Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 4 replies
  • Answers 1 answer
  • Subscribers 2 subscribers
  • Views 5442 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

https://www.snort.org/search?query=8068

RonnySpindler

Hallo zusammen,

ich erhalte seit einiger Zeit täglich folgende Meldung von meiner UTM und werde daraus wirklich nicht schlau. Die Snort Beschreibung hilft mir leider auch nicht weiter. Vielleicht hat hier ja einer eine Idee was die Ursache sein könnte und was man dagegen tun kann!? :)

An intrusion has been detected. The packet has been dropped automatically.

You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: BROWSER-PLUGINS Microsoft Windows Scripting Host Shell ActiveX function call access

Details........: https://www.snort.org/search?query=8068

Time...........: 2016-09-13 04:26:58

Packet dropped.: yes

Priority.......: high

Classification.: Attempted User Privilege Gain IP protocol....: 6 (TCP)

 

Source IP address: 104.84.154.160 (IP Adresse wechselt immer)

Source port: 80 (http)

Destination IP address: 172.16.20.222 (Laptop, Windows 10) Destination port: 1678 (Port wechselt immer)  

--

System Version     : Sophos UTM 9.405-5

Danke und Gruß

Ronny



This thread was automatically locked due to age.
Parents
  • 0

    Hi Ronny,

    das ist ein Akamei Server. Falls du nicht weiß was das ist, das ist ein riesen Server Verbund der als Internetproxy verwendet wird. Microsoft stellt z.B. über Akamei seine updates bereit. Was sich inhaltlich dahinter befindet ist nicht so einfach herauszubekommen.

    Die Meldung besagt das hier versucht wird Schadcode auszuführen. Das kann tatsächlich so sein oder es kann eine false positiv Meldung sein.

    Bei false positive kannst du hierfür unter network protection / intrusion prevention / advanced / manuell rule modification / modified rules eine Ausnahme erstellen.

    Ich würde aber erst mal versuchen herauszufinden wohin dein laptop genau versucht sich zu verbinden (Pfad hinter der URL) und welcher Dienst das auslöst. Wenn du den Pfad hast kannst du z.B. unter http://urlquery.net/ die Zieladresse scannen lassen. Das ist auch nicht 100% sicher aber eine gute Hilfestellung.

    Falls du einen Dienst identifizierst der dir nicht koscher vorkommt, könnte es sein das du dir was eingefangen hast.


    vg

    mod

Reply
  • 0

    Hi Ronny,

    das ist ein Akamei Server. Falls du nicht weiß was das ist, das ist ein riesen Server Verbund der als Internetproxy verwendet wird. Microsoft stellt z.B. über Akamei seine updates bereit. Was sich inhaltlich dahinter befindet ist nicht so einfach herauszubekommen.

    Die Meldung besagt das hier versucht wird Schadcode auszuführen. Das kann tatsächlich so sein oder es kann eine false positiv Meldung sein.

    Bei false positive kannst du hierfür unter network protection / intrusion prevention / advanced / manuell rule modification / modified rules eine Ausnahme erstellen.

    Ich würde aber erst mal versuchen herauszufinden wohin dein laptop genau versucht sich zu verbinden (Pfad hinter der URL) und welcher Dienst das auslöst. Wenn du den Pfad hast kannst du z.B. unter http://urlquery.net/ die Zieladresse scannen lassen. Das ist auch nicht 100% sicher aber eine gute Hilfestellung.

    Falls du einen Dienst identifizierst der dir nicht koscher vorkommt, könnte es sein das du dir was eingefangen hast.


    vg

    mod

Children