[GTER] RES: Requisições p/ 209.188.92.212
Cleber - Listas
cleber-listas at inetweb.com.br
Tue Apr 28 10:36:46 -03 2009
Elizandro,
Eu seguiria os passos abaixo:
1) Identificar pelo Firewall se a conexão é entrante ou sainte. Se for
entrante, você pode analisar pelos LOG's WEB de seus clientes em qual
website está tendo esta requisição. Uma ferramenta como o LOGparser da
Microsoft + alguns scripts .VBS podem lhe ajudar.
2) Se a conexão for sainte, você tem que tentar identificar quais paginas
ASP.NET ou PHP (ou até mesmo ASP, se houver algum componente de SOCKS), pois
se tratar de um webhosting seu cliente pode ter outro site externo e fazer
conexões de seu servidor com outros externos.
3) Se pelo item 2 for muitos sites e não for possivel analisar de forma
rápida, uma alternativa (boa para alguns e ruins para outros) é bloquear
qualquer saida "sainte" de sua rede para fora e ver quem vai reclamar :)
Abraços
-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Julio Arruda
Enviada em: terça-feira, 28 de abril de 2009 10:29
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Requisições p/ 209.188.92.212
Bruno at openline.com.br wrote:
> --- "Elizandro Pacheco [ Pacheco Tecnologia ]"
> <elizandro at pachecotecnologia.net> escreveu:
>> Alguém com problemas com esse ip? Tive 3 gateways de rede parados
>> pela quantidade de requisições internas ( http ) para esse ip.
>>
>> Alguém sabe do que se trata especificamente? Ou é só mais um?
>
> 3 gateways internos parados por requisições a um IP especifico
>
> pra mim parece um ataque, pra você não?
>
> 212.92.188.209.in-addr.arpa name = s1.igxhost.com.
>
Ataque de clientes na rede dele, contra o ip :-) Pelo que ele falou, sao
requests HTTP para este host.
Eu isolaria alguns dos clientes, para ver se tem algum malware especifico.
--
gter list https://eng.registro.br/mailman/listinfo/gter
Nenhum vírus encontrado nessa mensagem recebida.
Verificado por AVG - www.avgbrasil.com.br
Versão: 8.5.287 / Banco de dados de vírus: 270.12.6/2084 - Data de
Lançamento: 04/28/09 06:15:00
More information about the gter
mailing list