今日は初めて、2967/tcp宛てに来るパケットの中身を見せてもらった。
脆弱なAntiVirusで待ち受けていたのに、何にも感染しなかったそうな。
2968/tcp宛ての通信も増えているようだけど、まだ一度も見てないなあ。

今日はお客さんのところで、2967/tcpと135/tcpがセットで発生。
特に攻撃を受けた感じでもなさそうなので、やっぱり感染経路はメールなのかね。
クライアントにファイルを送り込む方法としては、一番やりやすいからか。

あと今日はインジェクションがいつもより多かった気がする。
そして、年末にでた Cacti の脆弱性をねらった攻撃を検知。
外からアクセスできる Cacti がある方は、バージョン確認を。
これ、いまなら外からばっちり変なファイルをダウンロードしてくれるみたいですよ・・・。
今のところ、最新版の0.8.6iだけが影響受けるのかな？
ツールもばっちりあるみたい。

参考URL：http://www.securityfocus.com/bid/21823

追記：
　こっちみたい・・・。
　http://www.securityfocus.com/bid/21799