Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 1 subscriber
  • Views 24904 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP reports DNS requests as malicious"

Chris69
Maybe it has something to do with this Thread - but I am not sure.

Since upgrading from 9.2x to 9.307 yesterday I do get ATP warnings:

e.g.
A threat has been detected in your network
The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

Details about the alert:

Threat name....: C2/Generic-A
Details........: C2/Generic-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutio
Time...........: 2015-02-10 08:24:53
Traffic blocked: no

Internal source IP address or host: 192.168.0.38

.38 and .39 are our internal DNS.

The logfiles shows following details: 

/var/log/aptp.log:2015:02:11-15:06:49 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.38" dstip="213.218.169.74" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="panthera.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:07:50 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="panthera.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:07:50 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="thomasius.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:09:50 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="panthera.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:09:50 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="thomasius.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:11:51 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="panthera.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:11:51 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="thomasius.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:13:51 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="panthera.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:13:51 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="thomasius.sytes.net" url="-" action="alert"



213.218.169.74 is our legal external DNS to which all unresolved DNS-Requests are forewarded.

panthera.sytes.net and thomasius.sytes.net are dynDNS entries for a custom Synology NAS with redirection to :5000 with a dedicated FW-Rule to allow traffic from the LAN to that host and port.

This construction was working flawlessly for months until the upgrade to 9.3x.

The questions are:

A) Are both these hosts on a blacklist and how could one remove them?

B) How could I check what is inside fwrule"63001"? An 
"iptables -nL -v --line-numbers"
 as usual is not helpful at this point.

C) Does the UTM depackage IP-Packets to look inside for a blacklisted string? Otherwise I cannot explain the declaration of simple DNS-Requests of blaclisted hosts not going to any C&C Server as "bad" 

D) Any ideas to stop this?

Thanx - Chris


This thread was automatically locked due to age.
Parents
  • 0
    Grüss di! [;)]

    yes and No:

    both hosts are private DynDNS, but one at DTAG and one at KabelDeutschland, both did chage their IP in the meantime but this does not matter for the ATP...

    I am afraid that the whole "sytes.net" is blacklisted - but in this case I should not be the only admin noticing it, should´nt I?
Reply
  • 0
    Grüss di! [;)]

    yes and No:

    both hosts are private DynDNS, but one at DTAG and one at KabelDeutschland, both did chage their IP in the meantime but this does not matter for the ATP...

    I am afraid that the whole "sytes.net" is blacklisted - but in this case I should not be the only admin noticing it, should´nt I?
Children
  • 0 in reply to Chris69
    Servus... :-)

    can you resolve your ip-adress with some online-tools to see, how big your ip-subnet is? At home i always get a ip similar to 1.2.3.x, only the last octet changes, so i think i'm in a very small one... but i know of huge subs (T-Online).

    Maybe the only way is to add an exception for the next few days and chack back later (false positive?!).