Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Security Incident?

Hi zusammen,

auf der Firewall eines Kunden habe ich seit Tagen eine durchgehende Verbindung zur IP 4.27.7.126 und/oder 8.254.15.126 die unmengen an Daten (60GB in 2Tagen) herunterläd.
Laut "Flow Monitor" werden die Anfragen allerdings nie nach intern weitergeleitet. Als "Application" wird "BITS" angeziegt, weshalb ich das auch erstmal ein paar Tage beobachtet habe, es sind aber definitiv keine Windows Updates.

Das Praktische: an der ASG hängen 3 DSL Anschlüsse und nur über einen wird diese Verbindung aufgebaut. Isoliere ich diesen einen DSL Anschluss vom internen netz, werden trotzdem Daten heruntergeladen.... trenne ich diese DSL Leitung ist ruhe. Verbinde ich sie wieder dauert es keine 10Sekunden und es geht wieder los.

Hat das schonmal jemand bemerkt?

Screenshots kann ich gerade nicht schicken, da ich die Leitung gerade nicht abschalten kann. Werde es dann heute abend nachreichen.
Die IP-Adressen tauchen auch in keinem LOG auf ?!

Danke schonmal.

Gruß


EDIT:
sorry, total vergessen:
es handelt sich um eine ASG220 mit v8.301


This thread was automatically locked due to age.
Parents
  • Manfred figured it out!  I wasn't sure which way the downloading was going, and I had forgotten about the Astaro's eating my bandwidth thread.

    MfG - Bob (Bitte, auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Ha, tatsache :-)
    es war wohl der AV-Scan...  ist ja verrückt. Obwohl kein Client mehr verbunden war, wurden noch Daten heruntergeladen.
    Ich habe den AV Scan deaktiviert und das über Nacht so stehen lassen. Heute morgen war der Download dann zu Ende und ich konnte den AV wieder aktivieren.

    jetzt gehts wieder ohne Probs. Aber LOG Einträge habe ich immernoch keine?! Nunja, hauptsache es tut wieder so wie es soll.

    Vielen Dank euch beiden.

    Gruß, Webmaschder
  • Das wird aber nur eine temporäre Lösung sein. Wenn die fragliche Software das nächste mal denkt es wäre an Zeit Updates zu besorgen wird das Problem wieder auftreten. Es ist zwar etwas aufwändig, aber im Contefilterlog (oder in neueren Versionen das Websecuritylog) lassen sich sicherlich Hinweise finden.

    Viele Grüße
    Manfred
Reply
  • Das wird aber nur eine temporäre Lösung sein. Wenn die fragliche Software das nächste mal denkt es wäre an Zeit Updates zu besorgen wird das Problem wieder auftreten. Es ist zwar etwas aufwändig, aber im Contefilterlog (oder in neueren Versionen das Websecuritylog) lassen sich sicherlich Hinweise finden.

    Viele Grüße
    Manfred
Children
No Data