Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 29120 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange IPS detection

PSyc
Hey everbody,

I've got a strange IPS detection.

[HTML]2009:03:20-19:50:40 (none) barnyard[9004]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BACKDOOR fkwp 2.0 runtime detection - connection success" group="510" srcip="192.168.178.1" dstip="192.168.178.93" proto="6" srcport="8110" dstport="1081" sid="6033" class="A Network Trojan was detected" priority="1"  generator="1" msgid="0"
2009:03:20-19:50:40 (none) barnyard[9004]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="BACKDOOR fkwp 2.0 runtime detection - connection attempt server-to-client" group="510" srcip="192.168.178.1" dstip="192.168.178.93" proto="6" srcport="8110" dstport="1081" sid="6031" class="A Network Trojan was detected" priority="1"  generator="1" msgid="0"[/HTML]

The strange is that the source and the destitionation IPs are in the same range! What does that mean? I always thought that traffic will got through my firewall and not be initiated from my firewall!

Could me anybody tell whats going on?


cheers

PSyc


This thread was automatically locked due to age.
  • 0
    A Network Trojan was detected" priority

    I think your client is infected
  • 0 in reply to wingman
    Hi wingman,

    thanks for reply!

    I'm not sure if my client is infected because several tools I've used didn't find an infection .. yes I know that's not a sign therefore that my host is clean!

    This alert only appear one time, shouldn't it not appear more often if my host infected?

    Why to connection to my host was established my gateway (astaro), I mean this is strange in my point of view?

    Anyway thanks for feedback!


    cheers
  • 0 in reply to PSyc
    can you provide more information about the specific hosts and your network?
  • 0 in reply to wingman
    sure can do, what for information do you want?


    cheers
  • 0 in reply to PSyc
    What do you have at .178.1 and .178.93?

    Is it possible that the infection was already cleadned by an anti-virus running on .187.1?

    Cheers - Bob
  • 0 in reply to BAlfson
    .178.1 is the astaro .178.93 is the host.


    cheers

    psyc
  • 0
    It's unlikely there's a trojan in your Astaro.  What is the host running?  OS & Apps.
  • 0 in reply to BAlfson
    Is it unlikely or unpossible [;)] .. that's whats make me begin to wonder .. or is my astaro get hacked?

    anyway, my client is running vista and default office apps.

    I'll try to whireshark my host, maybe I'll see some suspicious traffic ... 

    What I don't understand is why IPS detects this only one time .. my understanding is, if my client is infected I should receive more IPS messages ... 


    cheers
  • 0
    I agree.  If it was an infection, then it would have recurred.  Even though snort.org doesn't indicate the existence of any false positives doesn't mean there aren't some.  It would be lucky if you happened to be logging the allow rule in the packet filter log when that went trhrough - did it?

    When I was setting my iPhone up with my Exchange server, I saw some funky warnings.  Were you configuring anything at the time?
  • 0 in reply to BAlfson
    Info you probably already have.

    Jim

    GEN:SID    1:6032
    Message  DELETED BACKDOOR fkwp 2.0 runtime detection - conn success-cts
    Summary  This event does not have documentation. Please help fill it out.
    Impact   
    Detailed Information   
    Affected Systems   
    Attack Scenarios   
    Ease of Attack   
    False Positives  None known at this time. If you think this rule has a false positives, please help fill it out.
    False Negatives  None known at this time. If you think this rule has a false negatives, please help fill it out.
    Corrective Action   
    Contributors  Unknown
    Additional References   
    Rule References  Error: Unknown reference type: url,FKWP 1.5 Info

    FKWP 2.0
    Date Published:
    Monday, May 5, 2008
    Threat Assessment
    Overall Risk: Critical
    Privacy: Critical
    Productivity:
    System Integrity: Low
    Characteristics

    Category : Key Logger

    Also known as:  Win32/HolLol.A [CA AV], Backdoor.Win32.BlueEye.c [Kaspersky], Backdoor.Trojan [Symantec], BackDoor-CJL [McAfee], W32/BlueEye.C@bd [F-Prot], W32/BlueEye.B [NORMAN], Troj/BluEye-B [Sophos]