Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 3337 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

four infected pc's, and no alarm from astaro IPS

mourik_jan
Hi all,

I'm wondering here. This week I have had infections on FOUR workstations, with the autorun-ATQ [Worm]. It communicated with it's botnet masters over port 8004.

But my question is: shouldn't these kinds of infections have generated alerts??


This thread was automatically locked due to age.
Parents
  • 0 in reply to mourik_jan
    Hi,

    why should IPS send notifications? The worm wants to go from a different port on your clients to a specific one on destination's side. He we're have to use skype again and so I can see every day IPS working fine. The traffic to the bn master should be blocked by default if you don't have a rule allowing to connect to this port.

    Or is there an Any-Rule in your rule set? What does the live log says?
    -- 
    MfG, Steffen
Reply
  • 0 in reply to mourik_jan
    Hi,

    why should IPS send notifications? The worm wants to go from a different port on your clients to a specific one on destination's side. He we're have to use skype again and so I can see every day IPS working fine. The traffic to the bn master should be blocked by default if you don't have a rule allowing to connect to this port.

    Or is there an Any-Rule in your rule set? What does the live log says?
    -- 
    MfG, Steffen
Children
No Data