ZOTOB/IRCBot 活動

See Also www.dshield.org

2005.10.31

プロバイダ D の1 IP アドレスから今回の観測で最大 (1424回) の攻撃。

2005.10.29

プロバイダ I の固定 IP アドレスから 445 番ポートへの接続要求が全体の半数を超える。プロバイダに対処依頼。

2005.10.22

やっと収束しかけたと思ったら，プロバイダ I の固定 IP アドレス（以前に盛んに攻撃してきたものと同一）で一匹活動開始。

2005.10.19

JVN の Tecnical Notes で観測データを使用していただきました。

「MS05-039の脆弱性を悪用した侵害活動に関する調査」

2005.10.10

プロバイダ D で一匹活動中。

2005.10.9

7.4-7.31 までのデータを追加。

2005.10.1

7.4-9.27 までの 202.0.0.0/8 内の攻撃活動グラフを公開（16回／日以上のホストのみ）。

2005.09.30

/29 の１ホストのみ衰えを見せず活動中。

2005.09.26

ノイズレベルが高いまま久しく低下傾向が続いていたが，新たに１台が感染，活動を開始した模様。

2005.09.18

攻撃量の多いホストが消滅したので，個別のグラフを公開。

2005.09.16

そろそろ収束か。

2005.09.10

300 回以上アクセスのあるホストは 2 台。初期からの常連が残る。このまま終息してくれれば良いのだけど。

2005.09.06

300 回以上アクセスのあるホストは 3 台。攻撃量の減る気配がない。

2005.09.03

週末の故か否か最も活発な感染ホストが停止。にもかかわらず攻撃の合計は増加。 300 回以上アクセスのあるホストは 4 台。最近の感染ネットワークにインシデント報告。 whois DB にある連絡先にメールが届かないネットワークあり。

2005.09.02

漸増傾向。 300 回以上アクセスのあるホストは 4 台。活動停止と思った１台は復活。上位８までは常連が占める。

2005.09.01

300 回以上アクセスのあるホストは 4 台。盛んに攻撃していた１台はフェードアウトのようなパターンで活動停止。

2005.08.31

300 回以上アクセスのあるホストは 3 台。さらに新たな /29 のネットワークで感染。

2005.08.30

やや増加。 300 回以上アクセスのあるホストは 1 台。新たに /29 のネットワークで感染。

2005.08.29

減少傾向。 300 回以上アクセスのあるホストは 2 台。トップ５はメンバー変わらず。

2005.08.28

週末。減少傾向。 300 回以上アクセスのあるホストは 3 台で常時ランクイン。プロバイダ系は感染が続いている模様。

2005.08.27

週末。 300 回以上アクセスのあるホストは 3 台。

2005.08.26

全体的に攻撃が減少傾向。新たに社内感染１台。 300 回以上アクセスのあるホストは 4 台。

2005.08.25

台数は変わらないが，全体的に攻撃が減少。 300 回以上アクセスのあるホストは 5 台。

データをチェックして日をグラフにあわせて修正

2005.08.24

３台は活動停止したが，新たなネットワークの１台が感染した。 300 回以上アクセスのあるホストは 7 台。

2005.08.23

高止まり傾向。現状認識が甘かったようです。ついに 445 のトラフィックは平常時の 10 倍に。

アクセストップ 10 はすべて /18 以内の PC で，総アクセス数の６割を占めている。

インシデント・ハンドリングの実験開始。

ハンドリング・プランとログを添付して管理者宛にメールしたら，脅迫者呼ばわりされた。でも止めてはくれたみたい :-P 一方，同じ文面を送付して，即時に見事な対応をとってくれたネットワークもあった。技術がからまった文章は，人によって受け取り方が全然異なることを実感。さてどうしたものか...

300 回以上アクセスのあるホストは 9 台。

2005.08.20

ニュース系では収束に向かっていると報道しているところもあるが。観測では急速にアクセス数が増大している。数カ所のネットワークには対処依頼のメールを発信。 whois DB データベースで検索できる管理者のメールアドレスに届かないネットワークあり。

アクセス数半数以上は /18 以内のネットワークアドレス（５台）からの攻撃である。