Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 38 subscribers
  • Views 9451 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection Alert

DasBill
Hallo,

die Advanced Threat Protection meiner UTM meldete mir heute
folgendes für zwei meiner Server:

A threat has been detected in your network
The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

Details about the alert:

Threat name....: C2/Generic-A
Details........: C2/Generic-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutio
Traffic blocked: yes

Auszüge aus den Logs

hostfw ulogd[4651]: id="2022" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" action="drop" fwrule="63001" initf="eth1" threatname="C2/Generic-A" srcmac="0:c:29:70:5c:74" dstmac="0:c:29[:D]4:1d:1d" srcip="5.9.105.217" dstip="74.116.84.123" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="51652" dstport="80" tcpflags="RST"
 
hostfw ulogd[4651]: id="2022" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" action="drop" fwrule="63001" initf="eth1" threatname="C2/Generic-A" srcmac="0:c:29:37:30:e1" dstmac="0:c:29[:D]4:1d:1d" srcip="5.9.105.217" dstip="74.116.84.123" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="18792" dstport="80" tcpflags="RST" 

Allerdings sind beide Server Linux-basierend, ein False/Positiv?

Wäre über eure Meinungen dankbar.

VG - DasBill


This thread was automatically locked due to age.
  • 0
    Hi DasBill,
    Weils Linux ist, heißt ja nix.
    Google mal nach der Destination IP, die taucht häufig auf. Also warnt dich die ATP und blockt den Traffic.

    Mal ne Frage, wieso ist die Source IP ne öffentliche IP?

    Nice greetings
  • 0
    False/Positiv? Wo hast Du diesen Ausdruck her? 

    Es liegt im Rahmen der Möglichkeit, dass die UTM sich irrt und der Aufruf legitim ist, ebenso wie die Möglichkeit, dass diese Verbindung nicht legitim ist und die UTM die wahrscheinlichste Ursache meldet. Ein "false positive" Fund kann es nur sein, wenn er nach allen objektiven Beurteilungsmerkmalen ein legitimer Aufruf war. Das es Linuxserver sind, gehört definitiv nicht zu solchen Merkmalen. Hier sei zu beachten, dass aktuell die häufigsten "Infektionen" über Linux Server erfolgt.
  • 0
    Ich konnte auf den betroffenen Servern nichts unaufälliges entdecken,
    wie kann ich die Meldungen ausblenden ohne eine Ausnahme zu erstellen?

    Vielen Dank schon mal für eure Hilfe.
  • 0
    *lach* Gar nicht.
    Wenns dich stört, musste ATP abschalten.

    Deine Server bauen via Port 80 eine Verbindung auf bzw. versuchen es. Schau doch erst einmal genau nach, warum die Server das versuchen und was das für Ziele sind...

    Nice greetings
  • 0
    Ich konnte auf dem Server nichts finden was auf eine mögliche Kompromittierung deutet.
    Gemacht wurde zusammen mit einem bekannten Informatiker:

    Routing Tabellen auf Änderungen geprüft
    Alle aktiven Prozesse überprüft
    Aktive Netzwerkverbindungen geprüft
    Offene Ports überprüft
    Systemeinstellungen geprüft

    Alles ist aber passend.

    Hat jemand noch eine Idee wie ich weiter Vorgehen soll?
  • 0
    Kommen denn weiterhin die Meldungen?
    Ansonsten ganz nach ITIL: Risiko akzeptieren.
  • 0 in reply to K.N.
    Die Meldung vom 15.8 war die erste und letzte Meldung
    die reinkam.
  • 0
    Dann ganz klassisch: Weiter beobachten.

    Ggf. kannst Du ja hinterfragen, ob die Server überhaupt Port 80 ausgehend in alle Welt benötigen.
  • 0
    Hi DasBill,
    Habe auch eine UTM, welche dasselbe Ziel hat, von mehreren WAN-IPs, wo allerdings nicht drauf/hinter ist. Wird auch nicht vom Proxy verwendet. 

    hs18.name.com - 74.116.84.123

    Öffne ich die IP via Browser erscheint es richtig im Log.
    Ich gehe in diesem Fall von einem False/Positive aus.

    Ausnahme kannst du direkt erstellen, wenn du auf dem Dashboard der Network Protection bist und auf das kleine + Zeichen klickst.
    ATP.PNG

    Nice greetings
  • 0 in reply to GuyFawkes
    False/Positive

    false positive
Unfiltered HTML