¿Que info podéis darme de esta IP? 216.163.188.233

[Javilonas]

Resulta que estoy montando el nuevo servidor dedicado a donde vamos a alojarnos, pues bien... Estoy modificando las rutas del phpmyadmin por otra diferente por securizarlo y demás un poco, editando los archivos de configuración y demás.

Pues bien... Me da por mirar los logs de acceso una vez ya terminado de proteger todo y en el log al principio sólo salía mi IP (lo normal), lo cual es normal puesto que soy el único que conoce esa ruta recién creada y para nada es una ruta que pueda contener en búsqueda para escanear un roboot que se dedique a realizar escaneos a diestro y siniestro por la red (es personal y muy hardcore, creada a conciencia para evitar precisamente este tipo de cosas) así que al darle al actualizar de nuevo por última vez antes de cerrarlo. veo en el log que 1 segundo después de mi en una de las líneas últimas me aparece que la IP 216.163.188.233 acaba de visitar esa ruta .

¿Cómo es posible? si esta ruta está recién creada, nadie la conoce y dudo que esté preestablecida por defecto en algún scripts malicioso que solo se dedique a escanear, ¿de donde cojones sale esa IP? según he estado viendo parece ser que es de USA http://www.dnsstuff.com/tools#ipInformation|type=ipv4&&value=216.163.188.233 y https://geoiptool.com/en/?host=216.163.188.233&IP=216.163.188.233 y http://www.ip-tracker.org/locator/ip-lookup.php?ip=216.163.188.233 pero no encuentro mas info sobre ella y si proviene de algún servidor de alguna compañía o que.

¿Por qué este hilo? pues por que es la primera vez que me sucede, he escaneado el PC en busca de troyanos, virus y demás, sin encontrar nada, lo único novedoso que tengo es el W10 (Windows 10), nada mas. Y me estoy rayando un poco.

Alguno puede decirme algo acerca de esta IP?

Adjunto parte del log:

216.163.188.233 - - [09/Aug/2015:08:39:27 +0200] "GET /RUTA_HARDCORE/ HTTP/1.0" 200 9275 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
79.xxx.92.xxx - - [09/Aug/2015:08:40:26 +0200] "GET /RUTA_HARDCORE/ HTTP/1.0" 200 2938 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.130 Safari/537.36"

El primero es el de marras y el segundo es mío, de veras que no entiendo nada, primero pensé... Anda!! será algún roboot de google o bing, pero al intentar buscar info y no encontrar nada pues ya me hace dudar.

Posiblemente sea una tontería, pero como no estoy seguro y soy muy maniático/paranóico con estas cosas, prefiero asegurarme y preguntar por si alguien sabe decirme de donde proviene esta IP con seguridad. No me gusta ser mal pensado, pero en mi entorno lo único nuevo que tengo es Windows10 y el tema del keylogger no me mola nada de nada y ahora con esto ya me diréis que puedo pensar.

Se aceptan risas y demás, pero también se aceptan planteamientos y razonamientos serios.

Un saludo

 

[Javilonas]

Añado log extraído del mismo para que se vea la diferencia entre un escaneo a lo que es el acceso de arriba:

74.58.15.76 - - [09/Aug/2015:08:45:39 +0200] "HEAD /myadminphp/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:39 +0200] "HEAD /mysql-admin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/admin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/db/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/dbadmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/mysqlmanager/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/pMA/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/pma/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/sqlmanager/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/web/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysqladmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysqlmanager/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /php-my-admin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /php-myadmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyAdmin-2/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyAdmin-3/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyAdmin-4/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyAdmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyAdmin2/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyAdmin3/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyAdmin4/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyadmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmanager/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmy-admin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmy/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmyAdmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmyadmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmyadmin1/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmyadmin2/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmyadmin3/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmyadmin4/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phppma/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /pma/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /pma2011/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /pma2012/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /pma2013/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /pma2014/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /pma2015/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /program/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /shopdb/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /sql/myadmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /sql/php-myadmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /sql/phpMyAdmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpMyAdmin2/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpMyAdmin3/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpMyAdmin4/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpmanager/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpmy-admin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpmyadmin2/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpmyadmin3/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpmyadmin4/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/sql-admin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/sql/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/sqladmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:45 +0200] "HEAD /sql/sqlweb/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:45 +0200] "HEAD /sql/webadmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:45 +0200] "HEAD /sql/webdb/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
74.58.15.76 - - [09/Aug/2015:08:45:45 +0200] "HEAD /sqlmanager/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"

Esto si es de un roboot/server zombie escaneando a punta pala en busca de la ruta correcta, pero el de arriba que os digo es que recién creada accedió a la misma.

