Informace o ticketu
Ticket ID: | CSIRT-MU #1464791 |
Čas vytvoření: | 2024-03-17 19:51:25 +0100 |
Ohlášen na kontakt: | abuse@stark-industries.solutions,abuse@stark-industries.solutions |
Skenování portů z IP adresy 94.131.123.155
Bezpečnostní tým CSIRT-MU detekoval zapojení IP adresy 94.131.123.155 do následujícího incidentu:
Typ incidentu: | Skenování portů |
Čas detekce: | 2024-03-17 19:49:03 +0100 |
IP adresa: | 94.131.123.155 |
Doménové jméno: | tur.ddnet.org |
Počet pokusů: | 979 |
Počet cílů: | 178 |
Prověřte prosím zdroj incidentu a postarejte se o nápravu. O výsledku nás do 5 pracovních dnů informujte.
Z důvodu závažnosti incidentu došlo k zablokování IP adresy 94.131.123.155 na dobu 2 hodin. Blokování bylo provedeno za účelem ochrany sítě a podmínkou pro předčasné odblokování je vyřešení bezpečnostního problému, který k zablokování vedl.
Detaily k incidentu je možné nalézt v následujících souborech:
- details.txt  
IP: 94.131.123.155
Type: Port scanning
Severity: Critical
Time: 2024-03-17 19:49:03
Incident details:
15305892 2024-03-17 19:49:03 Horizontal TCP SYN sken (pokusy s odpovědí: 765, pokusy bez odpovědi: 214, cíle: 178, porty: 80,443,3389,81,5060,8080,5900,53,22,23,... ). 147.251.26.130, 147.251.26.131, 147.251.26.134, 147.251.26.135, 147.251.26.137, 147.251.26.138, 147.251.26.139, 147.251.26.140, 147.251.26.141, 147.251.26.144
- ADS_FlowsSample-Event-15305892.txt  
Source IP;Source port;Destination IP;Destination port;Protocol;Timestamp;Duration;Transferred;Packets;Flags;HTTP host;URL
94.131.123.155;80;147.251.27.51;21;TCP;1710701233349;0;40;1;....S.;;
147.251.27.51;21;94.131.123.155;80;TCP;1710701233349;0;40;1;.A.R..;;
94.131.123.155;22;147.251.26.137;443;TCP;1710701232153;0;40;1;....S.;;
147.251.26.137;443;94.131.123.155;22;TCP;1710701232154;0;40;1;.A.R..;;
94.131.123.155;53;147.251.27.1;3389;TCP;1710701231999;0;40;1;....S.;;
147.251.27.1;3389;94.131.123.155;53;TCP;1710701232000;0;40;1;.A.R..;;
94.131.123.155;8888;147.251.27.67;5060;TCP;1710701233110;0;40;1;....S.;;
147.251.27.67;5060;94.131.123.155;8888;TCP;1710701233111;0;40;1;.A.R..;;
94.131.123.155;5060;147.251.27.51;5060;TCP;1710701232581;0;40;1;....S.;;
147.251.27.51;5060;94.131.123.155;5060;TCP;1710701232582;0;40;1;.A.R..;;
94.131.123.155;3389;147.251.27.100;25;TCP;1710701231970;0;40;1;....S.;;
147.251.27.100;25;94.131.123.155;3389;TCP;1710701231970;0;40;1;.A.R..;;
94.131.123.155;3389;147.251.27.31;53;TCP;1710701232603;0;40;1;....S.;;
147.251.27.31;53;94.131.123.155;3389;TCP;1710701232603;0;40;1;.A.R..;;
94.131.123.155;3389;147.251.27.39;24;TCP;1710701232695;0;40;1;....S.;;
147.251.27.39;24;94.131.123.155;3389;TCP;1710701232695;0;40;1;.A.R..;;
94.131.123.155;81;147.251.27.99;5060;TCP;1710701232384;0;40;1;....S.;;
147.251.27.99;5060;94.131.123.155;81;TCP;1710701232384;0;40;1;.A.R..;;
94.131.123.155;5900;147.251.26.193;443;TCP;1710701232191;0;40;1;....S.;;
147.251.26.193;443;94.131.123.155;5900;TCP;1710701232194;0;40;1;.A.R..;;
Podrobné informace o incidentu a použité detekční metodě
Detekční nástroje týmu CSIRT-MU zaznamenaly, že počítač s výše uvedenou IP adresou prováděl tzv. skenování portů. Skenováním se počítač snaží kontaktovat ostatní počítače v síti a zjistit tak, jaké služby jsou v síti dostupné. Skenování nemůže uživatel provést omylem a jen zřídkakdy ji provádí zkušení uživatelé záměrně. Tato aktivita v drtivé většině případů znamená, že je daný počítač nakažen virem či jiným škodlivým kódem nebo provozuje chybně nastavenou službu. Důrazně proto doporučujeme zkontrolovat počítač pomocí aktualizovaného antivirového software, případně zkontrolovat nastaveni síťových služeb. Nevíte-li si s problémem rady, kontaktujte prosím Vaše lokální administrátory, kteří vám s řešením rádi pomohou.
