今日も2967
今日は初めて、2967/tcp宛てに来るパケットの中身を見せてもらった。
脆弱なAntiVirusで待ち受けていたのに、何にも感染しなかったそうな。
2968/tcp宛ての通信も増えているようだけど、まだ一度も見てないなあ。
今日はお客さんのところで、2967/tcpと135/tcpがセットで発生。
特に攻撃を受けた感じでもなさそうなので、やっぱり感染経路はメールなのかね。
クライアントにファイルを送り込む方法としては、一番やりやすいからか。
あと今日はインジェクションがいつもより多かった気がする。
そして、年末にでた Cacti の脆弱性をねらった攻撃を検知。
外からアクセスできる Cacti がある方は、バージョン確認を。
これ、いまなら外からばっちり変なファイルをダウンロードしてくれるみたいですよ・・・。
今のところ、最新版の0.8.6iだけが影響受けるのかな?
ツールもばっちりあるみたい。
参考URL:http://www.securityfocus.com/bid/21823
追記:
こっちみたい・・・。
http://www.securityfocus.com/bid/21799