Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Laut Firewall Trojaner auf Server ?

Hallo Forum,

ich habe jetzt zweimal folgende Meldung von der ASG 8.306 erhalten:


Intrusion Prevention Alert

An intrusion has been detected. The packet has *not* been dropped.
If you want to block packets like this one in the future,
set the corresponding intrusion protection rule to "drop" in WebAdmin.
Be careful not to block legitimate traffic caused by false alerts though.

Details about the intrusion alert:

Message........: INDICATOR-COMPROMISE Suspicious .ru dns query
Details........: www.snort.org/.../15168
Time...........: 2012:09:26-22:26:21
Packet dropped.: no
Priority.......: high
Classification.: A Network Trojan was detected
IP protocol....: 17 (UDP)

Source IP address: *.*.1.240 (server.dahoam.lan)
Source port: 53501

Destination IP address: *.*.1.250 (firewall)
Destination port: 53 (domain)
        
Benachrichtigung von der Firewall
=================================

-- 
System Uptime      : 5 days 14 hours 0 minutes
System Load        : 0.00
System Version     : Astaro Security Gateway 8.306

Please refer to the manual for detailed instructions.


Was haltet ihr davon? Ich hab den Server runtergefahren und mit zwei Scannern gecheckt, nichts auffälliges. Ist ein CentOS System. Auch die ganzen Windows Clients hab ich mal durchlaufen lassen, nichts.

Kann ich noch was probieren oder ist es wirklich eine Falschmeldung?

Markus


This thread was automatically locked due to age.
  • Hey,
    na schon mal gut das die Astrao da was gemerkt hat.

    Wenn die Scans alle sauber waren und auch sonst nichts auffällig war würde ich das abhaken. 
    Sicherheitshalber würde ich die Einstellungen des IPS und Network-Security mal nachsehen und ggf. anpassen. Steht ja auch in der Message.

    Naja und wachsam sein! Vielleicht ab und zu mal das Log nach auffälligen Traffic kontrollieren.
  • Mich macht halt so stutzig, dass das vom Linux Server kommen soll. Wo sollte der einen Trojaner herhaben?!?

    Ich werd das jetzt mal ne Weile genauer beobachten. Denke aber auch mittlerweile, dass das ne Ente war. [:)]