Ticket information
Ticket ID: | CSIRT-MU #1464791 |
Created: | 2024-03-17 19:51:25 +0100 |
Reported to: | abuse@stark-industries.solutions,abuse@stark-industries.solutions |
Port scanning from IP address 94.131.123.155
The security team CSIRT-MU detected the involvement of the IP address 94.131.123.155 in the following incident:
Incident type: | Port scanning |
Time of detection: | 2024-03-17 19:49:03 +0100 |
IP address: | 94.131.123.155 |
Domain name: | tur.ddnet.org |
Attempts: | 979 |
Targets: | 178 |
Please review the source of the incident and fix the issue. Inform us about the result within 5 business days.
Because of the severity of the incident, the IP address 94.131.123.155 was blocked for 2 hours. The block was performed to protect the network and can be lifted earlier only after the security issue that led to it is resolved.
Incident details can be found in the following files:
- details.txt  
IP: 94.131.123.155
Type: Port scanning
Severity: Critical
Time: 2024-03-17 19:49:03
Incident details:
15305892 2024-03-17 19:49:03 Horizontal TCP SYN sken (pokusy s odpovědí: 765, pokusy bez odpovědi: 214, cíle: 178, porty: 80,443,3389,81,5060,8080,5900,53,22,23,... ). 147.251.26.130, 147.251.26.131, 147.251.26.134, 147.251.26.135, 147.251.26.137, 147.251.26.138, 147.251.26.139, 147.251.26.140, 147.251.26.141, 147.251.26.144
- ADS_FlowsSample-Event-15305892.txt  
Source IP;Source port;Destination IP;Destination port;Protocol;Timestamp;Duration;Transferred;Packets;Flags;HTTP host;URL
94.131.123.155;80;147.251.27.51;21;TCP;1710701233349;0;40;1;....S.;;
147.251.27.51;21;94.131.123.155;80;TCP;1710701233349;0;40;1;.A.R..;;
94.131.123.155;22;147.251.26.137;443;TCP;1710701232153;0;40;1;....S.;;
147.251.26.137;443;94.131.123.155;22;TCP;1710701232154;0;40;1;.A.R..;;
94.131.123.155;53;147.251.27.1;3389;TCP;1710701231999;0;40;1;....S.;;
147.251.27.1;3389;94.131.123.155;53;TCP;1710701232000;0;40;1;.A.R..;;
94.131.123.155;8888;147.251.27.67;5060;TCP;1710701233110;0;40;1;....S.;;
147.251.27.67;5060;94.131.123.155;8888;TCP;1710701233111;0;40;1;.A.R..;;
94.131.123.155;5060;147.251.27.51;5060;TCP;1710701232581;0;40;1;....S.;;
147.251.27.51;5060;94.131.123.155;5060;TCP;1710701232582;0;40;1;.A.R..;;
94.131.123.155;3389;147.251.27.100;25;TCP;1710701231970;0;40;1;....S.;;
147.251.27.100;25;94.131.123.155;3389;TCP;1710701231970;0;40;1;.A.R..;;
94.131.123.155;3389;147.251.27.31;53;TCP;1710701232603;0;40;1;....S.;;
147.251.27.31;53;94.131.123.155;3389;TCP;1710701232603;0;40;1;.A.R..;;
94.131.123.155;3389;147.251.27.39;24;TCP;1710701232695;0;40;1;....S.;;
147.251.27.39;24;94.131.123.155;3389;TCP;1710701232695;0;40;1;.A.R..;;
94.131.123.155;81;147.251.27.99;5060;TCP;1710701232384;0;40;1;....S.;;
147.251.27.99;5060;94.131.123.155;81;TCP;1710701232384;0;40;1;.A.R..;;
94.131.123.155;5900;147.251.26.193;443;TCP;1710701232191;0;40;1;....S.;;
147.251.26.193;443;94.131.123.155;5900;TCP;1710701232194;0;40;1;.A.R..;;
Detailed information about the incident and the used detection method
Detection tools of the CSIRT-MU team discovered a computer with the IP mentioned above address engaging in so-called port scanning. A computer uses the scanning to contact other computers in a network to find what services are remotely accessible. Users cannot trigger the scanning by chance and rarely experienced users do so intentionally. This activity most often means that the computer is infected by a virus or other malicious code, or runs some misconfigured service. We strongly recommend to check the computer with up-to-date antivirus software and eventually check the configuration of networked services. If you are unsure how to proceed, please contact your local administrators, who will help you to resolve this problem.