Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 6003 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hacked! Suggestions?

Astronomer
Hi all,

Hacked.jpg

Hi all,

It appears that somehow I've been hacked, despite my precautions on all systems

Here's my setup: Sophos UTM Home on a HP DL360 G5 server, Latest version of Ubuntu running as a file/media server on a HOP ML350 G5, and also running Apache; a Hackintosh, An iMac, and a Windows 8 PC.

Last night I noticed that my pings were unusually high while playing a round of COD with friends (I'm 47...). I rebooted and that did not correct the issue. My wife, on her iMac, said that she had nothing running, but while she rebooted, my pings were normal. Just a correlation thus far, no causation proved.

Looking at the morning report from my Sophos UTM, I see four odd entries (see attached image). The users should all be 192.168.x.*** addresses. Two of them are puck82x.startdedicated.com. Actually clicking on them gets this message 

"It works!

This is the default web page for this server.
The web server software is running but no content has been added, yet"

and a geo-search on the IP says it's in Germany.

Note the last entry on the "Web Usage" column: 146.185.239.100. A search says that this is in Russia.

Lastly, under the "Top 10 Users By Traffic". I see "Webserver" as an entry.

Any thoughts or suggestions are sincerely appreciated.


This thread was automatically locked due to age.
  • 0
    What do you have in 'Allowed networks' on the 'Global' tab of Web Filtering?  If "Any" or "Internet" is there, you'll want to get rid of those and only use your LANs.

    Cheers - Bob
  • 0
    Thanks for that! I did have Intenet - Any IPV4 set up in there. I still have "External (WAN) (Address)". I'm assuming that that's OK?
  • 0
    Hi Astronomer,

    You shouldn't need the External WAN Address entry in there as that box is only intended for internal networks you want protected by the UTM Content Filter. Basically the Internal Interface network and any other networks behind the UTM. I have guest as well as WiFi subnets at home so my list includes those extra internal networks.
  • 0
    Thanks Andrew,

    I appreciate that info as well. I'm new to Sophos, having previously run a ClearOS server. The learning curve is a bit steeper, but well worth it.

    I'm going to re-add the Internet to the global tab this weekend and run CactusEZ on my ESXi server to identify which NIC is generating the traffic and nail which system is infected and then clean it.

    Cheers,

     - Craig
  • 0

    I'm going to re-add the Internet to the global tab ...


    Hi, 

    Do NOT put Internet,  wan,  or ANY in the allowed networks for any of the services.

     Barry
  • 0
    Will-do, and done, Barry. I also noticed I have two IP addresses from China in my Top 10 users by time and day today, a little over 6 minutes and 29k respectively. I've also added country blocks for fun. I'll monitor the system tomorrow to see if any intruders show up. This is very frustrating, and concerning as my wife uses her Mac for our banking.

    Yikes! Logs show 7.4 Gb of traffic today, unclassified, 4Gb http, 1.9Gb http-alt. Weird that the top 10 Domains by traffic only have small numbers, 10MB or less. I have a webcam running (watching our new pup), but that traffic is only a few hundred Mb, and there was also the latest IOS updates for 3 devices, and an ISO download at 350Mb.
  • 0
    Might try turning on country blocking if you're concerned about foreign traffic. :-)
  • 0
    I did that ctadrus, but my concern is closing external ports and services that allow intrusion. 8.4Gb of data went through my network yesterday. Luckily we have an unlimited plan, but that's still an excessive amount of bandwidth use.
  • 0
    Look in 'Logging & Reporting >> Network Usage' on the 'Bandwidth Usage' tab to see what IPs are consuming that bandwidth.

    Cheers - Bob
  • 0
    Found the culprit: My Ubuntu file/media server, hit with Windigo. I ran this script 
    "$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected" and boom. System infected. 

    OPERATION WINDIGO: Malware Used To Attack Over 500,000 Computers Daily After 25,000 UNIX Servers Hijacked By Backdoor Trojan