Un analista se encontró con esta alerta, BlackHole Toolkit v2 JAVA Payload Stage Code Execution
de Checkpoint IPS proveniente de un servidor, el evento se registra como un intento de conexión saliente bloqueado, y para sorpresa de todos, se ha activado dos veces en promedio Cada hora durante meses (lo sé).
Se registró una vez hace mucho tiempo cuando se vio por primera vez, pero el propietario del servidor dijo que no había encontrado nada en él.
Lo extraño es que la conexión es solo y siempre es un intento saliente de una IP 89.187.145.139
, lo que lleva a un sitio web llamado udger.com
.
Este sitio no significa nada para nadie y no tiene actividad maliciosa atribuida.
¿Puede alguien, por favor, darnos una idea de lo que está pasando y cómo abordarlo?