Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 3906 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

bot-like / Trojan-like web-activity?

paranoidpete
Astaro's web-activity log is logging continual activity to a website in Hong-Kong @ 218.213.238.230 APNIC (Asia Pacific Network Information Centre), Milton, QLD, AU.   I have web-searched this IP address and it comes up as non-existent.  When I try going directly there, I reach a non-existent website!  Yet every time I go on-line, Astaro's log for this domain advances another access count.   

I also am seeing DAILY activity to a place in Canada called Rackforce.com   Rackforce Hosting Inc.  Kelowna, BC Canada.   Last night in 1-hr of Internet usage, Astaro logged 24.6MB.  I do not know how to tell if it is inbound, or outbound.  I pretty sure that it is INBOUND as there is an arrow pointing down at the top of that column, but not sure about that; and if that's what that symbol means.   I just know that 24.6MB in an hour of web-usage is an AWFUL LOT of unknown web-activity.   

Now I also have a Sonicwall hardware firewall that I was previously using, and reconnected it to see IF Sonicwall logs the same usage, but so far it hasn't.   Although Sonicwall's logged activity is ENORMOUS, it at least shows me whether its inbound or outbound, what ports are used, whether its DNS or http, and the time of the activity.  I'm surprised that Astaro doesn't give us more information!  Anyway, I haven't seen those web-addresses show up in Sonicwall's log.  So I'm pretty sure that these two logged web-activities are generated by Astaro?   IF SO, are they NORMAL ACTIVITY?   To Hong Kong?  That surely doesn't seem normal!   Am I seeing some bot or Trojan activity?   It sure seems that way to me!  Is it possible that the Astaro gateway is Hi-Jacked or Pirated?   Or is my computer INFECTED with some virus or Trojan that my anti-virus program isn't detecting?    

I'm about ready to QUIT using Astaro!
Quite honestly, it makes me feel like Astaro cannot be trusted!   I'd go back to my Sonicwall, except that I'm sick and tired of losing 2/3rds of my Internet SPEED and throughput!   I cannot believe how RESPONSIVE that Astaro is!   But is it TRULY PROTECTING us, or is it spying on our SECURE web-transactions?  Or hosting something illegal?   

Is anyone else seeing this type of activity?


This thread was automatically locked due to age.
  • 0 in reply to kobie
    Kobie, the internet is not a clean place.  These kinds of attacks are the reason firewalls exist.
  • 0 in reply to BAlfson
    Currently, the ASG Version 7 uses the following up2date servers:

    Host = v7up2date1.astaro.com
    Ip   = 213.198.93.249
    Host = v7up2date2.astaro.com
    Ip   = 69.10.147.76
    Host = v7up2date3.astaro.com
    Ip   = 213.144.15.5
    Host = v7up2date4.astaro.com
    Ip   = 128.242.114.243
    Host = v7up2date5.astaro.com
    Ip   = 128.121.10.115
    Host = v7up2date6.astaro.com
    Ip   = 218.213.238.229

    Those servers are located in Germany, Canada, USA and Hong Kong. It is normal usage that the ASG checks each of those servers multiple times a day, to find out which is the fastest one, and depending on your configuration it will also transfer additional data when downloading system/pattern up2dates from one or more of these servers.

    Apart from the traffic to the up2date servers, there's always a lot of other stuff going on. As Bob said, the internet is a harsh place, you will always encounter unsolicited traffic to your ASG. Bad people can generate traffic that will be logged and accounted (up to the point where it turns into a DOS). All you can do in that case is to just drop the traffic, but at the moment that you drop it, it has already reached the system and cost you money. The only way around this is block it at the next hop in front of you, which would be your ISP.
  • 0 in reply to andreas
    Dear Andreas, 
    Thanks for the update, can you please let us know how we can get an update on the ASG7 up2date servers? Are these stored on my ASG box somewhere? 

    I have tried to block the traffic on my ISP but they said that they were not able to do that because they don't filter/monitor traffic? 

    Many thanks
    kobie
  • 0 in reply to kobie
    Dear Bob, 
    Thanks for the reply. Yes i can see that the traffic is being blocked (as per my PF rules i entered) but is there no other way to totally deny these connections or something? 
    The traffic is to my ISP assigned IP so i am paying quite a lot for that traffic...

    I have contacted my ISP and they say becuase of my dynamic IP they cant do anything??

    Thanks in advance 
    kobie


    You can create a blackhole route in the routing section.
  • 0 in reply to number2jcb
    That is a way for him to not see the traffic in the PF log, but it's still coming down his pipe.  The only way he could NOT have that traffic is for his ISP to null-route it.  But if he did that, he wouldn't be able to get automatic updates.  Moreover, since he doesn't have a static IP, the ISP would need to null-route all of the traffic from those IPs, and he's already said he won't do it.

    I think it's cheaper to have wasted bits in his pipe than it would be for him to get a fixed IP.

    Cheers - Bob