sábado, abril 27, 2024
Lo último:
SeguridadSysAdmin

Que mierdas pasa con las conexiones hacia cs22.wpc.v0cdn.net

bjone

Llevamos un par de dias enmierdados con esto, de repente (y es lo que mas me mosquea), cientos … si estoy diciendo que cientos de maquinas empiezan a intentar conectarse a cs22.wpc.v0cdn.net (152.199.4.33). Se «supone» que por un ejecutable dentro de la carpeta de Office.

Ahora mismo no recuerdo el nombre del ejecutable, pero estaba firmado por Microsoft y todo parecia en orden, de hecho … virustotal lo marcaba como valido.

Pero no es el caso de esa ip … con una busqueda rapida lleva dando por culo bastante años …

https://www.abuseipdb.com/check/152.199.4.33
https://www.threatcrowd.org/ip.php?ip=152.199.4.33
https://otx.alienvault.com/indicator/hostname/ajax.aspnetcdn.com

Y entonces, hay miles de conexiones bloqueadas contra esta ip, de momento nadie se ha quejado de que algo no funcione. Y no hay indicios de que las maquinas esten infectadas.

Pero esa ip canta a la distancia a chunga. Lo unico que tienen en comun algunas de las maquinas (que no todas) es que se ha actualizado office en los ultimos dias.

A ver si conseguimos averiguar que coño esta haciendo ese fichero, porque nos tiene locos.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.