Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 4532 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection Alert - C2/Zbot-A

ErwinL
Hello,

I have a question about a Sophos UTM SG450.

Around every hour we get a message about a threat: C2/Zbot-A

Threat name....: C2/Zbot-A (SID: 26267)
Details........: C2/Zbot-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutions 
Time...........: 2014-08-22 11:43:44
Traffic blocked: yes

Internal source IP address or host: x.x.x.x (DNS Server)

What is the best way to find out what server is making the request to my DNS server ?

Thx in advanced


This thread was automatically locked due to age.
  • 0
    Hi Erwin,

    just enable dns request logging on your dns server. Here is an example, how you can do that on windows 2003/2008.
    https://support.appriver.com/kb/a669/enable-dns-request-logging-for-windows-20032008.aspx

    regards
    mod
  • 0
    I have enable the DNS logging but there is no useful information..

    22-8-2014 14:44:04 1234 PACKET  0000000002E1FB00 UDP Snd 192.52.178.30   e954   Q [0000       NOERROR] A     (24)blackhawksprouniformshop(3)com(0)
    UDP question info
      Socket = 1288
      Remote addr 192.52.178.30, port 53
      Time Query=0, Queued=0, Expire=0
      Buf length = 0x0500 (1280)
      Msg length = 0x002e (46)
      Message:
        XID       0xe954
        Flags     0x0000
          QR        0 (QUESTION)
          OPCODE    0 (QUERY)
          AA        0
          TC        0
          RD        0
          RA        0
          Z         0
          RCODE     0 (NOERROR)
        QCOUNT    1
        ACOUNT    0
        NSCOUNT   0
        ARCOUNT   0
        QUESTION SECTION:
        Offset = 0x000c, RR count = 0
        Name      "(24)blackhawksprouniformshop(3)com(0)"
          QTYPE   A (1)
          QCLASS  1
        ANSWER SECTION:
          empty
        AUTHORITY SECTION:
          empty
        ADDITIONAL SECTION:
          empty

    The IP-adres above is a blacklisted IP.

    Has somebody got some IP to pin point the problem.
  • 0
    Can you change your DHCP Options for the clients? You can try the utm as the first dns server. For your internal Domain, you can define a forwarder in the utm.

    With this configuration you can see directly which client has made the request [;)]

    regards
    mod
  • 0 in reply to mod2402
    Well you havnt enabled DNS logging correctly.... looks like you havnt set it to incomming requests.

    Ensure that the Incoming, UDP, Queries/Transfers, and Request check boxes are selected.

    This is what we get logged in the text file

    14/08/2014 5:08:00 PM 0FF0 PACKET  0000000013323A00 UDP Rcv 10.72.124.162   fefe   Q [0001   D   NOERROR] A      (3)www(7)youtube(3)com(0)


    After "Rcv" it shows the ip address that the domain controller received the DNS request from.