Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1850 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange Behaviour of UTM? At least in logs

ChristianS
Hello together,

today i was expirencing a strange behaviour in our network. I was flooded down and I'm not sure what is causing it.

We've basically a network of an SBS 2008 R2 with some computers behind a UTM 110 running the latest firmware. On SBS Sophos Endpoint Security 10.3 is running.

Prologue:
It first started with a botnet warning from UTM after activting Adv. Thread Protection:
SBS - C2/Generic-A - withtls.net - DNS
SBS - C2/Generic-A - [some-long-id].withtls.net - DNS

[some-long-id] was some hex-number with -digits. Basically it was something like this (see Network Details)

This happend 2 times. After activiting DNS-logging on SBS, a third blocked attempt was made to withtls.net and www.withtls.net. Logging showed that the dns-queries have been from SBS only, as the DNS log of SBS showed  no other origin.

First strange thing was that Sophos Endpoint is not dedecting anything, yet UTM is. Last few day's there have been no other warning.

Today:
Today, the internal network got flooded, and my question is whether this is related to a malfunction in the UTM or to a maybe undetected virus/trojan.

Firewall is blocking since a few days almost everything outgoing. Firewall is Whitelist only except for specific ports to known servers. Web Traffic is only allowed by Web Filter and DNS only over UTM (no extra firewall rules created). Ping, ICMP is disallowed from outside.
IPS is on, Adv. Thread. Prot. is on.

First it starts with some DNS queries, that are blocked. (I'm not sure if it's a legal program that want's to skip the DNS-server of the SBS, which redirects to UTM first, or if its the undectable trojan)
After that network was down and the UTM-log shows IP spoofing drop's from UTM.
There had been reports that IP spoofing drops have been caused by UTM in former times. Maybe I've done a misconfiguration by blocking too much. However it may be also a not detecable virus/trojan. Actually, I'm a bit confused.

2014:08:18-16:25:21 utm ulogd[3958]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="SBS-MAC" dstmac="UTM-MAC" srcip="SBS-IP" dstip="96.7.50.64" proto="17" length="106" tos="0x00" prec="0x00" ttl="127" srcport="49551" dstport="53" 
2014:08:18-16:25:21 utm ulogd[3958]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="SBS-MAC" dstmac="UTM-MAC" srcip="SBS-IP" dstip="193.108.91.114" proto="17" length="76" tos="0x00" prec="0x00" ttl="127" srcport="50839" dstport="53" 
2014:08:18-16:25:25 utm ulogd[3958]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="SBS-MAC" dstmac="UTM-MAC" srcip="SBS-IP" dstip="95.100.175.64" proto="17" length="106" tos="0x00" prec="0x00" ttl="127" srcport="50055" dstport="53" 
2014:08:18-16:25:25 utm ulogd[3958]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="SBS-MAC" dstmac="UTM-MAC" srcip="SBS-IP" dstip="95.100.175.64" proto="17" length="106" tos="0x00" prec="0x00" ttl="127" srcport="51648" dstport="53" 
2014:08:18-16:25:25 utm ulogd[3958]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="SBS-MAC" dstmac="UTM-MAC" srcip="SBS-IP" dstip="95.100.175.64" proto="17" length="106" tos="0x00" prec="0x00" ttl="127" srcport="49542" dstport="53" 
2014:08:18-16:25:25 utm ulogd[3958]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="SBS-MAC" dstmac="UTM-MAC" srcip="SBS-IP" dstip="193.108.91.38" proto="17" length="106" tos="0x00" prec="0x00" ttl="127" srcport="50564" dstport="53" 
2014:08:18-16:25:25 utm ulogd[3958]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="SBS-MAC" dstmac="UTM-MAC" srcip="SBS-IP" dstip="95.100.175.64" proto="17" length="106" tos="0x00" prec="0x00" ttl="127" srcport="49453" dstport="53" 
2014:08:18-16:25:25 utm ulogd[3958]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="SBS-MAC" dstmac="UTM-MAC" srcip="SBS-IP" dstip="95.100.175.64" proto="17" length="106" tos="0x00" prec="0x00" ttl="127" srcport="50896" dstport="53" 
2014:08:18-16:25:25 utm ulogd[3958]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="SBS-MAC" dstmac="UTM-MAC" srcip="SBS-IP" dstip="95.100.175.64" proto="17" length="106" tos="0x00" prec="0x00" ttl="127" srcport="51585" dstport="53" 
2014:08:18-16:25:25 utm ulogd[3958]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="SBS-MAC" dstmac="UTM-MAC" srcip="SBS-IP" dstip="95.100.175.64" proto="17" length="106" tos="0x00" prec="0x00" ttl="127" srcport="50661" dstport="53" 
2014:08:18-16:25:25 utm ulogd[3958]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="SBS-MAC" dstmac="UTM-MAC" srcip="SBS-IP" dstip="95.100.175.64" proto="17" length="106" tos="0x00" prec="0x00" ttl="127" srcport="49551" dstport="53" 
2014:08:18-16:25:25 utm ulogd[3958]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="SBS-MAC" dstmac="UTM-MAC" srcip="SBS-IP" dstip="95.100.175.64" proto="17" length="76" tos="0x00" prec="0x00" ttl="127" srcport="50839" dstport="53" 
2014:08:18-16:25:25 utm ulogd[3958]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="SBS-MAC" dstmac="UTM-MAC" srcip="SBS-IP" dstip="23.61.199.64" proto="17" length="76" tos="0x00" prec="0x00" ttl="127" srcport="49983" dstport="53" 
2014:08:18-16:25:38 utm ulogd[3958]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth0" srcmac="UTM-MAC" dstmac="UTM-MAC" srcip="UTM-IP" dstip="192.168.1.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="57157" dstport="137" 
2014:08:18-16:25:38 utm ulogd[3958]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth0" srcmac="UTM-MAC" dstmac="UTM-MAC" srcip="UTM-IP" dstip="192.168.1.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="57157" dstport="137" 
2014:08:18-16:25:38 utm ulogd[3958]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth0" srcmac="UTM-MAC" dstmac="UTM-MAC" srcip="UTM-IP" dstip="192.168.1.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="57157" dstport="137" 
2014:08:18-16:25:38 utm ulogd[3958]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth0" srcmac="UTM-MAC" dstmac="UTM-MAC" srcip="UTM-IP" dstip="192.168.1.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="57157" dstport="137" 
2014:08:18-16:25:38 utm ulogd[3958]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth0" srcmac="UTM-MAC" dstmac="UTM-MAC" srcip="UTM-IP" dstip="192.168.1.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="57157" dstport="137" 
2014:08:18-16:25:38 utm ulogd[3958]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth0" srcmac="UTM-MAC" dstmac="UTM-MAC" srcip="UTM-IP" dstip="192.168.1.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="57157" dstport="137" 
2014:08:18-16:25:38 utm ulogd[3958]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth0" srcmac="UTM-MAC" dstmac="UTM-MAC" srcip="UTM-IP" dstip="192.168.1.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="57157" dstport="137" 
2014:08:18-16:25:38 utm ulogd[3958]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth0" srcmac="UTM-MAC" dstmac="UTM-MAC" srcip="UTM-IP" dstip="192.168.1.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="57157" dstport="137" 
2014:08:18-16:25:38 utm ulogd[3958]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth0" srcmac="UTM-MAC" dstmac="UTM-MAC" srcip="UTM-IP" dstip="192.168.1.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="57157" dstport="137" 
2014:08:18-16:25:38 utm ulogd[3958]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth0" srcmac="UTM-MAC" dstmac="UTM-MAC" srcip="UTM-IP" dstip="192.168.1.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="57157" dstport="137" 
2014:08:18-16:25:38 utm ulogd[3958]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth0" srcmac="UTM-MAC" dstmac="UTM-MAC" srcip="UTM-IP" dstip="192.168.1.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="57157" dstport="137" 
2014:08:18-16:25:38 utm ulogd[3958]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth0" srcmac="UTM-MAC" dstmac="UTM-MAC" srcip="UTM-IP" dstip="192.168.1.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="57157" dstport="137"


