Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2891 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

please someone can explain or reproduce this

eldorado
hello all

following situation:

ATP and IPS enabled
On a client PC -> open cmd prompt -> ping commonname.com
(answer: host could not be resolved)

ATP Alert:

16:07:25  AFCd  UDP  Troj/Dluca-BM  (internalDNSServer01IP) →  193.247.204.1      drop 
16:07:26  AFCd  UDP  Troj/Dluca-BM  (internalDNSServer02IP) →  193.247.204.1      drop 
16:07:29  AFCd  UDP  Troj/Dluca-BM  (internalDNSServer02IP)  →  193.5.23.1      drop 
16:07:29  AFCd  UDP  Troj/Dluca-BM  (internalDNSServer01IP)  →  193.5.23.1      drop 
16:07:33  AFCd  UDP  Troj/Dluca-BM  (internalDNSServer02IP)  →  164.128.36.34      drop 
16:07:33  AFCd  UDP  Troj/Dluca-BM  (internalDNSServer01IP)  →  164.128.36.34      drop

The Internet IP are the DNS-Forwarders of our ISP

UTM Release 9.307-6

Thanks a lot :-)


This thread was automatically locked due to age.
Parents
  • 0
    these are good alerts..[[:)]]  I bypassed atp here and went to that site inside a vm..[[:)]]
  • 0 in reply to William Warren
    First thanks a lot for the answers :-)

    Just to ask for beeing shure:
    Could this be a reason for beeing on the cbl list (mailserver)?

    I turned ATP and IPS on after we found that our mailserver was on that list.

    After multiple scans with different AV's (online and offline) we did not find any Virus or Malware on our servers and clients.

    I did a Wireshark sniff on the 2 DNS Servers and I saw that these querys came from our gateway (our UTM / UTMs DNS forwarders are our 2 internal DNS Server / all our internal devices have our internal DNS servers configured)

    Any hints would be greatly apreciatet.
Reply
  • 0 in reply to William Warren
    First thanks a lot for the answers :-)

    Just to ask for beeing shure:
    Could this be a reason for beeing on the cbl list (mailserver)?

    I turned ATP and IPS on after we found that our mailserver was on that list.

    After multiple scans with different AV's (online and offline) we did not find any Virus or Malware on our servers and clients.

    I did a Wireshark sniff on the 2 DNS Servers and I saw that these querys came from our gateway (our UTM / UTMs DNS forwarders are our 2 internal DNS Server / all our internal devices have our internal DNS servers configured)

    Any hints would be greatly apreciatet.
Children
  • 0 in reply to eldorado
    First thanks a lot for the answers :-)

    Just to ask for beeing shure:
    Could this be a reason for beeing on the cbl list (mailserver)?


    Did you see these alerts before you ran the PING command?
    If you didn't, then NO.


    I did a Wireshark sniff on the 2 DNS Servers and I saw that these querys came from our gateway (our UTM / UTMs DNS forwarders are our 2 internal DNS Server / all our internal devices have our internal DNS servers configured)


    Are you sure they didn't come from a PC (including websurfing through the http proxy)?
    If you're sure, then they could have come from the mail system in the UTM, in which case this could be normal from processing incoming spam or whatever.

    Barry