Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 72 replies
  • Subscribers 4 subscribers
  • Views 73114 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

crl.verisign.com Threat Protection false positives?

stealthmatt_01
Hi all,

We are seeing an increase in ATP notifications just today, in relation to *crl.verisign.com

This seems like its a certificate look up? Mulitplie UTMs are reporting this same threat with different clients, we have run malware bytes and full system AV scan and can't seem to find anything.

The one PC we did find a trojan, we have cleared and just now it has said the same IP tried to get to the same site? the Reason is both DNS and Proxy...


This thread was automatically locked due to age.
  • 0 in reply to corsairetc
    I posted already I found aptp version 9.2619


    Sorry, my bad...

    What does the ATP log say?

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0 in reply to twister5800
    Here it is. The live log says nothing. Last entry I had from yesterday:

    2014:10:06-05:57:07 mail-2 named[4685]: rpz: client 192.168.101.229#63154 (csc3-2009-2-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2009-2-crl.verisign.com via csc3-2009-2-crl.verisign.com.rpz
    2014:10:06-06:26:56 mail-2 named[4685]: rpz: client 192.168.101.229#64746 (csc3-2009-2-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2009-2-crl.verisign.com via csc3-2009-2-crl.verisign.com.rpz
    2014:10:06-06:26:57 mail-2 named[4685]: rpz: client 192.168.101.229#62942 (CSC3-2004-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite CSC3-2004-crl.verisign.com via CSC3-2004-crl.verisign.com.rpz
    2014:10:06-07:40:05 mail-1 named[4712]: rpz: client 192.168.101.229#63192 (csc3-2004-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2004-crl.verisign.com via csc3-2004-crl.verisign.com.rpz
  • 0
    What about the Web Protection log? - That's where my 9.2 sees the sites that where blocked?

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0 in reply to corsairetc
    Here it is. The live log says nothing. Last entry I had from yesterday:


    Note that /var/log/aptp.log does not contain ATP hits through web proxy, these are in /var/log/http.log instead. You can search for them in Logging & Reporting > View Log Files > Search Log Files, select log file Web Filtering and in Search term field enter this phrase: 

    name="web request blocked, threat detected"


    Current ATP defs are 9.2627 from 2014-10-07 05:40 GMT and don't contain any Verisign's target.

    Ondrej
  • 0 in reply to twister5800
    I found this in web filtering log:
    2014:10:07-05:48:47 mail-1 httpproxy[5870]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.101.137" dstip="" user="xx" ad_domain="XX" statuscode="200" cached="1" profile="REF_HttProAccesPolic (Access policy)" filteraction="REF_HttCffRestrict (Restricted)" size="1581" request="0x20c67ce0" url="ocsp.verisign.com/.../ocsp-response"


    But this pass.
  • 0
    Thank you for advice, ondrej 
    I didn´t find nothing with name="web request blocked, threat detected" from todays log.
    I found threat from yesterday log with verisign
    2014:10:06-05:57:07 mail-2 httpproxy[5752]: id="0068" severity="info" sys="SecureWeb" sub="http" name="web request blocked, threat detected" action="block" method="GET" srcip="192.168.100.137" dstip="" user="xx" ad_domain="XX" statuscode="403" cached="0" profile="REF_HttProAccesPolic (Access policy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2582" request="0xa50e550" url="csc3-2009-2-crl.verisign.com/.../Generic-A"


    Maybe today is fixit with new ATP pattern, but why I have still info about 4 botnet traffic client in dashboard.
  • 0 in reply to corsairetc

    Maybe today is fixit with new ATP pattern, but why I have still info about 4 botnet traffic client in dashboard.


    It stays there for 72 hours, before it's reset:

    https://www.astaro.org/gateway-products/network-protection-firewall-nat-qos-ips/51754-clear-advanced-threat-protection-dashboard.html

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0 in reply to twister5800
    Ok, good to know. It is need to remove that atp exceptions or I can leave them ?
  • 0 in reply to corsairetc
    Ok, good to know. It is need to remove that atp exceptions or I can leave them ?


    With the patterns updated, you can remove them again :-)

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0 in reply to twister5800
    Ok I remove verisign adress from ATP exceptions
Unfiltered HTML