Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 925 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Persistent Scans

skydiver
So I have been getting port scanned now for over a week from the same IP address somewhere in China
Source IP address: 125.45.109.166 (hn.kd.ny.adsl)

I called our ISP (Timewarner) to see if they can block it higher up in the food chain but they won't.

Any suggestions other than ignore these alerts?  I setup a specific drop rule for this IP address in the packet filter but since we are an American Asian Cuisine Restaurant Chain I worry that this could be a targeted probe.


This thread was automatically locked due to age.
Parents
  • 0
    That's what I thought.  I knew the portscan was hitting IPS before the packet filter.  I have seen packet probes a lot but this is one persistent bugger.  The good thing is that it is catching it and that the source hasn't adjusted the frequency to stay under the radar.  I have all my endpoints currently set to no inbound traffic from random IP addresses except for SSL VPN traffic, so I am not really worried from that standpoint. I just worry that if it is a targeted probe, that these could be followed up with emails that then get them into the network.  Because there is a dns entry for the inbound targeted IP address for the VPN connection, getting email to our users would be trivial.
Reply
  • 0
    That's what I thought.  I knew the portscan was hitting IPS before the packet filter.  I have seen packet probes a lot but this is one persistent bugger.  The good thing is that it is catching it and that the source hasn't adjusted the frequency to stay under the radar.  I have all my endpoints currently set to no inbound traffic from random IP addresses except for SSL VPN traffic, so I am not really worried from that standpoint. I just worry that if it is a targeted probe, that these could be followed up with emails that then get them into the network.  Because there is a dns entry for the inbound targeted IP address for the VPN connection, getting email to our users would be trivial.
Children
No Data