Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 1440 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Odd FTP behavior

Coder68
[SIZE="4"]I am running SecurityOnion and noticed that my laptop made an FTP call out to an IP that is unauthorized. I recently changed how my FTP works. This IP appears to have been an Astaro site. But I see a revernse DNS of amazonaws.com (See attachments)

***.***.***.***:9766 ---> 79.125.108.166:21

1. Do I need to allow for this FTP site for some UTM reason? 
2. Why is my laptop making this call and not the UTM?

I am not infected. Running for days without touching the laptop revealed no signs of infection or unexpected calls to the Internet. Good AV runs daily and I use multiple layers of defense including Sandboxie and EMET 5.1 (maxed out). I also use Secunia PSI to keep me patched. [:D]

Thank you,

C68[/SIZE]


This thread was automatically locked due to age.
Parents
  • 0
    1. Do I need to allow for this FTP site for some UTM reason? 
    2. Why is my laptop making this call and not the UTM?


    1)  Not if it came from your laptop, unless maybe you have the the UTM Sophos endpoint installed on your laptop and even then, the AV update and broker service servers should resolve to sophos.com FQDNs, unless due to recent issues they've had with the broker servers, they've expended them.

    2)  Because software on your laptop made the originating request.  See if you can find it in the Web Filtering log, if you are using the proxy.
Reply
  • 0
    1. Do I need to allow for this FTP site for some UTM reason? 
    2. Why is my laptop making this call and not the UTM?


    1)  Not if it came from your laptop, unless maybe you have the the UTM Sophos endpoint installed on your laptop and even then, the AV update and broker service servers should resolve to sophos.com FQDNs, unless due to recent issues they've had with the broker servers, they've expended them.

    2)  Because software on your laptop made the originating request.  See if you can find it in the Web Filtering log, if you are using the proxy.
Children
No Data