Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 38 subscribers
  • Views 982 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ZeroAccess Botnet

Manuel
hallo,
bei einer neu erhaltener IP-Adresse im 213.221.192.0/18 Netz blockt die UTM120 viele Anfragen von extern auf den Port 16465, welcher vom ZeroAccess Botnet verwendet wird.

Die IP-Adresse erhielten wir erst letzte Woche.
Wurde die IP-Adresse eventuell vom vor Besitzer als Steuer-Server benutzt.
Falls ja, welches weitere Vorgehen empfiehlt sich?

Im Anhang befindet sich der Log-Ausschnitt.

***.***.***.*** entspricht unserer IP-Adresse in den Logs

Viele Grüsse


This thread was automatically locked due to age.
  • 0
    Hi gca,
    kannst du mal schauen, ob es UDP oder TCP Anfragen sind?

    UDP: Apple
    Real-Time Transport Protocol (RTP),
    Real-Time Control Protocol (RTCP). Game Center


    Auffällig ist aber, dass die Anfragen von IPs weltweit kommen und diese IPs die die Anfragen stellen, teilweise auf Blacklisten gelistet sind. Das spricht schon sehr, für deine Vermutung bzw. bestätigt es sehr.

    Nice greetings
  • 0
    Kann/muss man das irgendwo melden?
    Die Antwort vom ISP leider auch nicht hilfreich.
    Leider besitzen wir keinerlei Informationen zu welchem zweck die IP-Adresse früher benutzt wurde.
    Wir empfehlen Ihnen jedoch den Port 16465 ggf. auf der Firewall zu Blockieren.
     
    Naja, solange wir die IP nicht zwingend benötigen, lass ich das mal so.
Unfiltered HTML