Hallo,
ich bekomme seit einiger Zeit folgende Meldung:
Intrusion Prevention Alert
An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.
Details about the intrusion alert:
Message........: INDICATOR-COMPROMISE Potential malware download - .pdf.exe within .zip file
Details........: https://www.snort.org/search?query=31001
Time...........: 2016-07-04 08:26:03
Packet dropped.: yes
Priority.......: high
Classification.: A Network Trojan was Detected IP protocol....: 6 (TCP)
Source IP address: 192.168.x.x (testserver)
Source port: 8000 (irdmi)
Destination IP address: 192.168.x.x (gateway) Destination port: 45256
Wo kann ich genauere Informationen zu dieser Meldung bekommen?
Im IPS Log steht die Meldung ja nochmal genauso drin. Nützt mir also auch nix. Auf dem betroffenen Server habe ich mir schon alles angeschaut aber nichts auffälliges gefunden. Gibt es einen besseren LOG File innerhalb der UTM wo vielleicht ein genauerer Pfad oder zumindest ein Dateiname auftaucht. Damit man wenigstens einen Anhaltspunkt hat zum suchen. Wenn ich auf dem Server einen netstat -an -o mache und dort schaue welche PID auf dem Port 8000 hört lande ich bei Java.exe aber das ist ja keine Maleware mit pdf.exe Format wie in der Meldung angezeigt.
This thread was automatically locked due to age.
