Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 4 replies
  • Answers 1 answer
  • Subscribers 2 subscribers
  • Views 5440 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

https://www.snort.org/search?query=8068

RonnySpindler

Hallo zusammen,

ich erhalte seit einiger Zeit täglich folgende Meldung von meiner UTM und werde daraus wirklich nicht schlau. Die Snort Beschreibung hilft mir leider auch nicht weiter. Vielleicht hat hier ja einer eine Idee was die Ursache sein könnte und was man dagegen tun kann!? :)

An intrusion has been detected. The packet has been dropped automatically.

You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: BROWSER-PLUGINS Microsoft Windows Scripting Host Shell ActiveX function call access

Details........: https://www.snort.org/search?query=8068

Time...........: 2016-09-13 04:26:58

Packet dropped.: yes

Priority.......: high

Classification.: Attempted User Privilege Gain IP protocol....: 6 (TCP)

 

Source IP address: 104.84.154.160 (IP Adresse wechselt immer)

Source port: 80 (http)

Destination IP address: 172.16.20.222 (Laptop, Windows 10) Destination port: 1678 (Port wechselt immer)  

--

System Version     : Sophos UTM 9.405-5

Danke und Gruß

Ronny



This thread was automatically locked due to age.
  • 0

    Hi Ronny,

    das ist ein Akamei Server. Falls du nicht weiß was das ist, das ist ein riesen Server Verbund der als Internetproxy verwendet wird. Microsoft stellt z.B. über Akamei seine updates bereit. Was sich inhaltlich dahinter befindet ist nicht so einfach herauszubekommen.

    Die Meldung besagt das hier versucht wird Schadcode auszuführen. Das kann tatsächlich so sein oder es kann eine false positiv Meldung sein.

    Bei false positive kannst du hierfür unter network protection / intrusion prevention / advanced / manuell rule modification / modified rules eine Ausnahme erstellen.

    Ich würde aber erst mal versuchen herauszufinden wohin dein laptop genau versucht sich zu verbinden (Pfad hinter der URL) und welcher Dienst das auslöst. Wenn du den Pfad hast kannst du z.B. unter http://urlquery.net/ die Zieladresse scannen lassen. Das ist auch nicht 100% sicher aber eine gute Hilfestellung.

    Falls du einen Dienst identifizierst der dir nicht koscher vorkommt, könnte es sein das du dir was eingefangen hast.


    vg

    mod

  • 0 in reply to mod2402

    Danke für die Antwort! Ich werde mir das im Detail ansehen und dann nochmal berichten wenn ich etwas gefunden habe.

    Zu dem Thema habe ich einen interessanten Artikel gefunden. https://www.cnet.com/news/false-alarms-spark-barrage-of-akamai-complaints/

    VG Ronny

  • 0 in reply to RonnySpindler

    Hi Ronny,

    interessanter Artikel. Dann ist die Wahrscheinlichkeit ja hoch das es sich hier um eine false positiv Meldung handelt. ;)


    vg

    mod

  • 0

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Hi, Ronny, and welcome to the UTM Community!

    If you follow that link and then look at SID 8068, you see that the vulnerability is for Internet Explorer 6 and older.  You probably just want to disable this rule on the 'Advanced' tab.  It's also likely that you can disable rules based on age - whether that's 6, 12 or 24 months depends on your internal policies and systems.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA