This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A threat has been detected in your network: C2/Monero-A

Guten Morgen,

ich bekomme alle paar Tage eine Meldung, dass die Firewall Traffic von einem unserer Terminalserver geblockt hat.

Ein intensiver Scan der Maschine mit unserem Virenprogramm ergab keinen Fund.
Eine Recherche zu "Monero" ergab, dass es sich um ein Crypto Botnetz handeln könnte, alle dort aufgeführten Prozesse und Auffälligkeiten treffen bei uns nicht zu.
AUch der Link direkt von Sophos in der Fehlermeldung angegeben: https://www.sophos.com/error/404.aspx?aspxerrorpath=/en-us/threat-center/threat-analyses/viruses-and-spyware/C2~Monero-A.aspx führt ins leere...

Hat einer von euch eine Idee / Vermutung? Wie würdet ihr weiter damit umgehen?

Vielen Dank!

This thread was automatically locked due to age.

Top Replies

Dirk B over 2 years ago +1

Ich kann dieses Verhalten bisher auch für zwei MacBookPro bei wenigsten einem Kunden bestätigen. Danke an Martin, für das schreiben diese Beitrags, ich hatte mich bisher geziert. Da bisher "nur" Apple…

Parents

0 Dirk B over 2 years ago

Ich kann dieses Verhalten bisher auch für zwei MacBookPro bei wenigsten einem Kunden bestätigen.
Danke an Martin, für das schreiben diese Beitrags, ich hatte mich bisher geziert. Da bisher "nur" Apple-Geräte aufgefallen sind, habe ich diese erst einmal im WLAN isoliert.

Des Weiteren habe ich mir jetzt einmal die Mühe gemacht der Domäne zu folgen:

Domain Name: 939B9E28155A3.ORG
Registry Domain ID: D402200000015719866-LROR
Registrar WHOIS Server: whois.dynadot.com
Registrar URL: http://www.dynadot.com
Updated Date: 2021-08-27T00:03:28Z
Creation Date: 2021-01-15T00:47:35Z
Registry Expiry Date: 2022-01-15T00:47:35Z
Registrar Registration Expiration Date:
Registrar: Dynadot, LLC
Registrar IANA ID: 472
Registrar Abuse Contact Email: abuse@dynadot.com
Registrar Abuse Contact Phone: +1.6502620100
Reseller:
Domain Status: clientTransferProhibited icann.org/epp
Registrant Organization:
Registrant State/Province: California
Registrant Country: US

Was aktuell zur IP 72.26.218.86 führt:

NetRange:       72.26.192.0 - 72.26.223.255
CIDR:           72.26.192.0/19
NetName:        VOXEL-NET-7
NetHandle:      NET-72-26-192-0-1
Parent:         NET72 (NET-72-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS29791
Organization:   Internap Holding LLC (IC-1425)
RegDate:        2008-08-20
Updated:        2018-12-07
Ref:            rdap.arin.net/.../72.26.192.0


OrgName:        Internap Holding LLC
OrgId:          IC-1425
Address:        250 Williams Street
Address:        Suite E100
City:           Atlanta
StateProv:      GA
PostalCode:     30303
Country:        US
RegDate:        2018-11-09
Updated:        2020-07-20
Ref:            rdap.arin.net/.../IC-1425

Habe jetzt mal versucht den Support von Internap Holding direkt zu kontaktieren, die haben da eine Chat-Funktion.
Allerdings habe ich meine Zweifel, dass ich da in Absehbarer Zeit eine Rückmeldung bekomme.

Reply

0 Dirk B over 2 years ago

Des Weiteren habe ich mir jetzt einmal die Mühe gemacht der Domäne zu folgen:

Domain Name: 939B9E28155A3.ORG
Registry Domain ID: D402200000015719866-LROR
Registrar WHOIS Server: whois.dynadot.com
Registrar URL: http://www.dynadot.com
Updated Date: 2021-08-27T00:03:28Z
Creation Date: 2021-01-15T00:47:35Z
Registry Expiry Date: 2022-01-15T00:47:35Z
Registrar Registration Expiration Date:
Registrar: Dynadot, LLC
Registrar IANA ID: 472
Registrar Abuse Contact Email: abuse@dynadot.com
Registrar Abuse Contact Phone: +1.6502620100
Reseller:
Domain Status: clientTransferProhibited icann.org/epp
Registrant Organization:
Registrant State/Province: California
Registrant Country: US

Was aktuell zur IP 72.26.218.86 führt:

NetRange:       72.26.192.0 - 72.26.223.255
CIDR:           72.26.192.0/19
NetName:        VOXEL-NET-7
NetHandle:      NET-72-26-192-0-1
Parent:         NET72 (NET-72-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS29791
Organization:   Internap Holding LLC (IC-1425)
RegDate:        2008-08-20
Updated:        2018-12-07
Ref:            rdap.arin.net/.../72.26.192.0


OrgName:        Internap Holding LLC
OrgId:          IC-1425
Address:        250 Williams Street
Address:        Suite E100
City:           Atlanta
StateProv:      GA
PostalCode:     30303
Country:        US
RegDate:        2018-11-09
Updated:        2020-07-20
Ref:            rdap.arin.net/.../IC-1425

Children

0 NIC0 over 2 years ago in reply to Dirk B

Bei uns wurde das ganze von einem Windows 10 Notebook ausgelöst. Ich kann es allerdings auch nicht mehr nachstellen.
Cancel
Vote Up 0 Vote Down

Cancel
0 NIC0 over 2 years ago in reply to NIC0

Kurzes Update. Ich kann das ganze doch nachstellen. Ausgelöst wird es definitiv durch die Seite Stern Punkt de. Mit eingeschalteten UBlock wird es verhindert. Wird das ganze durch Werbung der Seite hervorgerufen? (Auf einem Windows 10 Notebook)
Cancel
Vote Up +1 Vote Down

Cancel
0 Dirk B over 2 years ago in reply to NIC0

Danke für das ausprobieren.
Cancel
Vote Up 0 Vote Down

Cancel
0 justanotheradmin over 2 years ago in reply to NIC0

Ich gehe stark davon aus, dass es die Banner sind. Ich habe jetzt einfach Stern Punkt de bei uns auf die Blacklist gepackt. Seitdem herrscht Ruhe. Die Kollegen werden schon Alternativen zu der Seite finden.
Cancel
Vote Up +1 Vote Down

Cancel
0 Filip Waluda over 2 years ago in reply to Dirk B

Gabs schon eine Info von Internap?
Cancel
Vote Up 0 Vote Down

Cancel