査過程に興味でてきた。

Jun 23, 2018

UTM、週報 06/16

Date: 2018/06/16
Type: weekly
TOP10 dropped services
Total dropped packets: 22 101
Top
Service Name
Protocol
Service
Packets
%
1
TELNET
TCP
23
2 320
10.50 %
2
MICROSOFT-DS
TCP
445
2 154
9.75 %
3
HTTP
TCP
80
1 943
8.79 %
4
MS-SQL-S
TCP
1433
583
2.64 %
5
DOMAIN
UDP
53
538
2.43 %
6
HTTP-ALT
TCP
8080
404
1.83 %
7
TCP
52869
331
1.50 %
8
TCP
8545
328
1.48 %
9
IRDMI
TCP
8000
315
1.43 %
10
HTTPS
TCP
443
288
1.30 %

port 8000
8000
TCP
UDP
iRDMI (Intel Remote Desktop Management Interface)[119] sometimes erroneously used instead of port 8080
公式
8000
TCP
Commonly used for Internet radio streams such as SHOUTcast
非公式
8000
TCP
Splunk web-interface
非公式
8000
TCP
FreemakeVideoCapture service (part of Freemake Video Downloader)[120]
非公式
8000
TCP
DynamoDB Local[121]
非公式
8000
TCP
Nortel Contivity Router Firewall User Authentication (FWUA) default port number
非公式
8000
TCP
frePPLe - open source production planning default port number
非公式

port 8545
JSON RPC
次のサイト、使いやすそう

示されたリンク先 ↓
引用: [JSON-RPC / Ethereum cryptocurrency node / Satori-Mirai] - Research by Qihoo 360 showed in May 2018 that port 8545 was being abused to find exposed JSON-RPC ports which can lead to private key or personal data leakage and even theft of cryptocurrency. Sensors reported packet payloads which reveal wallet addresses by potential thieves.

Jun 16, 2018

読み物: 2017下 脅威分析、DevOpsとITインフラのギャップ解消、Google Keep ほか

まだ読めてない

IBM SOCレポート最新版 2017年下半期の脅威動向を分析・解説

DevOpsITインフラのギャップ解消で迅速化、リスク軽減、コスト削減

・「Google Keep」大好き人間が勧める徹底活用ハック2018年版(1

・「BitLocker」入門--ディスク全体を暗号化するWindowsのセキュリティ機能

・「Google マップ」大好き人間が勧める徹底活用ハック2018年版(1)

UTM、週報 06/09


TOP10 dropped services .. weekly till 6/9

Total dropped packets: 21 065
Top
Service Name
Protocol
Service
Packets
%
1
TELNET
TCP
23
2 417
11.47 %
2
MICROSOFT-DS
TCP
445
2 220
10.54 %
3
HTTPS
UDP
443
750
3.56 %
4
MS-SQL-S
TCP
1433
547
2.60 %
5
HTTP
TCP
80
516
2.45 %
6
HTTP-ALT
TCP
8080
396
1.88 %
7
TCP
52869
395
1.88 %
8
TCP
5228
293
1.39 %
9
TCP
8545
290
1.38 %
10
SIP
UDP
5060
245
1.16 %

52869/tcp (+23/tcp) は、根強い人気
・脆弱性が存在するルータを標的とした宛先ポート52869/TCPに対するアクセス及び日本国内からのTelnetによる探索を実施するアクセスの観測等について(2017/12/19)

8545/tcp
TCP/UDP Port Finder
以前は、EMC2関連かと思っていたのですが、
Ethereumが検索結果に出てくるので、もう少しググってみると、、、

JSON RPC
JSON-RPCでもデフォルトで使っている。
可能なら、localhostでのみlistenするのが安全そうですが。
『 change the default port (8545) and listing address (localhost) with:
geth --rpc --rpcaddr <ip> --rpcport <portnumber>  』

JSON-RPCが仮想通貨決済で使われている場合に、インターフェイスが公開され・・・(中略)・・・トークン盗難につながってしまう』とのこと。
『この問題に特に注意し、port防御、ネットワークアクセス制限を』との事。
記事末尾には、発見者 Knownsec  404 blockchain safety research teamの連絡先が紹介されている。

EthereumノードにJSON-RPC API経由でアクセスする (2017/02/15)


5060/udp
これか ↓
SIP サーバの不正利用に関する注意喚起 (2013/09/06)


Jun 9, 2018

メモ、raspi IDS

Can Snort run on a Raspberry Pi? (2017/06/28)

Pi-hole: A black hole for Internet advertisements

UTM週報、6/2現在

TOP10 dropped services

Total dropped packets: 22 797
Top
Service Name
Protocol
Service
Packets
%
1
TELNET
TCP
23
2 232
9.79 %
2
MICROSOFT-DS
TCP
445
2 113
9.27 %
3
GRE
-
809
3.55 %
4
HTTP
TCP
80
548
2.40 %
5
MS-SQL-S
TCP
1433
528
2.32 %
6
HTTP-ALT
TCP
8080
485
2.13 %
7
SSH
TCP
22
246
1.08 %
8
TCP
8545
244
1.07 %
9
DOMAIN
UDP
53
241
1.06 %
10
TCP
52869
230
1.01 %
・脆弱性が存在するルータを標的とした宛先ポート52869/TCPに対するアクセス及び日本国内からのTelnetによる探索を実施するアクセスの観測等について(2017/12/19)