Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 3904 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

bot-like / Trojan-like web-activity?

paranoidpete
Astaro's web-activity log is logging continual activity to a website in Hong-Kong @ 218.213.238.230 APNIC (Asia Pacific Network Information Centre), Milton, QLD, AU.   I have web-searched this IP address and it comes up as non-existent.  When I try going directly there, I reach a non-existent website!  Yet every time I go on-line, Astaro's log for this domain advances another access count.   

I also am seeing DAILY activity to a place in Canada called Rackforce.com   Rackforce Hosting Inc.  Kelowna, BC Canada.   Last night in 1-hr of Internet usage, Astaro logged 24.6MB.  I do not know how to tell if it is inbound, or outbound.  I pretty sure that it is INBOUND as there is an arrow pointing down at the top of that column, but not sure about that; and if that's what that symbol means.   I just know that 24.6MB in an hour of web-usage is an AWFUL LOT of unknown web-activity.   

Now I also have a Sonicwall hardware firewall that I was previously using, and reconnected it to see IF Sonicwall logs the same usage, but so far it hasn't.   Although Sonicwall's logged activity is ENORMOUS, it at least shows me whether its inbound or outbound, what ports are used, whether its DNS or http, and the time of the activity.  I'm surprised that Astaro doesn't give us more information!  Anyway, I haven't seen those web-addresses show up in Sonicwall's log.  So I'm pretty sure that these two logged web-activities are generated by Astaro?   IF SO, are they NORMAL ACTIVITY?   To Hong Kong?  That surely doesn't seem normal!   Am I seeing some bot or Trojan activity?   It sure seems that way to me!  Is it possible that the Astaro gateway is Hi-Jacked or Pirated?   Or is my computer INFECTED with some virus or Trojan that my anti-virus program isn't detecting?    

I'm about ready to QUIT using Astaro!
Quite honestly, it makes me feel like Astaro cannot be trusted!   I'd go back to my Sonicwall, except that I'm sick and tired of losing 2/3rds of my Internet SPEED and throughput!   I cannot believe how RESPONSIVE that Astaro is!   But is it TRULY PROTECTING us, or is it spying on our SECURE web-transactions?  Or hosting something illegal?   

Is anyone else seeing this type of activity?


This thread was automatically locked due to age.
Parents
  • 0
    Hi,
    please describe your ASG configuration.

    Rackforce is a game site.

    Ian M
  • 0 in reply to RFCat_vk_01
    Hi,
    please describe your ASG configuration.

    Rackforce is a game site.

    Ian M


    Rackforce is a wholesale webhosting company http://www.rackforce.com/.  Astaro used to have a office in the same building as one of the data center's that Rackforce maintains and they do, as mentioned, have a Up2date server hosted by Rackforce, so perhaps the activity is from one of those.

    If not report abuse to rackforce abuse@rackforce.com and they will deal with it.
  • 0 in reply to towens
    Well, I haven't figured out how to tell who or what is creating the Internet activity.  I don't know if it is an Astaro Up2Date update, or what kind of activity it is.   I can easily ASSUME that the LARGE activity with Rackforce is Astaro updates.  However, I am also daily seeing very small activity with Hong Kong, Afghanistan, Greece, France, Japan, China, Germany, and MANY NUMEROUS other countries, ...... are they all update-servers of Astaro too?
  • 0 in reply to paranoidpete
    Hi All, 

    Can you please assist, i have exactly the same problem with bot-like 
    behaviour from 2 IPs: 218.213.238.230 and 85.25.149.192. 

    In one evening i had more than 1GB of traffic to these IPs!!!
    41.244.38.215  1 167 881 1.0 GB 
    (My ISP allocated IP is 41.244.38.215)

    Traceroute show: 
    218.213.238.230 is from Hong Kong(HK) in region Southern and Eastern Asia
    85.25.149.192 is from Germany(DE) in region Western Europe

    My up2date live logs show: 
    2009:01:25-21:50:06 (none) auisys[5585]: id="3716" severity="info" sys="system" sub="up2date" name="Up2date Package Installer finished, exiting"
    2009:01:25-22:00:02 (none) audld[5817]: Starting Up2Date Package Downloader (Version 1.57)
    2009:01:25-22:00:13 (none) audld[5817]: id="3701" severity="info" sys="system" sub="up2date" name="Authentication successful"
    2009:01:25-22:03:22 (none) audld[5817]: 

    So there was no packages to install. I have noticed that there was also no firmware updates available. 

