C2/Generic-A FP

Was this triggered via ATP or AV?

If ATP, click on Network Protection on the WebAdmin Menu.  Scroll down to Advanced Threat Protection: Recent Events.  Find the event you want and click on the green plus symbol on the right to create an exception.

You can also create exceptions at Network Protection > Advanced Threat Protection > Global.

ATP, but I don't just want to add a local exception, I want the address removed from the database. 

Given we're planning on using this particular VPS to host a customer facing web application the last thing I need is false positives off the back of Sophos' database.

Phil, per https://www.sophos.com/en-us/support/knowledgebase/120725.aspx, open up a case with Support to report a potential false positive.  Be aware that you must have a paid license to contact support and if it is determined that the false positive is situationally specific to just you and the rule is still valid for others, it will not be removed.

As this was discovered on a free home appliance, I guess there's "nothing to be done". 

It's not really ideal that Sophos has stale/invalid data (yes, actually invalid, not just "invalid in my opinion/for my purposes" - the host is definitely no longer a C&C node) in their database with no way for me to report it - this is prone to just harbouring increasingly out of date data if nothing is done to "garbage collect".

It is sounding like it's easier to just do what the malware guys would do: destroy/rebuild the VPS to get a fresh IP, and let some other poor sap deal with this when they get handed the IP.

Hohum.

Well... I've opened a support case on my new Sophos UTM with TotalProtect 24/7 support, etc, etc. However I can't get a reply or a call back. 

My errors started at the same time, however one nuance that I don't see anyone else having is that my ATP is totally disabled now and I can't figure out how to enable it.

Ughhhhh.... Any reply would be a good reply.

Hi, JT, and welcome to the User BB!

JT and Phil, please copy the details from the 'Advanced Threat Protection' tab of 'Logging and Reporting >> Network Protection' and show them here.

Cheers - Bob
PS You should receive an auto-generated acknowledgement almost immediately after opening a case via MyUTM or email to customerservice@ (paid licenses only).

Hi Bob. It's easy to add IPs as ATP exceptions, but this makes me nervous - how do I know they are in fact FPs?

Top Source IP Destination IP Threat Origin First seen
192.168.1.10 94.45.41.34 C2/Generic-A Iptables 2015-06-11 18:23:59
192.168.1.10 46.63.98.190 C2/Generic-A Iptables 2015-06-08 16:22:50
192.168.1.10 91.240.97.141 C2/Generic-A Iptables 2015-06-07 04:23:16
192.168.1.10 77.122.125.137 C2/Generic-A Iptables 2015-06-07 01:12:31
192.168.1.10 31.41.90.230 C2/Generic-A Iptables 2015-05-29 23:13:43
192.168.1.10 91.246.244.13 C2/Generic-A Iptables 2015-05-25 23:45:16
192.168.1.10 203.88.156.109 C2/Generic-A Iptables 2015-05-18 01:33:01
192.168.1.10 195.154.233.66 C2/Generic-A Iptables 2015-05-16 10:31:39

Also interesting is that from the Dashboard, it shows:

User/Host Threat Name Destination Events Origin  
1 192.168.1.10 C2/Generic-A 94.45.41.34 1 Iptables
2 192.168.1.10 C2/Generic-A 46.63.98.190 4 Iptables
3 203.0.178.191 C2/Generic-A ip-194-8-147-70.intelekt.cv.ua 1 AFCd
4 203.215.29.191 C2/Generic-A ip-194-8-147-70.intelekt.cv.ua 1 AFCd

The 203.x.x.x numbers aren't our IPs! Our public IP is 203.206.x.x.

It looks like the two most-recent alerts are because 192.168.1.10 attempted to resolve an FQDN from a name server in the Ukraine.  That can't be a good sign. [:(]  Assuming that that's your internal DNS, can you tell which devices made those requests of your server?

Cheers - Bob

Thanks Bob. 192.168.1.10 is my Mac, which is not running our DNS.

Let's leave lines 3 and 4 from the Dashboard out for now - they have a source and destination IP which are not in our network. Maybe it's a DNS setting on the Astaro box. Anyway, so it looks like my Mac has something on it which is calling the C&C servers. So how to find out what is infected?

Today's Dashboard says:

  User/Host Threat Name Destination Events Origin  
1 192.168.1.10 C2/Generic-A 195.154.233.66 1 Iptables
2 192.168.1.10 C2/Generic-A 188.134.26.172 1 Iptables
3 192.168.1.10 C2/Generic-A 176.31.246.49 1 Iptables

Looking at the first one in ATP section of Logging & Reports/Network Protection it says:

Source IP            Destination IP      Threat         Origin     First seen
192.168.1.10 195.154.233.66 C2/Generic-A Iptables     2015-06-16 05:36:52

I have looked at the packetfilter.log and it has no mention of 192.154.233.66. It says that the origin is 'Iptables' - where can I find this log to get more information?

Sophos Anti-Virus for Mac finds nothing on my machine. I ran ClamXav and it found emails (in my Spam folder etc) but nothing else.

Any hints as to how to track this down?

Thanks,

James.

I would check the Web Filtering log at about that time James - not for the name server IP, but for an FQDN that might have gotten blocked because there was no DNS resolution.  I haven't found one of these yet myself.  It's interesting that the same IP was detected on 5-16 and 6-16, 195.154.233.66, a server in Paris.

Cheers - Bob