Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 3904 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

bot-like / Trojan-like web-activity?

paranoidpete
Astaro's web-activity log is logging continual activity to a website in Hong-Kong @ 218.213.238.230 APNIC (Asia Pacific Network Information Centre), Milton, QLD, AU.   I have web-searched this IP address and it comes up as non-existent.  When I try going directly there, I reach a non-existent website!  Yet every time I go on-line, Astaro's log for this domain advances another access count.   

I also am seeing DAILY activity to a place in Canada called Rackforce.com   Rackforce Hosting Inc.  Kelowna, BC Canada.   Last night in 1-hr of Internet usage, Astaro logged 24.6MB.  I do not know how to tell if it is inbound, or outbound.  I pretty sure that it is INBOUND as there is an arrow pointing down at the top of that column, but not sure about that; and if that's what that symbol means.   I just know that 24.6MB in an hour of web-usage is an AWFUL LOT of unknown web-activity.   

Now I also have a Sonicwall hardware firewall that I was previously using, and reconnected it to see IF Sonicwall logs the same usage, but so far it hasn't.   Although Sonicwall's logged activity is ENORMOUS, it at least shows me whether its inbound or outbound, what ports are used, whether its DNS or http, and the time of the activity.  I'm surprised that Astaro doesn't give us more information!  Anyway, I haven't seen those web-addresses show up in Sonicwall's log.  So I'm pretty sure that these two logged web-activities are generated by Astaro?   IF SO, are they NORMAL ACTIVITY?   To Hong Kong?  That surely doesn't seem normal!   Am I seeing some bot or Trojan activity?   It sure seems that way to me!  Is it possible that the Astaro gateway is Hi-Jacked or Pirated?   Or is my computer INFECTED with some virus or Trojan that my anti-virus program isn't detecting?    

I'm about ready to QUIT using Astaro!
Quite honestly, it makes me feel like Astaro cannot be trusted!   I'd go back to my Sonicwall, except that I'm sick and tired of losing 2/3rds of my Internet SPEED and throughput!   I cannot believe how RESPONSIVE that Astaro is!   But is it TRULY PROTECTING us, or is it spying on our SECURE web-transactions?  Or hosting something illegal?   

Is anyone else seeing this type of activity?


This thread was automatically locked due to age.
  • 0
    Hi,
    please describe your ASG configuration.

    Rackforce is a game site.

    Ian M
  • 0 in reply to RFCat_vk_01
    No, we don't play ANY games, or have any games installed.  We don't play any games.  Nor do we have any server, other than the DHCP local server to our local computers.  I've even got pop as well as smtp blocked, in an attempt at PREVENTING any outbound spam communication in the event that our system becomes infected with a virus, the hardware firewall should PREVENT us from becoming a spam-server.  I always figured it was safer to read and reply to e-mail on-line than potentially bringing a virus into our system via pop e-mail.  

    I've disabled all Instant messaging.

    We use Sophos anti-virus small-business edition, using their personal client firewall. As we don't have a LAN, even LAN is disabled with Sophos' personal firewall.  I've got file and printer-sharing disabled, and have taken extra steps to disable any file-sharing.  

    I've disabled netBIOS, as well as remote desktop, and remote registry.  

    We don't use a VPN tunnel.  

    To the best of my knowledge, its a very basic configuration!
  • 0 in reply to paranoidpete
    Astaro has an update server hosted at rackforce (webhost) in canada so the traffic you are seeing to that IP address is most likely the virus pattern update definitions which are updated multiple times a day.
  • 0 in reply to dilandau
    What dilandau said.  Check your up2date logs to see if the ip matches up.
  • 0 in reply to BrucekConvergent
    This is also true for the IP address in asia. We have up2date servers all over the world, and we regularly check which one is the fastest for you,  to reflect changes in physical location of the device as well as changes in internet infrastructure.
    There is nothing special, secret or harmful in this.

    Cheers,
     andreas
  • 0 in reply to RFCat_vk_01
    Hi,
    please describe your ASG configuration.

    Rackforce is a game site.

    Ian M


    Rackforce is a wholesale webhosting company http://www.rackforce.com/.  Astaro used to have a office in the same building as one of the data center's that Rackforce maintains and they do, as mentioned, have a Up2date server hosted by Rackforce, so perhaps the activity is from one of those.