    My packetfilter live log show: 
    22:02:26 Default DROP TCP 218.213.238.230 : 80 
     → 41.244.54.26 : 60640 
     [ACK PSH FIN] len=565 ttl=61 tos=0x00 
     

    22:02:30 Default DROP TCP 85.25.149.192 : 80 
     → 41.244.54.26 : 54198 
     [ACK PSH FIN] len=548 ttl=61 tos=0x00 
     

    22:02:58 Default DROP TCP 218.213.238.230 : 80 
     → 41.244.54.26 : 60640 
     [ACK PSH FIN] len=565 ttl=61 tos=0x00 
     

    22:03:02 Default DROP TCP 85.25.149.192 : 80 
     → 41.244.54.26 : 54198 
     [ACK RST] len=40 ttl=61 tos=0x00 
     

    22:03:30 Default DROP TCP 218.213.238.230 : 80 
     → 41.244.54.26 : 60640 
     [ACK PSH FIN] len=565 ttl=61 tos=0x00 
     

    22:04:02 Default DROP TCP 218.213.238.230 : 80 
     → 41.244.54.26 : 60640 
     [ACK PSH FIN] len=565 ttl=61 tos=0x00 
     

    22:04:34 Default DROP TCP 218.213.238.230 : 80 
     → 41.244.54.26 : 60640 
     [ACK PSH FIN] len=565 ttl=61 tos=0x00 
     
    I have added 2 rules to the packet filter to block all traffic to these IPs - BUT ASTARO STILL CONTINUE TO ACCEPT TRAFFIC !!!! 

    Please assist to resolve this asap please. 

    ----
    ASG 7.305
  • 0 in reply to kobie
    Kobie, all of that traffic is being dropped; it's not being accepted by the Astaro.

    Pete, what version level are you - V7.305?  What are you looking at to determine you have such volumes of traffic?  Can you post pics of the graphs for the Internal and External traffic from a daily report covering a period where you saw this phenomenon?

    Cheers - Bob
  • 0 in reply to BAlfson
    Dear Bob, 
    Thanks for the reply. Yes i can see that the traffic is being blocked (as per my PF rules i entered) but is there no other way to totally deny these connections or something? 
    The traffic is to my ISP assigned IP so i am paying quite a lot for that traffic...

    I have contacted my ISP and they say becuase of my dynamic IP they cant do anything??

    Thanks in advance 
    kobie
  • 0 in reply to kobie
    Kobie, the internet is not a clean place.  These kinds of attacks are the reason firewalls exist.
  • 0 in reply to BAlfson
    Currently, the ASG Version 7 uses the following up2date servers:

    Host = v7up2date1.astaro.com
    Ip   = 213.198.93.249
    Host = v7up2date2.astaro.com
    Ip   = 69.10.147.76
    Host = v7up2date3.astaro.com
    Ip   = 213.144.15.5
    Host = v7up2date4.astaro.com
    Ip   = 128.242.114.243
    Host = v7up2date5.astaro.com
    Ip   = 128.121.10.115
    Host = v7up2date6.astaro.com
    Ip   = 218.213.238.229

    Those servers are located in Germany, Canada, USA and Hong Kong. It is normal usage that the ASG checks each of those servers multiple times a day, to find out which is the fastest one, and depending on your configuration it will also transfer additional data when downloading system/pattern up2dates from one or more of these servers.

    Apart from the traffic to the up2date servers, there's always a lot of other stuff going on. As Bob said, the internet is a harsh place, you will always encounter unsolicited traffic to your ASG. Bad people can generate traffic that will be logged and accounted (up to the point where it turns into a DOS). All you can do in that case is to just drop the traffic, but at the moment that you drop it, it has already reached the system and cost you money. The only way around this is block it at the next hop in front of you, which would be your ISP.
  • 0 in reply to andreas
    Dear Andreas, 
    Thanks for the update, can you please let us know how we can get an update on the ASG7 up2date servers? Are these stored on my ASG box somewhere? 

    I have tried to block the traffic on my ISP but they said that they were not able to do that because they don't filter/monitor traffic? 

    Many thanks
    kobie
  • 0 in reply to kobie
    Dear Bob, 
    Thanks for the reply. Yes i can see that the traffic is being blocked (as per my PF rules i entered) but is there no other way to totally deny these connections or something? 
    The traffic is to my ISP assigned IP so i am paying quite a lot for that traffic...

    I have contacted my ISP and they say becuase of my dynamic IP they cant do anything??

    Thanks in advance 
    kobie


    You can create a blackhole route in the routing section.
  • 0 in reply to number2jcb
    That is a way for him to not see the traffic in the PF log, but it's still coming down his pipe.  The only way he could NOT have that traffic is for his ISP to null-route it.  But if he did that, he wouldn't be able to get automatic updates.  Moreover, since he doesn't have a static IP, the ISP would need to null-route all of the traffic from those IPs, and he's already said he won't do it.

    I think it's cheaper to have wasted bits in his pipe than it would be for him to get a fixed IP.

    Cheers - Bob
Reply
  • 0 in reply to number2jcb
    That is a way for him to not see the traffic in the PF log, but it's still coming down his pipe.  The only way he could NOT have that traffic is for his ISP to null-route it.  But if he did that, he wouldn't be able to get automatic updates.  Moreover, since he doesn't have a static IP, the ISP would need to null-route all of the traffic from those IPs, and he's already said he won't do it.

    I think it's cheaper to have wasted bits in his pipe than it would be for him to get a fixed IP.

    Cheers - Bob
Children
No Data