Olá pessoal.
Gostaria de um auxilio, ja busquei aqui no forum e vasculhei dentro do MK mas sinceramente não sei onde encontrar.
Bem... hoje recebi uma notificação da CERT.br que um IP Válido estava "efetuando varreduras pela vulnerabilidade remota do software RealVNC (5900/TCP)" nos informando horário e IP, atualmente meu sistema de relatórios (Mysarg/SARG) esta fora do ar, nos clientes utilizo o IP Interno Fixo e o IP Válido é Dinamico, como atualmente o meu controle é somente pelo meu servidor (MK) gostaria de identificar este IP Válido se vinculou a qual IP Interno Fixo... em firewall>connections não consigo esta informação.
# todos os horarios estao em GMT.
Dec 09 18:50:23.420432 187.48.XXX.XX.1572 > xxx.xxx.xxx.66.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 2842338058:2842338058(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38174, len 48)
Dec 09 18:50:24.870814 187.48.XXX.XX.1577 > xxx.xxx.xxx.67.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 3328741:3328741(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38216, len 48)
Dec 09 18:50:26.586836 187.48.XXX.XX.1580 > xxx.xxx.xxx.68.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 748310453:748310453(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38362, len 48)
Dec 09 18:50:27.000016 187.48.XXX.XX.1582 > xxx.xxx.xxx.69.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 1638714322:1638714322(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38367, len 48)
Dec 09 18:50:27.903823 187.48.XXX.XX.1583 > xxx.xxx.xxx.70.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 3065811441:3065811441(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38409, len 48) etc.......
Grato,
Anderson