Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 38 subscribers
  • Views 770 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Security Incident?

Webmaschder
Hi zusammen,

auf der Firewall eines Kunden habe ich seit Tagen eine durchgehende Verbindung zur IP 4.27.7.126 und/oder 8.254.15.126 die unmengen an Daten (60GB in 2Tagen) herunterläd.
Laut "Flow Monitor" werden die Anfragen allerdings nie nach intern weitergeleitet. Als "Application" wird "BITS" angeziegt, weshalb ich das auch erstmal ein paar Tage beobachtet habe, es sind aber definitiv keine Windows Updates.

Das Praktische: an der ASG hängen 3 DSL Anschlüsse und nur über einen wird diese Verbindung aufgebaut. Isoliere ich diesen einen DSL Anschluss vom internen netz, werden trotzdem Daten heruntergeladen.... trenne ich diese DSL Leitung ist ruhe. Verbinde ich sie wieder dauert es keine 10Sekunden und es geht wieder los.

Hat das schonmal jemand bemerkt?

Screenshots kann ich gerade nicht schicken, da ich die Leitung gerade nicht abschalten kann. Werde es dann heute abend nachreichen.
Die IP-Adressen tauchen auch in keinem LOG auf ?!

Danke schonmal.

Gruß


EDIT:
sorry, total vergessen:
es handelt sich um eine ASG220 mit v8.301


This thread was automatically locked due to age.
  • 0
    Vor 3 Jahren habe ich so was gesehen.

    (Sorry, my German-speaking brain just stopped. [:(])

    After fighting this for hours, I finally discovered that the solution was simple - restore a configuration backup from before the problem appeared.  I suppose I had made some configuration error that turned the external interface into some sort of public HTTP relay.

    MfG - Bob (Bitte, auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Könnte es sein, das das irgeinein Autoupdater von einem Client auslöst? Das gabs schon mal mit Adobe Acrobat Readern und anderer Software deren Autoupdate Mechanismus nicht mit dem AV Scan zurecht kommt und daher immer wieder einen neuen Download auslöst.

    Du könntest versuchen, den AV Scan mal temporär abzuschalten (wenn keiner/wenige User da sind) und schauen ob es dann auf hört oder sinnige Logeinträge zu finden sind. Oder prüfen ob die Exceptions, die mittlerweile in einer Neuinstallation mit ausgeliefert werden, drin sind.

    Ist dort bei den drei Leitungen auch sowas wie Multipathregeln oder Requestrouting im Spiel?

    Vor dem Backup-Einspielen würde ich erst mal nen Rebbot versuchen und sehen ob das was bringt.

    Viele Grüße
    Manfred
  • 0
    Manfred figured it out!  I wasn't sure which way the downloading was going, and I had forgotten about the Astaro's eating my bandwidth thread.

    MfG - Bob (Bitte, auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Ha, tatsache :-)
    es war wohl der AV-Scan...  ist ja verrückt. Obwohl kein Client mehr verbunden war, wurden noch Daten heruntergeladen.
    Ich habe den AV Scan deaktiviert und das über Nacht so stehen lassen. Heute morgen war der Download dann zu Ende und ich konnte den AV wieder aktivieren.

    jetzt gehts wieder ohne Probs. Aber LOG Einträge habe ich immernoch keine?! Nunja, hauptsache es tut wieder so wie es soll.

    Vielen Dank euch beiden.

    Gruß, Webmaschder
  • 0 in reply to Webmaschder
    Das wird aber nur eine temporäre Lösung sein. Wenn die fragliche Software das nächste mal denkt es wäre an Zeit Updates zu besorgen wird das Problem wieder auftreten. Es ist zwar etwas aufwändig, aber im Contefilterlog (oder in neueren Versionen das Websecuritylog) lassen sich sicherlich Hinweise finden.

    Viele Grüße
    Manfred
Unfiltered HTML