March 22nd, 2006

Eye in the sky.

In my institute there are installed a server with Windows 2000 with its firewall... Yesteday, we received a port scan:

Tipo de suceso: Advertencia
Origen del suceso:      Control de Microsoft ISA Server
Categoría del suceso:   Filtro de paquetes
Id. del suceso: 15105
Fecha:          22/03/2006
Hora:           9:58:26
Usuario:                No disponible
Equipo: MAIA
Descripción:
El servidor ISA detectó un ataque de todos los puertos de la dirección IP (protocolo Internet) 65.54.239.20.  
Para obtener más información acerca de este evento, vea la Ayuda del servidor ISA.
Datos:
0000: 1f 00 00 00               ....


If you search the name this IP 65.54.239.20 to know who is the owner, you obtain:

TARGET: 65.54.239.20 NAME: MICROSOFT-1BLK NUMBER: 65.52.0.0 - 65.55.255.255 CITY: REDMOND STATE: WASHINGTON COUNTRY: US LAT: 47.67 LONG: -122.12 LAT_LONG_GRAN: City LAST_UPDATED: 20-Jun-2001 NIC: ARIN LOOKUP_TYPE: Block Allocation RATING: =20 DOMAIN_GUESS: microsoft.com STATUS: OK



What's doing Microsoft? Why they scan us? What are they looking for?