Ponowny wzrost skanowań związanych z portem 5000/TCP

W sieci przez weekend nastąpił wzrost skanowań na port 5000/TCP. Aktywność jest podobna do tej obserwowanej pół roku temu, która została przypisana widzianemu wtedy robakowi Bobax.

W przypadku stwierdzenia otwartego portu 5000/TCP, atakowany jest port 445 (jest to exploit związany z luką w LSASS). Źródłem ataku są IP znajdujące się w tej samej klasie A co ofiara. Trend jest cały czas narastający. W porównaniu z incydentem sprzed pół roku atakujących jest jednak zdecydowanie mniej.

Źródło informacji: CERT Polska