 

[Javilonas]

120 visitas y ni una sola opinión al respecto

 

[aguilarmercader]

No sabría qué decir...

P.d. Desde la piscina se ven de otro modo los problemas, o por lo menos a otro ritmo

 

[Teddy_San]

Fijate que el navegador que han utilizado es firefox, lo cual me puede hacer pensar que se trata de un scanner ejecutado desde red tor, por lo que no vas a tener narices de poder localizar quien ha sido...

 

[Javilonas]

Fijate que el navegador que han utilizado es firefox, lo cual me puede hacer pensar que se trata de un scanner ejecutado desde red tor, por lo que no vas a tener narices de poder localizar quien ha sido...

Click to shrink...

Pero es que sólo ha accedido a la ruta nueva, nada mas, es el único acceso que existe en todo el log y fue justo después de yo crear la nueva ruta, es muy extraño todo.

 

[Teddy_San]

Pues en ese caso a lo mejor simplemente es un robot del propio proveedor de servicios para testear nuevas rutas, si no hay mas accesos no tienes de que preocuparte

 

[fr3n2y]

Buenas,

Doy por hecho que no tienes el fichero robots.txt en el nuevo servidor y que mucho menos tienes la ruta secreta en dicho fichero.

Que navegador has usado? Lo del acceso unico y directo a la nueva URL es extraño, pero podrias probar a inventarte otra ruta y hacer lo mismo, a ver si misteriosamente tambien vuelven a acceder. Si vuelven a acceder, pruebalo otra vez con otro navegador... por descartar temas de que el navegador envie de alguna forma a los sites que accedes para incorporarlos en algun motor de busqueda o algo extraño.

Sobre las redes tor... se puede consultar si una determinada IP se utiliza como gateway de salida de redes tor, mucha gente bloquea dichos accesos. Aunque no tienes garantias 100%, lo que esta claro es que si te dice que es de redes tor, sera cierto. A mi me extrañaria que fuera de redes tor.

Por otra parte, la IP pertenece a COMMTOUCH-INC, que parece que tiene alguna relacion con Panda Antivirus (modulo antispam). Por casualidad utilizas este antivirus?

Podria ser que hayas enviado a algun colega la URL secreta y algun receptor tenga relacion con esa plataforma antispam.

Hay que tener en cuenta que hoy en dia hay mucho analisis "activo" en busca de malware, spear phishing, etc. por lo que habria que saber por donde ha pasado ese link para tener mas informacion (mails enviados, donde esta alojado el servidor, etc.).

Con la informacion que publicas, poco mas te puedo decir.

Saludos,

EDITO: Para poneros la salida del whois, que da informacion sobre el propietario de las IPs, creo que no lo habias mirado:

NetRange: 216.163.176.0 - 216.163.191.255CIDR: 216.163.176.0/20
NetName: COMMTOUCH-INC
NetHandle: NET-216-163-176-0-1
Parent: NET216 (NET-216-0-0-0-0)
NetType: Direct Assignment
OriginAS:
Organization: Commtouch Inc. (COMMTO)
RegDate: 1999-09-01
Updated: 2012-03-02
Ref: http://whois.arin.net/rest/net/NET-216-163-176-0-1




OrgName: Commtouch Inc.
OrgId: COMMTO
Address: 1731 Embarcadero Road
Address: Suite 230
City: Palo Alto
StateProv: CA
PostalCode: 94303
Country: US
RegDate: 1999-09-01
Updated: 2015-06-05
Ref: http://whois.arin.net/rest/org/COMMTO

 

[Javilonas]

Puede que el panda tenga algo que ver. Es el antivirus que uso. El navegador con el que navego es el Chrome.

