Informace o ticketu
| Ticket ID: | CSIRT-MU #528839 |
| Čas vytvoření: | 2019-02-15 21:54:17 +0100 |
| Ohlášen na kontakt: | abuse@vultr.com |
Skenování portů z IP adresy 185.92.220.241
Bezpečnostní tým CSIRT-MU detekoval zapojení IP adresy 185.92.220.241 do následujícího incidentu:
| Typ incidentu: | Skenování portů |
| Čas detekce: | 2019-02-15 21:45:00 +0100 |
| IP adresa: | 185.92.220.241 |
| Doménové jméno: | 185.92.220.241.vultr.com |
| Počet pokusů: | 10123 |
| Počet cílů: | 10123 |
Prověřte prosím zdroj incidentu a postarejte se o nápravu. O výsledku nás do 5 pracovních dnů informujte.
Z důvodu závažnosti incidentu došlo k zablokování IP adresy 185.92.220.241 na dobu 14 dní. Blokování bylo provedeno za účelem ochrany sítě a podmínkou pro předčasné odblokování je vyřešení bezpečnostního problému, který k zablokování vedl.
Detaily k incidentu je možné nalézt v následujících souborech:
- details.txt
Scanning type: horizontal TCP SYN scan
Target count: 10123
Successful attempts: 399
Unsuccessful attempts: 9724
Ports: 80
Example targets: 147.251.77.195, 147.251.15.112, 147.251.5.52, 147.251.6.149, 147.251.10.44, 147.251.122.169, 147.251.82.17, 147.251.6.72, 147.251.5.34, 147.251.10.104
- ADS_FlowsSample-Event-35480723.txt
Source IP;Source port;Destination IP;Destination port;Protocol;Timestamp;Duration;Flags;TOS
185.92.220.241;32782;147.251.77.195;80;TCP;2019-02-15 21:45:06.898;0;....S.;0
147.251.77.195;80;185.92.220.241;32782;TCP;2019-02-15 21:45:06.904;0;.A.R..;0
185.92.220.241;45269;147.251.15.112;80;TCP;2019-02-15 21:44:51.855;0;....S.;0
147.251.15.112;80;185.92.220.241;45269;TCP;2019-02-15 21:44:51.856;0;.A.R..;0
185.92.220.241;35185;147.251.5.52;80;TCP;2019-02-15 21:44:52.610;0;....S.;0
147.251.5.52;80;185.92.220.241;35185;TCP;2019-02-15 21:44:52.611;0;.A.R..;0
185.92.220.241;38658;147.251.6.149;80;TCP;2019-02-15 21:44:52.319;0;....S.;0
147.251.6.149;80;185.92.220.241;38658;TCP;2019-02-15 21:44:52.320;0;.A.R..;0
185.92.220.241;42667;147.251.10.44;80;TCP;2019-02-15 21:44:52.842;0;....S.;0
147.251.10.44;80;185.92.220.241;42667;TCP;2019-02-15 21:44:52.842;0;.A.R..;0
Podrobné informace o incidentu a použité detekční metodě
Detekční nástroje týmu CSIRT-MU zaznamenaly, že počítač s výše uvedenou IP adresou prováděl tzv. skenování portů. Skenováním se počítač snaží kontaktovat ostatní počítače v síti a zjistit tak, jaké služby jsou v síti dostupné. Skenování nemůže uživatel provést omylem a jen zřídkakdy ji provádí zkušení uživatelé záměrně. Tato aktivita v drtivé většině případů znamená, že je daný počítač nakažen virem či jiným škodlivým kódem nebo provozuje chybně nastavenou službu. Důrazně proto doporučujeme zkontrolovat počítač pomocí aktualizovaného antivirového software, případně zkontrolovat nastaveni síťových služeb. Nevíte-li si s problémem rady, kontaktujte prosím Vaše lokální administrátory, kteří vám s řešením rádi pomohou.
Ticket information
| Ticket ID: | CSIRT-MU #528839 |
| Created: | 2019-02-15 21:54:17 +0100 |
| Reported to: | abuse@vultr.com |
Port scanning from IP address 185.92.220.241
The security team CSIRT-MU detected the involvement of the IP address 185.92.220.241 in the following incident:
| Incident type: | Port scanning |
| Time of detection: | 2019-02-15 21:45:00 +0100 |
| IP address: | 185.92.220.241 |
| Domain name: | 185.92.220.241.vultr.com |
| Attempts: | 10123 |
| Targets: | 10123 |
Please review the source of the incident and fix the issue. Inform us about the result within 5 business days.
Because of the severity of the incident, the IP address 185.92.220.241 was blocked for 14 days. The block was performed to protect the network and can be lifted earlier only after the security issue that led to it is resolved.
Incident details can be found in the following files:
- details.txt
Scanning type: horizontal TCP SYN scan
Target count: 10123
Successful attempts: 399
Unsuccessful attempts: 9724
Ports: 80
Example targets: 147.251.77.195, 147.251.15.112, 147.251.5.52, 147.251.6.149, 147.251.10.44, 147.251.122.169, 147.251.82.17, 147.251.6.72, 147.251.5.34, 147.251.10.104
- ADS_FlowsSample-Event-35480723.txt
Source IP;Source port;Destination IP;Destination port;Protocol;Timestamp;Duration;Flags;TOS
185.92.220.241;32782;147.251.77.195;80;TCP;2019-02-15 21:45:06.898;0;....S.;0
147.251.77.195;80;185.92.220.241;32782;TCP;2019-02-15 21:45:06.904;0;.A.R..;0
185.92.220.241;45269;147.251.15.112;80;TCP;2019-02-15 21:44:51.855;0;....S.;0
147.251.15.112;80;185.92.220.241;45269;TCP;2019-02-15 21:44:51.856;0;.A.R..;0
185.92.220.241;35185;147.251.5.52;80;TCP;2019-02-15 21:44:52.610;0;....S.;0
147.251.5.52;80;185.92.220.241;35185;TCP;2019-02-15 21:44:52.611;0;.A.R..;0
185.92.220.241;38658;147.251.6.149;80;TCP;2019-02-15 21:44:52.319;0;....S.;0
147.251.6.149;80;185.92.220.241;38658;TCP;2019-02-15 21:44:52.320;0;.A.R..;0
185.92.220.241;42667;147.251.10.44;80;TCP;2019-02-15 21:44:52.842;0;....S.;0
147.251.10.44;80;185.92.220.241;42667;TCP;2019-02-15 21:44:52.842;0;.A.R..;0
Detailed information about the incident and the used detection method
Detection tools of the CSIRT-MU team discovered a computer with the IP mentioned above address engaging in so-called port scanning. A computer uses the scanning to contact other computers in a network to find what services are remotely accessible. Users cannot trigger the scanning by chance and rarely experienced users do so intentionally. This activity most often means that the computer is infected by a virus or other malicious code, or runs some misconfigured service. We strongly recommend to check the computer with up-to-date antivirus software and eventually check the configuration of networked services. If you are unsure how to proceed, please contact your local administrators, who will help you to resolve this problem.
