Hallo mal wieder,
hat hier jemand eine Idee wonach ich forschen könnte? Nod32 und Sophos finden nichts, TM Housecall ebensowenig.
Das komische ist, das die Quelle immer einer meiner 2 DNS-Server ist (AD-integriert).
Die Meldungen schlagen mehrmals täglich in unregelmäßigen Abständen auf. BS ist 2003 Server SP2. Hab die Regel mittlerweile auf Drop gesetzt, default war Warnung. Der Sourceport wechselt immer zufällig.
Details about the intrusion alert:
Message........: POLICY-OTHER dnstunnel v0.5 outbound traffic detected
Details........: http://www.snort.org/search/sid/19471?r=1
Time...........: 2013-02-05 23:41:44
Packet dropped.: yes
Priority.......: high
Classification.: Potential Corporate Privacy Violation
IP protocol....: 17 (UDP)
Source IP address: 192.168.1.15
- http://www.dnsstuff.com/tools/ptr.ch?ip=192.168.1.15
- http://www.ripe.net/perl/whois?query=192.168.1.15
- http://ws.arin.net/cgi-bin/whois.pl?queryinput=192.168.1.15
- http://cgi.apnic.net/apnic-bin/whois.pl?search=192.168.1.15
Source port: 61818
Destination IP address: 192.168.1.10 (UTM1)
- http://www.dnsstuff.com/tools/ptr.ch?ip=192.168.1.10
- http://www.ripe.net/perl/whois?query=192.168.1.10
- http://ws.arin.net/cgi-bin/whois.pl?queryinput=192.168.1.10
- http://cgi.apnic.net/apnic-bin/whois.pl?search=192.168.1.10
Destination port: 53 (domain)
Bin für jeden Tipp dankbar ;-)
Gruß Martin
Sent from my iPhone using Astaro.org
This thread was automatically locked due to age.
