Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 11614 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

C2/Generic-A FP

PhilB_01
Hi,

C2/Generic-A triggered when I was trying to talk to a VPS that we have rented off-net (and which we've been renting for the best part of a year at this point, but which I guess I only just tried to talk to from behind a sophos UTM).

How can I get the false positive removed from the database?

Phil


This thread was automatically locked due to age.
Parents
  • 0
    Hi Bob. It's easy to add IPs as ATP exceptions, but this makes me nervous - how do I know they are in fact FPs?

    Top Source IP Destination IP Threat Origin First seen
    192.168.1.10 94.45.41.34 C2/Generic-A Iptables 2015-06-11 18:23:59
    192.168.1.10 46.63.98.190 C2/Generic-A Iptables 2015-06-08 16:22:50
    192.168.1.10 91.240.97.141 C2/Generic-A Iptables 2015-06-07 04:23:16
    192.168.1.10 77.122.125.137 C2/Generic-A Iptables 2015-06-07 01:12:31
    192.168.1.10 31.41.90.230 C2/Generic-A Iptables 2015-05-29 23:13:43
    192.168.1.10 91.246.244.13 C2/Generic-A Iptables 2015-05-25 23:45:16
    192.168.1.10 203.88.156.109 C2/Generic-A Iptables 2015-05-18 01:33:01
    192.168.1.10 195.154.233.66 C2/Generic-A Iptables 2015-05-16 10:31:39

    Also interesting is that from the Dashboard, it shows:

    User/Host Threat Name Destination Events Origin  
    1 192.168.1.10 C2/Generic-A 94.45.41.34 1 Iptables
    2 192.168.1.10 C2/Generic-A 46.63.98.190 4 Iptables
    3 203.0.178.191 C2/Generic-A ip-194-8-147-70.intelekt.cv.ua 1 AFCd
    4 203.215.29.191 C2/Generic-A ip-194-8-147-70.intelekt.cv.ua 1 AFCd

    The 203.x.x.x numbers aren't our IPs! Our public IP is 203.206.x.x.
Reply
  • 0
    Hi Bob. It's easy to add IPs as ATP exceptions, but this makes me nervous - how do I know they are in fact FPs?

    Top Source IP Destination IP Threat Origin First seen
    192.168.1.10 94.45.41.34 C2/Generic-A Iptables 2015-06-11 18:23:59
    192.168.1.10 46.63.98.190 C2/Generic-A Iptables 2015-06-08 16:22:50
    192.168.1.10 91.240.97.141 C2/Generic-A Iptables 2015-06-07 04:23:16
    192.168.1.10 77.122.125.137 C2/Generic-A Iptables 2015-06-07 01:12:31
    192.168.1.10 31.41.90.230 C2/Generic-A Iptables 2015-05-29 23:13:43
    192.168.1.10 91.246.244.13 C2/Generic-A Iptables 2015-05-25 23:45:16
    192.168.1.10 203.88.156.109 C2/Generic-A Iptables 2015-05-18 01:33:01
    192.168.1.10 195.154.233.66 C2/Generic-A Iptables 2015-05-16 10:31:39

    Also interesting is that from the Dashboard, it shows:

    User/Host Threat Name Destination Events Origin  
    1 192.168.1.10 C2/Generic-A 94.45.41.34 1 Iptables
    2 192.168.1.10 C2/Generic-A 46.63.98.190 4 Iptables
    3 203.0.178.191 C2/Generic-A ip-194-8-147-70.intelekt.cv.ua 1 AFCd
    4 203.215.29.191 C2/Generic-A ip-194-8-147-70.intelekt.cv.ua 1 AFCd

    The 203.x.x.x numbers aren't our IPs! Our public IP is 203.206.x.x.
Children
No Data