Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Security Incident?

Hi zusammen,

auf der Firewall eines Kunden habe ich seit Tagen eine durchgehende Verbindung zur IP 4.27.7.126 und/oder 8.254.15.126 die unmengen an Daten (60GB in 2Tagen) herunterläd.
Laut "Flow Monitor" werden die Anfragen allerdings nie nach intern weitergeleitet. Als "Application" wird "BITS" angeziegt, weshalb ich das auch erstmal ein paar Tage beobachtet habe, es sind aber definitiv keine Windows Updates.

Das Praktische: an der ASG hängen 3 DSL Anschlüsse und nur über einen wird diese Verbindung aufgebaut. Isoliere ich diesen einen DSL Anschluss vom internen netz, werden trotzdem Daten heruntergeladen.... trenne ich diese DSL Leitung ist ruhe. Verbinde ich sie wieder dauert es keine 10Sekunden und es geht wieder los.

Hat das schonmal jemand bemerkt?

Screenshots kann ich gerade nicht schicken, da ich die Leitung gerade nicht abschalten kann. Werde es dann heute abend nachreichen.
Die IP-Adressen tauchen auch in keinem LOG auf ?!

Danke schonmal.

Gruß


EDIT:
sorry, total vergessen:
es handelt sich um eine ASG220 mit v8.301


This thread was automatically locked due to age.
Parents
  • Vor 3 Jahren habe ich so was gesehen.

    (Sorry, my German-speaking brain just stopped. [:(])

    After fighting this for hours, I finally discovered that the solution was simple - restore a configuration backup from before the problem appeared.  I suppose I had made some configuration error that turned the external interface into some sort of public HTTP relay.

    MfG - Bob (Bitte, auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Vor 3 Jahren habe ich so was gesehen.

    (Sorry, my German-speaking brain just stopped. [:(])

    After fighting this for hours, I finally discovered that the solution was simple - restore a configuration backup from before the problem appeared.  I suppose I had made some configuration error that turned the external interface into some sort of public HTTP relay.

    MfG - Bob (Bitte, auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • Könnte es sein, das das irgeinein Autoupdater von einem Client auslöst? Das gabs schon mal mit Adobe Acrobat Readern und anderer Software deren Autoupdate Mechanismus nicht mit dem AV Scan zurecht kommt und daher immer wieder einen neuen Download auslöst.

    Du könntest versuchen, den AV Scan mal temporär abzuschalten (wenn keiner/wenige User da sind) und schauen ob es dann auf hört oder sinnige Logeinträge zu finden sind. Oder prüfen ob die Exceptions, die mittlerweile in einer Neuinstallation mit ausgeliefert werden, drin sind.

    Ist dort bei den drei Leitungen auch sowas wie Multipathregeln oder Requestrouting im Spiel?

    Vor dem Backup-Einspielen würde ich erst mal nen Rebbot versuchen und sehen ob das was bringt.

    Viele Grüße
    Manfred