Efectivamente no existía aún robot.txt alguno.

Podría tratarse del plugin del panda en el navegador que haya analizado la ruta?

Todo apunta a que si. Lástima no haberme percatado antes de la relación con panda.

Ahora realizaré de nuevo lo mismo con otro directorio y miraré el log.

Gracias!! Me estaba creando ya un gorrito de papel de aluminio y todo jeje

 

[Javilonas]

Fijate que el navegador que han utilizado es firefox, lo cual me puede hacer pensar que se trata de un scanner ejecutado desde red tor, por lo que no vas a tener narices de poder localizar quien ha sido...

Click to shrink...

Eso es lo extraño, que solo existe ese acceso. Ahora crearé un nuevo directorio y accederé al mismo vía web.

 

[fr3n2y]

El navegador no es de fiar. Quiero decir, las soluciones antiAPT, contra spear fishings, etc. Simulan comportamientos humanos.

Entonces, si la url ha sido visible por el panda, puede decidir analizarla para saber si en esa url hay algun malware o similar. Y lo hacen accediendo, bajando la muestra y ejecutandola. Por eso podrias ver el acceso.

En cualquier caso, tiene pinta de ser algun tema de AV mas que de navegador, pero a saber

 

[Javilonas]

Pues he realizado los pasos como dije que haría, he creado un archivo para ver la info de los módulos php que acabo de instalar y me ha aparecido este nuevo acceso:

216.163.188.234 - - [09/Aug/2015:16:39:50 +0200] "GET /phpinfo.php HTTP/1.0" 200 186 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"

Si lo consultamos por el whois http://whois.arin.net/rest/net/NET-216-163-176-0-1 parece ser que es de la misma compañía.

 

[fr3n2y]

Desactiva el AV y prueba de nuevo, asi veremos que pasa

EDITO: Por cierto, desde que accedes hasta sale el otro acceso, cuanto tiempo pasa?

 

[Javilonas]

Con el panda desactivado:

213.186.33.62 - - [09/Aug/2015:17:33:17 +0200] "GET / HTTP/1.0" 200 1045 "-" "-"

Es el único acceso no conocido que encuentro. Los accesos anteriores eran de 1 segundo después del mío, en este caso es de 3 minutos de diferencia. ¿Extraño que no?

Me da a mi que voy a formatear de nuevo el server y empezar de 0 la instalación y configuración desde una maquina virtual por que ya no me fío de nada.

 

[Teddy_San]

La última ip es de ovh, por lo que tranquilo que no veo nada raro... y tor lo puedes descartar, si se han conectado usando la .233 y .224, son consecutivas por lo que no son el sistema habitual de conexión por proxies

inetnum: 213.186.33.0 - 213.186.33.255
netname: OVH
descr: OVH SAS
descr: Shared Hosting Servers
descr: Internet, Cloud und Dedicated Server Hosting- OVH
country: FR
admin-c: OK217-RIPE
tech-c: OTC2-RIPE
status: ASSIGNED PA
mnt-by: OVH-MNT
source: RIPE # Filtered

role: OVH Technical Contact
address: OVH SAS
address: 2 rue Kellermann
address: 59100 Roubaix
address: France
admin-c: OK217-RIPE
tech-c: GM84-RIPE
nic-hdl: OTC2-RIPE
abuse-mailbox: abuse@ovh.net
mnt-by: OVH-MNT
source: RIPE # Filtered

person: Octave Klaba
address: OVH SAS
address: 2 rue Kellermann
address: 59100 Roubaix
address: France
phone: +33 9 74 53 13 23
nic-hdl: OK217-RIPE
abuse-mailbox: abuse@ovh.net
mnt-by: OVH-MNT
source: RIPE # Filtered

% Information related to '213.186.32.0/19AS16276'

route: 213.186.32.0/19
descr: OVH ISP
descr: Paris, France
origin: AS16276
mnt-by: OVH-MNT
source: RIPE # Filtered