Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 4531 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection Alert - C2/Zbot-A

ErwinL
Hello,

I have a question about a Sophos UTM SG450.

Around every hour we get a message about a threat: C2/Zbot-A

Threat name....: C2/Zbot-A (SID: 26267)
Details........: C2/Zbot-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutions 
Time...........: 2014-08-22 11:43:44
Traffic blocked: yes

Internal source IP address or host: x.x.x.x (DNS Server)

What is the best way to find out what server is making the request to my DNS server ?

Thx in advanced


This thread was automatically locked due to age.
Parents
  • 0
    Can you change your DHCP Options for the clients? You can try the utm as the first dns server. For your internal Domain, you can define a forwarder in the utm.

    With this configuration you can see directly which client has made the request [;)]

    regards
    mod
  • 0 in reply to mod2402
    Well you havnt enabled DNS logging correctly.... looks like you havnt set it to incomming requests.

    Ensure that the Incoming, UDP, Queries/Transfers, and Request check boxes are selected.

    This is what we get logged in the text file

    14/08/2014 5:08:00 PM 0FF0 PACKET  0000000013323A00 UDP Rcv 10.72.124.162   fefe   Q [0001   D   NOERROR] A      (3)www(7)youtube(3)com(0)


    After "Rcv" it shows the ip address that the domain controller received the DNS request from.
Reply
  • 0 in reply to mod2402
    Well you havnt enabled DNS logging correctly.... looks like you havnt set it to incomming requests.

    Ensure that the Incoming, UDP, Queries/Transfers, and Request check boxes are selected.

    This is what we get logged in the text file

    14/08/2014 5:08:00 PM 0FF0 PACKET  0000000013323A00 UDP Rcv 10.72.124.162   fefe   Q [0001   D   NOERROR] A      (3)www(7)youtube(3)com(0)


    After "Rcv" it shows the ip address that the domain controller received the DNS request from.
Children
No Data