Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 25 subscribers
  • Views 8905 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection Alert

DasBill
Hallo,

die Advanced Threat Protection meiner UTM meldete mir heute
folgendes für zwei meiner Server:

A threat has been detected in your network
The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

Details about the alert:

Threat name....: C2/Generic-A
Details........: C2/Generic-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutio
Traffic blocked: yes

Auszüge aus den Logs

hostfw ulogd[4651]: id="2022" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" action="drop" fwrule="63001" initf="eth1" threatname="C2/Generic-A" srcmac="0:c:29:70:5c:74" dstmac="0:c:29[:D]4:1d:1d" srcip="5.9.105.217" dstip="74.116.84.123" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="51652" dstport="80" tcpflags="RST"
 
hostfw ulogd[4651]: id="2022" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" action="drop" fwrule="63001" initf="eth1" threatname="C2/Generic-A" srcmac="0:c:29:37:30:e1" dstmac="0:c:29[:D]4:1d:1d" srcip="5.9.105.217" dstip="74.116.84.123" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="18792" dstport="80" tcpflags="RST" 

Allerdings sind beide Server Linux-basierend, ein False/Positiv?

Wäre über eure Meinungen dankbar.

VG - DasBill


This thread was automatically locked due to age.
  • 0 in reply to GuyFawkes
    Hi DasBill,
    Habe auch eine UTM, welche dasselbe Ziel hat, von mehreren WAN-IPs, wo allerdings nicht drauf/hinter ist. Wird auch nicht vom Proxy verwendet. 

    hs18.name.com - 74.116.84.123

    Öffne ich die IP via Browser erscheint es richtig im Log.
    Ich gehe in diesem Fall von einem False/Positive aus.

    Ausnahme kannst du direkt erstellen, wenn du auf dem Dashboard der Network Protection bist und auf das kleine + Zeichen klickst.
    [ATTACH]12428[/ATTACH]

    Nice greetings


    Hey GuyFawkes,

    danke für die Information, meinem bekannten ITler gingen
    auch so langsam die Ideen aus. 

    Habe einen Kollegen bei dem ebenfalls die IP aufgetaucht ist.
    Evtl. sind weitere Hetzner Kunden betroffen. 

    Der Hinweis meiner UTM ist auch schon wieder verschwunden, obwohl
    keine Ausnahme erstellt wurde. Der Logeintrag vom 15. ist nach wie vor da.

    Vielen Dank auch an K.N. für deine Mithilfe. [:D]
  • 0 in reply to K.N.
    false positive


    Hast ja Recht [;)]

    P.S.
    Diese IP verfolgt mich heute auf diversen Systemen.
    Auch immer die WAN IP welche als Source angezeigt wurde und immer die besagte Destination.

    Nice greetings
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?