Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 3337 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

four infected pc's, and no alarm from astaro IPS

mourik_jan
Hi all,

I'm wondering here. This week I have had infections on FOUR workstations, with the autorun-ATQ [Worm]. It communicated with it's botnet masters over port 8004.

But my question is: shouldn't these kinds of infections have generated alerts??


This thread was automatically locked due to age.
Parents
  • 0
    Bruce, perhaps I have been laboring uder a misconception, but I had understood that putting "Internal (Network)" in 'Local networks' of 'Global IPS settings' would exempt outbound traffic originating in the internal network from IPS checks.  I thought that the only protection in that case was for traffic with a destination IP in 'Internal (Network)'.  I haven't seen that written explicitly - I just made that assumption.  Am I confused?

    Cheers - Bob
Reply
  • 0
    Bruce, perhaps I have been laboring uder a misconception, but I had understood that putting "Internal (Network)" in 'Local networks' of 'Global IPS settings' would exempt outbound traffic originating in the internal network from IPS checks.  I thought that the only protection in that case was for traffic with a destination IP in 'Internal (Network)'.  I haven't seen that written explicitly - I just made that assumption.  Am I confused?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Bob, it depends on how the rule is written.  There is a need to identify the protected networks (internal) so that the Snort engine applies the rules properly to the datastream.  I've had several clients who have had users bring their laptops in (after using them from home, letting their kids--at least that's who they blame--play on the thing) and plug them into the internal corp. network, and bammo, I get a ton of notifications on my monitoring console showing the malware on the laptops trying to phone home...  after a dose of Malwarebytes, etc. FDISK problem is solved; the Astaro makes it easy to find them because it logs the source IP, etc...  I go for the laptop users first, they are almost always the cause.
  • 0 in reply to BrucekConvergent
    Hi,
    I think the following quote identifies the problem.

    "I have an any rule, yes: I allow any traffic to outside (except specific stuff), and all replies in."

    Please provide you packet filter list.

    From your post you appear to have a rule that lets traffic in, this is not required. The firewall will automatically setup rules for return traffic for each outgoing session and drop the rules at completion of the session.

    Regards
    Ian M