    If not report abuse to rackforce abuse@rackforce.com and they will deal with it.
  • 0 in reply to towens
    Well, I haven't figured out how to tell who or what is creating the Internet activity.  I don't know if it is an Astaro Up2Date update, or what kind of activity it is.   I can easily ASSUME that the LARGE activity with Rackforce is Astaro updates.  However, I am also daily seeing very small activity with Hong Kong, Afghanistan, Greece, France, Japan, China, Germany, and MANY NUMEROUS other countries, ...... are they all update-servers of Astaro too?
  • 0 in reply to paranoidpete
    Hi All, 

    Can you please assist, i have exactly the same problem with bot-like 
    behaviour from 2 IPs: 218.213.238.230 and 85.25.149.192. 

    In one evening i had more than 1GB of traffic to these IPs!!!
    41.244.38.215  1 167 881 1.0 GB 
    (My ISP allocated IP is 41.244.38.215)

    Traceroute show: 
    218.213.238.230 is from Hong Kong(HK) in region Southern and Eastern Asia
    85.25.149.192 is from Germany(DE) in region Western Europe

    My up2date live logs show: 
    2009:01:25-21:50:06 (none) auisys[5585]: id="3716" severity="info" sys="system" sub="up2date" name="Up2date Package Installer finished, exiting"
    2009:01:25-22:00:02 (none) audld[5817]: Starting Up2Date Package Downloader (Version 1.57)
    2009:01:25-22:00:13 (none) audld[5817]: id="3701" severity="info" sys="system" sub="up2date" name="Authentication successful"
    2009:01:25-22:03:22 (none) audld[5817]: 

    So there was no packages to install. I have noticed that there was also no firmware updates available. 

    My packetfilter live log show: 
    22:02:26 Default DROP TCP 218.213.238.230 : 80 
     → 41.244.54.26 : 60640 
     [ACK PSH FIN] len=565 ttl=61 tos=0x00 
     

    22:02:30 Default DROP TCP 85.25.149.192 : 80 
     → 41.244.54.26 : 54198 
     [ACK PSH FIN] len=548 ttl=61 tos=0x00 
     

    22:02:58 Default DROP TCP 218.213.238.230 : 80 
     → 41.244.54.26 : 60640 
     [ACK PSH FIN] len=565 ttl=61 tos=0x00 
     

    22:03:02 Default DROP TCP 85.25.149.192 : 80 
     → 41.244.54.26 : 54198 
     [ACK RST] len=40 ttl=61 tos=0x00 
     

    22:03:30 Default DROP TCP 218.213.238.230 : 80 
     → 41.244.54.26 : 60640 
     [ACK PSH FIN] len=565 ttl=61 tos=0x00 
     

    22:04:02 Default DROP TCP 218.213.238.230 : 80 
     → 41.244.54.26 : 60640 
     [ACK PSH FIN] len=565 ttl=61 tos=0x00 
     

    22:04:34 Default DROP TCP 218.213.238.230 : 80 
     → 41.244.54.26 : 60640 
     [ACK PSH FIN] len=565 ttl=61 tos=0x00 
     
    I have added 2 rules to the packet filter to block all traffic to these IPs - BUT ASTARO STILL CONTINUE TO ACCEPT TRAFFIC !!!! 

    Please assist to resolve this asap please. 

    ----
    ASG 7.305
  • 0 in reply to kobie
    Kobie, all of that traffic is being dropped; it's not being accepted by the Astaro.

    Pete, what version level are you - V7.305?  What are you looking at to determine you have such volumes of traffic?  Can you post pics of the graphs for the Internal and External traffic from a daily report covering a period where you saw this phenomenon?

    Cheers - Bob
  • 0 in reply to BAlfson
    Dear Bob, 
    Thanks for the reply. Yes i can see that the traffic is being blocked (as per my PF rules i entered) but is there no other way to totally deny these connections or something? 
    The traffic is to my ISP assigned IP so i am paying quite a lot for that traffic...

    I have contacted my ISP and they say becuase of my dynamic IP they cant do anything??

    Thanks in advance 
    kobie