Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 11614 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

C2/Generic-A FP

PhilB_01
Hi,

C2/Generic-A triggered when I was trying to talk to a VPS that we have rented off-net (and which we've been renting for the best part of a year at this point, but which I guess I only just tried to talk to from behind a sophos UTM).

How can I get the false positive removed from the database?

Phil


This thread was automatically locked due to age.
Parents
  • 0
    Thanks Bob. 192.168.1.10 is my Mac, which is not running our DNS.

    Let's leave lines 3 and 4 from the Dashboard out for now - they have a source and destination IP which are not in our network. Maybe it's a DNS setting on the Astaro box. Anyway, so it looks like my Mac has something on it which is calling the C&C servers. So how to find out what is infected?

    Today's Dashboard says:

      User/Host Threat Name Destination Events Origin  
    1 192.168.1.10 C2/Generic-A 195.154.233.66 1 Iptables
    2 192.168.1.10 C2/Generic-A 188.134.26.172 1 Iptables
    3 192.168.1.10 C2/Generic-A 176.31.246.49 1 Iptables

    Looking at the first one in ATP section of Logging & Reports/Network Protection it says:

    Source IP            Destination IP      Threat         Origin     First seen
    192.168.1.10 195.154.233.66 C2/Generic-A Iptables     2015-06-16 05:36:52

    I have looked at the packetfilter.log and it has no mention of 192.154.233.66. It says that the origin is 'Iptables' - where can I find this log to get more information?

    Sophos Anti-Virus for Mac finds nothing on my machine. I ran ClamXav and it found emails (in my Spam folder etc) but nothing else.

    Any hints as to how to track this down?

    Thanks,

    James.
Reply
  • 0
    Thanks Bob. 192.168.1.10 is my Mac, which is not running our DNS.

    Let's leave lines 3 and 4 from the Dashboard out for now - they have a source and destination IP which are not in our network. Maybe it's a DNS setting on the Astaro box. Anyway, so it looks like my Mac has something on it which is calling the C&C servers. So how to find out what is infected?

    Today's Dashboard says:

      User/Host Threat Name Destination Events Origin  
    1 192.168.1.10 C2/Generic-A 195.154.233.66 1 Iptables
    2 192.168.1.10 C2/Generic-A 188.134.26.172 1 Iptables
    3 192.168.1.10 C2/Generic-A 176.31.246.49 1 Iptables

    Looking at the first one in ATP section of Logging & Reports/Network Protection it says:

    Source IP            Destination IP      Threat         Origin     First seen
    192.168.1.10 195.154.233.66 C2/Generic-A Iptables     2015-06-16 05:36:52

    I have looked at the packetfilter.log and it has no mention of 192.154.233.66. It says that the origin is 'Iptables' - where can I find this log to get more information?

    Sophos Anti-Virus for Mac finds nothing on my machine. I ran ClamXav and it found emails (in my Spam folder etc) but nothing else.

    Any hints as to how to track this down?

    Thanks,

    James.
Children
No Data