Any ideas?
Thanks for your help.

Best regards,
Christian


This thread was automatically locked due to age.
  • 0
    Hi Christian, 

    www.withtls.com was also detected as a "C2/Generic-A" threat on my home UTM but I don't think that is the source of your problems.

    You can safely ignore MS NetBIOS 137 dst ports log lines, but I see some strange behavior in DNS output blocked by UTM going to akam.net DNS servers (Registrar: TUCOWS DOMAINS INC). I remember Tucows as a software download portal a long time ago...[;)]

    Can you also post that IP spoofing drops log lines?
  • 0
    I have seen this in that past few weeks with 2 Sophos 220's (updated to the latest) and 3 UTM appliances that are 2 & 3 patches behind. Interestingly enough the 220's have Symantec End Point as well. 

    Some insight on this would be greatly appreciated. [:D]
  • 0 in reply to seatacsupport
    Hi together,

    first thanks for the replys. It's good to know that this withtls.net is a bit of a strange thing - not only to me.

    The DNS I've to check - Unforunately, after restarting SBS, which may have been a potential cause of network loss/ip-spoofing, the logs of the DNS-server are overwritten, so I'm not sure where the DNS query was coming from exactly :-/

    @vilic: 
    > Can you also post that IP spoofing drops log lines? 
    Does UTM stores more information? I've just copyed the Firewall log (replacing MACs and IPs)

    Anyway, this IP spoofing was annoying as it took down the whole network. We are currently unsure what was the cause. Either the SBS, some Netgear Wireless Router, some computer or the UTM - or all together.
    We solved it finally by restarting the Netgear Router and/or the SBS (I'm not exactly sure, because SBS was shutting down installing updates and during this time we shut down the Netgear Router). Though if it was the restarting of SBS, the source of the problems is still open - as without SBS almost nothing is working at all (even not Web Traffic as UTM want's user authentification)

    Update 08-20-2014
    - The network problems looks like a prolbem from Netgear as we had it again, when changing the settings for the Netgear router
    - As I've been in contact with Sophos due to Endpoint Cloud migration, I've mentioned the topic and they made up a new ticket for UTM. I referred to the thread, especially the withtls.net DNS botnet alert. Maybe they can give some information

    Update 08-25-2014
    - Sophos ticket is still running
    - Over a partner I got the following answer from Sophos (translated short from German):
    The UTM gives ATP alert, cause one client connects to a domain that is listed to a C&C network. To activate this alert it is enough that the client surfs this page or another page, which calls this page by XSS (cross-site scripting). This could be very much the reason as the origin is DNS. On the page itself there is no malware. However there is malware that is controlled by this network. To be on the safe side, I would suggest to run SBAV (Sophos Bootable AntiVirus) on a Offline-Scan.


    That answer is pointing to the right direction, and may be possible as I've used internet surfing on safe sites, but the ads could have be pointed to the DNS. Although, the explanation on the website about C2/Generic-A is totally misleading when the origin is DNS :-/ Maybe, Sophos can rewrite it a bit? [:)]