none
alguem sabe que IP é este? 72.21.81.133 RRS feed

  • Pergunta

  • Pessoal,

    alguem sabe que IP é este? 72.21.81.133

    O Exchange 2010 ou forefront for exchange estão tentando conectar este site e o site fica fazendo port scan.

     

    #   Time Priority Category Message Source Destination Notes Rule

    2   08/16/2010 19:49:04.880 Error Network Access Web site access denied 192.0.0.7, 35546, X0, mail.xxx.com.br 72.21.81.133, 80, X1 Category:15 - MAC address: xxxxxx- cdn-microupdates.cloudmark.com/hs1/srl_meta.txt  
                     
                       
    5   08/16/2010 19:48:08.832 Notice Network Access TCP connection dropped 72.21.81.133, 80, X1 192.168.99.7, 35518, X0, mail.xxx.com.br TCP Port: 35518

    9   08/16/2010 19:53:48.592 Alert Intrusion Prevention Possible port scan detected 72.21.81.133, 80, X1 200.xxx.xx.xx, 28182, X1 TCP scanned port list, 18026, 17268, 54483, 54138, 30578

    Alguem sabe o que é?

    Obrigado.

    Mário

    segunda-feira, 16 de agosto de 2010 22:58

Respostas

  • Mário, este é o registro deste IP:

    NetRange:       72.21.80.0 - 72.21.95.255
    CIDR:           72.21.80.0/20
    OriginAS:       AS15133
    NetName:        EDGECAST-NETBLK-01
    NetHandle:      NET-72-21-80-0-1
    Parent:         NET-72-0-0-0-0
    NetType:        Direct Allocation
    NameServer:     NS2.EDGECASTCDN.NET
    NameServer:     NS1.EDGECASTCDN.NET
    RegDate:        2007-04-23
    Updated:        2007-04-23
    Ref:            http://whois.arin.net/rest/net/NET-72-21-80-0-1

    OrgName:        EdgeCast Networks, Inc.
    OrgId:          EDGEC-1
    Address:        2850 Ocean Park Blvd.
    Address:        Suite 110
    City:           Santa Monica
    StateProv:      CA
    PostalCode:     90405
    Country:        US
    RegDate:        2007-03-09
    Updated:        2009-12-07
    Ref:            http://whois.arin.net/rest/org/EDGEC-1

    Vale a pena você acompanhar, mas como a porta de origem é 80 TCP para porta alta, é bem possível que isso seja um falso positivo. Algumas vezes, quando um servidor WEB demora um pouco a enviar uma resposta para um requisição que foi feita, a requisição é retirada da tabela de estado, e quando chega a resposta, fica parecendo que o servidor tentou uma conexão da porta 80 com destino ao seu IP em uma porta alta. O Seu IPS pode ter identificado isso como uma tentativa de ataque.  Sugiro que acompanhe este IP e veja se ele continua fazendo alguma coisa suspeita, caso negativo, fique tranquilo que deve ter sido um falso positivo.


    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com
    segunda-feira, 16 de agosto de 2010 23:18

Todas as Respostas

  • Mário, este é o registro deste IP:

    NetRange:       72.21.80.0 - 72.21.95.255
    CIDR:           72.21.80.0/20
    OriginAS:       AS15133
    NetName:        EDGECAST-NETBLK-01
    NetHandle:      NET-72-21-80-0-1
    Parent:         NET-72-0-0-0-0
    NetType:        Direct Allocation
    NameServer:     NS2.EDGECASTCDN.NET
    NameServer:     NS1.EDGECASTCDN.NET
    RegDate:        2007-04-23
    Updated:        2007-04-23
    Ref:            http://whois.arin.net/rest/net/NET-72-21-80-0-1

    OrgName:        EdgeCast Networks, Inc.
    OrgId:          EDGEC-1
    Address:        2850 Ocean Park Blvd.
    Address:        Suite 110
    City:           Santa Monica
    StateProv:      CA
    PostalCode:     90405
    Country:        US
    RegDate:        2007-03-09
    Updated:        2009-12-07
    Ref:            http://whois.arin.net/rest/org/EDGEC-1

    Vale a pena você acompanhar, mas como a porta de origem é 80 TCP para porta alta, é bem possível que isso seja um falso positivo. Algumas vezes, quando um servidor WEB demora um pouco a enviar uma resposta para um requisição que foi feita, a requisição é retirada da tabela de estado, e quando chega a resposta, fica parecendo que o servidor tentou uma conexão da porta 80 com destino ao seu IP em uma porta alta. O Seu IPS pode ter identificado isso como uma tentativa de ataque.  Sugiro que acompanhe este IP e veja se ele continua fazendo alguma coisa suspeita, caso negativo, fique tranquilo que deve ter sido um falso positivo.


    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com
    segunda-feira, 16 de agosto de 2010 23:18
  • Obrigado Claudio pela reposta.

    Mas o portscan continua, é o tempo todo e só deste IP.

    Mas a duvida é que parece ser algo do Forefront, por isso a pergunta.

    Parece que eles conversam, como o firewall bloqueia eu não sei direito o que é.

    Se é o parceiro microsoft do forefront fazendo verificação do site para uma RBL, se é portscan mesmo, etc.

    Alguma ideia?

    Obrigado.

    Mário

    segunda-feira, 23 de agosto de 2010 18:03
  • Descobri, que este ip é do http://www.cloudmark.com/en/home.html,  me parece que o Forefront se utiliza da lista rbl deles.

    E o site faz um portscan no site para ver a integridade do servidor de e-mails.

    Se bloquear o forefront para de atualizar.

     

    sexta-feira, 27 de agosto de 2010 22:22