av-school in Russia →   
Podręcznik Forum Wiki Pomoc Kanały RSS
Nawigacja
Nowości
Encyklopedia wirusów
Artykuły
Download
Galeria
Forum
Kontakt
Linki
O projekcie
Pomoc
Podręcznik
Komputerowy Biathlon
Logowanie
Nazwa:
Hasło:
Statystyki
Ilość postów: 6333
Użytkowników: 10824
Gości: 19

Ostatnio dołączył:
harryhbhernandez

Najwięcej postów:
kristoff

Online:
Orermlope
od 40 minut
Najnowsze informacje
30 sierpnia 2010
 
Nie jest tajemnicą, że cyberprzestępcy atakują wszystko i wszystkich bez wyjątku. Wielu administratorów IT nie przejmuje się swoimi zasobami internetowymi. Smutne, ale prawdziwe – gdy zapytacie administratora, czy jego serwery są zabezpieczone, często usłyszycie: „Ale komu jest potrzebny mój serwer SQL?”

Kilka miesięcy temu rozstawiliśmy nową pułapkę honeypot (http://www.mwcollect.org) w naszym japońskim centrum badawczym w Tokio. Honeypot jest wykorzystywany głównie do przechwytywania szkodliwych plików wykonywalnych dla Windowsa poprzez emulowanie shellcode po znalezieniu exploitów sieciowych. Dodatkową zaletą wykorzystywania pułapek honeypot do nasłuchiwania na wszystkich portach jest to, że otrzymujemy statystyki (jak również nieoczekiwane dane) odnośnie różnych portów sieciowych hosta, który posiada globalny adres IP.

Poniższy wykres pokazuje liczbę ataków i niechcianych połączeń na określonych portach naszego serwera. Pokazuje dziesięć najczęściej wykorzystywanych portów. Jednak nawet najmniej atakowany port (w tym przypadku port 1130) otrzymuje około 16 połączeń dziennie.

Poniżej tabela pokazująca powszechne usługi z wykorzystaniem każdego portu:

Mamy nadzieję, że dane te będą potwierdzeniem tego, co dla nas jest oczywiste – w Internecie są osoby, które polują na twój serwer SQL! (A przy okazji również kilka innych rzeczy…) Powyższe dane pokazują, że jest wielu szkodliwych użytkowników, którzy szukają w Internecie „osieroconych hostów z otwartymi drzwiami”. Niektórzy z nich próbują znaleźć backdoora Backdoor.Win32.Noknok, inni - włamywać się poprzez legalne usługi takie jak Radmin i Windows Remote Desktop.

Zastanawiasz się, kto poluje na słabo chronione zasoby? Poniżej kolejny wykres, pokazujący, ile połączeń z różnych krajów jest nawiązywanych z naszym honeypotem dziennie:

Porównajcie go spokojnie z poprzednim wykresem. Z pewnością zauważyliście, że liczba prób ataków MSSQL odzwierciedla ataki pochodzące z Chin. Niedawno hosty w Korei Południowej były wykorzystywane w masowej próbie wykorzystania tej usługi.

Z pomocą honeypota możemy uzyskać cenne dane; ich analiza dostarcza nam mnóstwo pracy; poza tym jest to niedroga forma rozrywki. Nasz honeypot działa na procesorze 500MHz Pentium III z 384 Mb pamięci RAM, co dzisiaj prawdopodobnie kosztuje mniej niż 100 dolarów. Tak więc, jeżeli myślisz o wyrzuceniu starego, wolnego sprzętu, zastanów się nad honeypotem! ;-)

źródło: viruslist.pl


TEKST +   TEKST -  
Komentarze (0)
Brak komentarzy
Dodaj komentarz
Aby dodać komentarz musisz być zalogowany.
Patronat
Partnerzy
Wydarzenia
Ostatnio
Electronic Games Party 2012
Dzisiaj
Brak
Najbliższe
Brak
Statystyki zagrożeń
TOP 10 złośliwych
programów tygodnia

1. Malicious URL
2. Script.Iframer Troj
3. Win32.Generic Troj
4. Script.Generic Troj
5. Script.Generic Exp
6. Shopper.il AdW
7. Script.Generic TrD
8. Eorezo.heur AdW
9. Popupper.aw Troj
10. Shopper.jq AdW

Żródło: KSN
Imieniny
Czy wiesz, że...
Silnik antywirusowy - Silnik - rdzeń każdego produktu antywirusowego - jest modułem programowym, który został zbudowany w celu wykrywania i usuwania złośliwego kodu. Silnik rozwijany jest niezależnie od konkretnej ...
Z galerii...
Letni obóz AV-School 2009
Polecamy artykuł
Sposoby autoryzacji
     Główna            Kontakt           O projekcie
Copyright © 2012 Kaspersky Lab