Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2516 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Suspicious .ru dns false positives

Der_Stift
Hi all,

I get each day at the same time (around 12h) for a week or so an IPS altert:

-------------------------------------------------------------------------
Intrusion Prevention Alert

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: INDICATOR-COMPROMISE Suspicious .ru dns query
Details........: Snort ::
Time...........: 2012-10-31 12:51:28
Packet dropped.: yes
Priority.......: high
Classification.: A Network Trojan was detected
IP protocol....: 17 (UDP)

Source IP address: 1.2.3.4
Source port: 56310

Destination IP address: 4.3.2.1
Destination port: 53 (domain)
-----------------------------------------------------------------------
It arrives from 3 different machines with different OS. And as well, each machine uses a different source port. 
We scanned all machines twice or three times and couldn't find anything. My question is: is this a well known false positive or should we go deeper with our analysis?


This thread was automatically locked due to age.
Parents
  • 0
    one virus 1 month ago do that mass in 2 Pc under my ASG and Netbios in XP was with virus too
    I think this may cause the prob, who knows. But why ASG will do that if it is a normal DNS request ?
  • 0 in reply to Ol Deda
    Hi,

    thanks for the quick answer. I told the administration, that they need to run wireshark, check the processes and the ports in that time. It is every day at exactly the same time. 

    Thanks, I'll let you know the result [;)]
Reply
  • 0 in reply to Ol Deda
    Hi,

    thanks for the quick answer. I told the administration, that they need to run wireshark, check the processes and the ports in that time. It is every day at exactly the same time. 

    Thanks, I'll let you know the result [;)]
Children
No Data