Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 22 replies
  • Subscribers 15 subscribers
  • Views 6190 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A threat has been detected in your network: C2/Monero-A

Martin Lenz1

Guten Morgen,

ich bekomme alle paar Tage eine Meldung, dass die Firewall Traffic von einem unserer Terminalserver geblockt hat.

Ein intensiver Scan der Maschine mit unserem Virenprogramm ergab keinen Fund.
Eine Recherche zu "Monero" ergab, dass es sich um ein Crypto Botnetz handeln könnte, alle dort aufgeführten Prozesse und Auffälligkeiten treffen bei uns nicht zu.
AUch der Link direkt von Sophos in der Fehlermeldung angegeben: https://www.sophos.com/error/404.aspx?aspxerrorpath=/en-us/threat-center/threat-analyses/viruses-and-spyware/C2~Monero-A.aspx führt ins leere...

Hat einer von euch eine Idee / Vermutung? Wie würdet ihr weiter damit umgehen?

Vielen Dank!

 



This thread was automatically locked due to age.
  • 0

    Ich hänge mich hier mal mit an, wir beobachten derzeit das gleiche Phänomen. Allerdings ist der Ursprung hier ein iPhone im WLAN, laut Apple Store ist das Phone aber sauber. Würde mich sehr interessieren, wie wir damit umgehen sollen. Aktuell sperre ich das iPhone über die MAC aus.

  • 0

    ---SCHNIPP---
    2021:11:30-10:39:35 fvrz01-1 afcd[13291]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="172.16.28.221" dstip="173.231.184.104" fwrule="63001" proto="6" threatname="C2/Monero-A" status="1" host="939b9e28155a3.org" url="-" action="drop"
    2021:11:30-10:39:50 fvrz01-1 afcd[13291]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="172.16.28.221" dstip="107.6.74.88" fwrule="63001" proto="6" threatname="C2/Monero-A" status="1" host="939b9e28155a3.org" url="-" action="drop"
    ---SCHNAPP---

    Auch von einem iPhone im WLAN

  • 0

    ATP LOG:
    2021:11:26-16:49:40 FW-1 afcd[14047]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="172.16.10.77" dstip="162.217.99.132" fwrule="63001" proto="6" threatname="C2/Monero-A" status="1" host="939b9e28155a3.org" url="-" action="drop"
    2021:11:26-16:50:45 FW-1 afcd[14047]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="172.16.10.77" dstip="162.217.99.132" fwrule="63001" proto="6" threatname="C2/Monero-A" status="1" host="939b9e28155a3.org" url="-" action="drop"
    2021:11:26-16:51:32 FW-1 afcd[14047]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="172.16.10.77" dstip="162.217.99.132" fwrule="63001" proto="6" threatname="C2/Monero-A" status="1" host="939b9e28155a3.org" url="-" action="drop"
    2021:11:26-16:52:37 FW1 afcd[14047]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="172.16.10.77" dstip="162.217.99.132" fwrule="63001" proto="6" threatname="C2/Monero-A" status="1" host="939b9e28155a3.org" url="-" action="drop"

    Hatten letzten Freitag das gleiche Thema. War aber kein iPhone sondern ein Samsung Galaxy S8.

    Könnte ggf. eine Website mit Coinhive gewesen sein.

  • 0

    Wir bekommen von unserer Sophos auch regelmäßig genau diese Meldung. Wir haben sehr viele Terminalserver deren Traffic geblockt wird. Aktuell so ca. 10 bis 20 Meldungen am Tag. Die Server wurden mit MSERT und Sophos Scan and Clean untersucht und es wurden jeweils keine Ergebnisse gefunden.

    Wir gehen aktuell auch davon aus, dass auf irgend einer Webseite ein Cryptominer ausgeführt wird.

  • 0

    Guten Morgen

    Ich bekomme diese Meldung seit 2-3 Wochen von einer IP aus dem WLAN. Das Gerät kann ich leider nicht identifizieren auf nicht über die MAC-Adresse - es gibt in der Datenbank keinen Hersteller dazu.

    Heute kam die gleiche Meldung von einem 2. Gerät aus dem WLAN dazu.....undm an mag es nicht glauben....es handelt sich um ein WLAN-Modul von MEROSS mit dem mein Chef über Apple Homekit das Garagentor steuert.

    Also irgendwas kann doch da nicht stimmen ?

    Auch di Tatsache das der von Sophos bereit gestellte Link zu dem Threat ins Leere führt....dfür zahlt man jährlich einen horrenden Betrag für die UTM und die Lizenz.......

    lg

  • 0

    Ich schließe mich auch an. Wir kriegen seit einer Woche auch jedes Mal diese Meldung, wenn jemand die Seite "Stern Punkt de" aufruft. Keine unbekannte Webseite. Kann ich sogar auf meinem eigenen Gerät nachstellen. Die AV-Lösung findet auch nichts.

  • 0 in reply to justanotheradmin

    Danke für diese Info. Stern punkt de ist es bei uns auch. AV-Lösung findet auch nichts

  • 0 in reply to NIC0

    Wir haben gerade einen Test gemacht. Ruft man die Website "Stern Punkt De" mit einem iPhone auf kommt sofort die ATP Meldung. Macht man das mit einem Notebook kommt die Meldung nicht.

  • 0 in reply to RafaelRiemer

    Tritt hier auch so auf. Habe deswegen schon ein iPad neu installiert; trat danach beim Stern Punkt De wieder auf.

    Stern Punkt De via Safari auf iPad: ATP Meldung

    Stern Punkt De via Chrome auf iPad: keine ATP Meldung

    Vermutung: Abhängig von Skript und/oder Ad Blocker Einstellungen ?

  • 0

    Da hat Sophos oder Stern punkt de ein Problem.

    Bei uns passeirt es auch wenn mit dem iPhone stern punkt de aufgerufen wird.

Unfiltered HTML