Hallo,
wir wollen unsere UTM durch eine XG ersetzen und haben dazu derzeitig die XG hinter der UTM am laufen... bisher nicht viel konfiguriert. Seit dem haben wir massenhaft folgende Meldung:
Intrusion Prevention Alert
An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.
Details about the intrusion alert:
Message........: INDICATOR-COMPROMISE Suspicious .ml dns query
Details........: https://www.snort.org/search?query=39866
Time...........: 2022-03-24 14:06:17
Packet dropped.: yes
Priority.......: low
Classification.: Misc activity
IP protocol....: 17 (UDP)
Source IP address: x.x.x.x (unser DNS Server)
Source port: 64338
Destination IP address: 198.41.0.10 (old-j-root-servers-net.verisign-grs.net)
Destination port: 53 (domain)
--
HA Status : HA MASTER (node id: 1)
System Uptime : 27 days 10 hours 3 minutes
System Load : 0.99
System Version : Sophos UTM 9.709-3
Please refer to the manual for detailed instructions.
Im Logging von unserem DNS scheint es so zu sein das die XG DNS Anfragen an www.google.ml und an www.google.tk stellt. Diese werden dann von der UTM geblockt. Siehe oben. Kann das jemand erklären? die Anfragen gehen klar von der XG aus....
This thread was automatically locked due to age.
