Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 9 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 59355 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS: INDICATOR-COMPROMISE Suspicious .pw dns query

rheptor
Hi,

For a couple of weeks i'm getting this message from the IPS module.

Message........: INDICATOR-COMPROMISE Suspicious .pw dns query
Details........: http://www.snort.org/search/sid/28039?r=1
Time...........: 2014-08-16 07:29:22
Packet dropped.: yes
Priority.......: high
Classification.: A Network Trojan was Detected
IP protocol....: 17 (UDP)

Source IP address: 192.168.*.30 
Source port: 2599 (meridiandata)
Destination IP address: 192.168.*.1 (home)
Destination port: 53 (domain)


These notifications come in batches of 10 at a time.

Source IP (and thus device) is and Android phone and a Macbook Pro.
Source port is variable for each message.

Is this a false positive, or a real problem. Can't find anything on this matter on the web, even the snort.org URL gives me a 404 error.

Should I disable / ignore these notifications?


This thread was automatically locked due to age.
Parents
  • 0
    The .pw domain is the origin of a lot of spam; my guess (I haven't read the actual rule) is that the IPS is detecting outbound queries for something in the .pw domain.  This could indicate an infected host trying to send spam out (mail zombie), or could just be your anti-spam engine querying something with that domain in it.  If it happens in regular intervals, etc. you may want to check that machine (the originator of the DNS lookups -- the DNS proxy could "hiding" the true source -- one my requests, by the way, is that Sophos give us a way to see what host is using the DNS proxy for what queries) ... in your case, check .30 out.  If .30 is a DNS server, then check the logs to see which computer is making the query.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    The .pw domain is the origin of a lot of spam; my guess (I haven't read the actual rule) is that the IPS is detecting outbound queries for something in the .pw domain.



    BINGO!


    False positive for me.


    I started getting some of these entries in my IPS log as well. After doing a little research, I found the culprit... My email server.


    I have my email server setup to check the DNS of incoming email. Each entry in the IPS log corresponds to a DNS check, you guessed it, of incoming spam from a .pw domain.


    So if anyone else comes across this thread, who has an email server, compare your email server log timestamps with the IPS log timestamps.

    --------------------------------------------------------------------
    Sophos UTM 9.714-4 - Home User
    Currently testing VM on i3-9100 @ 3.60 GHz
    16 GB RAM
    Dell Optiplex XE
    Intel Core 2 Duo CPU E8600 @ 3.33GHz
    8GB RAM
    --------------------------------------------------------------------

Reply
  • 0 in reply to BrucekConvergent
    The .pw domain is the origin of a lot of spam; my guess (I haven't read the actual rule) is that the IPS is detecting outbound queries for something in the .pw domain.



    BINGO!


    False positive for me.


    I started getting some of these entries in my IPS log as well. After doing a little research, I found the culprit... My email server.


    I have my email server setup to check the DNS of incoming email. Each entry in the IPS log corresponds to a DNS check, you guessed it, of incoming spam from a .pw domain.


    So if anyone else comes across this thread, who has an email server, compare your email server log timestamps with the IPS log timestamps.

    --------------------------------------------------------------------
    Sophos UTM 9.714-4 - Home User
    Currently testing VM on i3-9100 @ 3.60 GHz
    16 GB RAM
    Dell Optiplex XE
    Intel Core 2 Duo CPU E8600 @ 3.33GHz
    8GB RAM
    --------------------------------------------------------------------

Children
No Data
Unfiltered HTML