2015-05-15

ポートスキャン、リモートコード実行、VoIP 攻撃

 先日、連続ネットワークアクセスのログが大量に記録されました。

 こんな感じです。


IP アドレス: 1.20.150.223 (タイ)
ポートスキャン後、連続アクセス。

IPS Prevention Alert: WEB-ATTACKS bash Access, SID: 8920, Priority: Medium -  1.20.150.223, 5313

bash Access とあるので、bash シェルの脆弱性(Shellshock)を狙った攻撃のようです。
 Unix、Linux、Mac OS X をお使いの方は注意が必要ですね。

参考:
bashに存在する「Shellshock」脆弱性についての注意喚起

 そして、この Shellshock 狙いどおり、リモートコード実行試行が10分間で 5700 回以上の連続アクセスが記録されていました。
 攻撃先のポートが 80 (http) だったので、Web サーバ狙いでしょうね。

WEB-ATTACKS Web Application Remote Code Execution 45, SID: 5617, Priority: Medium - 1.20.150.223


IP アドレス: 212.83.136.198 (フランス)

 ポートスキャン後、 連続アクセス。
 過去のレポートを見ていると、先月末からもちょこちょこアクセスしている記録がありますし、この IP アドレスは以前から悪用が報告されているようです。
IPS Prevention Alert: VoIP-ATTACKS SIPVicious Activity 1, SID: 5616, Priority: Medium - 212.83.136.198, 5093

 VoIP で攻撃先のポートが SIP だったので、IP 通話関係の接続確立を試みたようです。



 みなさまもお気を付けください。