Během dubna bylo v rámci greylistů zachyceno více než deset tisíc nových unikátních útočníků. Nově lze v reportu vyčíst další zajímavý údaj, a to celkový počet incidentů. Dále jsme přidali koláčový graf pro tyto kategorie – zdroje pastí, použité akce připojení a jejich kombinace. Většina útočníků soustředí svoji aktivitu na SMTP servery. Akce pro přihlášení (login) a pokus o připojení (connect) jsou tak časté, že zastiňují ostatní data. Plánujeme se s tímto nešvarem v budoucích reportech vypořádat. I přesto, že čísla pro protokol Telnet jsou výrazně nižší, jde o druhou nejvíce napadanou službu. Jak jsme již v předchozích reportech podotkli, je to zřejmě proto, že tento ne úplně zabezpečený protokol používají buď nějaká stará zařízení, nebo zařízení, jejichž autoři si nelámou hlavu s bezpečností. Proto jsou snadným cílem. S přechodem uživatelů na CMS systémy (správa obsahu webu) vidíme, že pro útočníky není FTP protokol v našem kontextu tak zajímavý cíl. Závěrem bychom rádi zmínili, že v současné době není radno Telnet používat a rozhodně bychom se zaměřili na ochranu každé služby HTTP s tím nejvyšším možným důrazem na bezpečnost.
V oblasti popisů služeb jednotlivých portů jsme začali vytvářet rozšíření nad daty, která používáme z Wikipedie. Přesto nemáme stále u některých portů úplně jasno, které služby využívají. Jedná se například o port 37183, který poskočil meziměsíčně o více než 300 tisíc %. Podle definic patří do třídy portů dynamických/privátních, takže může být využíván doslova v jakékoliv aplikaci. Z příslušné tabulky lze oproti minulému měsíci vyčíst pokles o 28 % na portu 27032. Tento port je využíván ve službě Steam. Kromě toho vidíme i veliký pokles port scanů pro BitTorrent klienty (zřejmě lidé nestahují tolik jako minulý měsíc) a mírný pokles u služby sdílení složek ve Windows. Nicméně i přes tyto skutečnosti nabádáme k ostražitosti a doporučujeme nezpřístupňovat sdílené složky na internetu.
Oproti minulým měsícům klesl počet íránských útoků s přihlašováním pomocí hesla na minimum. Místo toho však začal jeden velice aktivní útočník útočit 1. dubna, a to spoustou náhodných hesel. Jejich distribuce byla velice rovnoměrná – za tři dny bylo zaznamenáno přibližně 14 tisíc pokusů na heslo. Podle našich zjištění patří IP adresa poskytovateli hostingu. To by mohlo vysvětlit, proč útok skončil tak náhle, poté co začal. Je totiž více než pravděpodobné, že poskytovatel hostingu zaregoval promptně na hlášení o zneužívání. Takže i bez Íránců jsme získali nový, ale tentokrát jiný šum.