Jednou z aktivit správce české národní domény sdružení CZ.NIC je provozování serverů detekujících pokusy o neoprávněná připojení a útoky. Obecně se takový server označuje jako honeypot (tedy sklenice medu) – pro útočníky se může zdát lákavý, ale poskytované služby jsou pouze simulované a informace o útočníkovi se zaznamenávají.
Nejedná o cílené útoky, ale spíše o výsledky práce programů (čtěte virů), které systematicky prochází prostor IP adres a zkouší, kde budou mít štěstí. Smysl provozování honeypotů je v analýze trendů a monitorování bezpečnosti internetu.
CZ.NIC dnes publikoval analýzu dat, která tímto způsobem získal od listopadu do ledna.
Nejvíce se útočníci připojovali na port 445 (SMB protokol), řádově méně pokusů bylo dále na porty 80 (HTTP), 5060 (SIP), 3306 (databáze MySQL) a 1433 (Microsoft SQL Server). Nejčastěji nahrávaným malwarem byly různé varianty Confickeru.
Podobně jako v předchozím období se na statistikách podepsal autonomní systém AS3462 z Tchaj-wanu s počtem 372 unikátních IP adres.
Nejčastější útočníci (listopad 2012 – leden 2013).
Počítače z tohoto rozsahu šířily 100 různých variant malware, z toho dvě se dostaly do TOP 10 za poslední sledované období (viz první a druhý malware na VirusTotal); jedna z těchto dvou byla šířena z jediné IP adresy. Tento AS sám o sobě zajistil Tchaj-wanu první příčku ve srovnání s ostatními státy světa,
uvedl Jiří Machálek z CZ.NICu.
Země, ze kterých přicházelo nejvíce útoků na honeypot CZ.NICu.
Zdroj: blog CZ.NIC
ČLÁNKY DO MAILU