Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 5428 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intrusion Prevention Alert, Potential malware download

MarcelKiessig

Hallo,

ich bekomme seit einiger Zeit folgende Meldung:

 

Intrusion Prevention Alert

 

An intrusion has been detected. The packet has been dropped automatically.

You can toggle this rule between "drop" and "alert only" in WebAdmin.

 

Details about the intrusion alert:

 

Message........: INDICATOR-COMPROMISE Potential malware download - .pdf.exe within .zip file

Details........: https://www.snort.org/search?query=31001

Time...........: 2016-07-04 08:26:03

Packet dropped.: yes

Priority.......: high

Classification.: A Network Trojan was Detected IP protocol....: 6 (TCP)

 

Source IP address: 192.168.x.x (testserver)

Source port: 8000 (irdmi)

Destination IP address: 192.168.x.x (gateway) Destination port: 45256

 

Wo kann ich genauere Informationen zu dieser Meldung bekommen?

Im IPS Log steht die Meldung ja nochmal genauso drin. Nützt mir also auch nix. Auf dem betroffenen Server habe ich mir schon alles angeschaut aber nichts auffälliges gefunden. Gibt es einen besseren LOG File innerhalb der UTM wo vielleicht ein genauerer Pfad oder zumindest ein Dateiname auftaucht. Damit man wenigstens einen Anhaltspunkt hat zum suchen. Wenn ich auf dem Server einen netstat -an -o mache und dort schaue welche PID auf dem Port 8000 hört lande ich bei Java.exe aber das ist ja keine Maleware mit pdf.exe Format wie in der Meldung angezeigt.  

 



This thread was automatically locked due to age.
Parents
  • 0

    Du könntest nachschauen, was im ATP Log steht.

    Aber eigentlich steht alles drin. Wer versucht was von wo. Weder die UTM noch ich kennen Deinen Testserver, können als nicht einschätzen inwiefern die Aussage stimmt, dass eine Zip Datei mit einer *.pdf.exe heruntergeladen werden sollte. Und Java ist nur der Prozess. Was ist auf dem Testserver:8000 denn erreichbar?

Reply
  • 0

    Du könntest nachschauen, was im ATP Log steht.

    Aber eigentlich steht alles drin. Wer versucht was von wo. Weder die UTM noch ich kennen Deinen Testserver, können als nicht einschätzen inwiefern die Aussage stimmt, dass eine Zip Datei mit einer *.pdf.exe heruntergeladen werden sollte. Und Java ist nur der Prozess. Was ist auf dem Testserver:8000 denn erreichbar?

Children
Cookie Information Banner