This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection

Hallo Community,

bei mir hat die Advanced Threat Protection diese Meldung ausgegeben:

  Benutzer/Host Bedrohungsname Ziel Ereignisse Ursprung  
1 xxx.xxx.xxx.xxx C2/Generic-A 185.7.214.104 1 Iptables C2/Generic-A","origin":"Iptables","sum_events_str":"1","cnt_srcip_int":"1","threaturl":""threatname":"C2/Generic-A","cnt_srcip_str":"1","cnt_srcip_per":"100.00","icon_exception":{"icon":"core/img/icons/plus.png","name":"exception","title":"Eine">www.sophos.com/.../plus.png","name":"exception","title":"Eine Ausnahme erstellen"},"first_seen":"2022-08-07 16:22:42","idx":1,"sum_events_per":"100.00"}, update_name: "aptp_exception"});' id="ELEMENT_exception_1">

Dieses Event war einmalig gestern, Sonntag 2022-08-07 16:22:42

Nun bin ich natürlich auf der Suche, was hier passiert ist. Quelle ist unser Mailserver. Der Virenscan läuft noch, hat aber bisher keinen Fund gemeldet.

Jetzt hab ich im Firewall-Log gesehen, dass diese Seite auch vorher schon aufgerufen und blockiert wurde, ohne dass eine Meldung kam.

Im Gegensatz zur Meldung der Advanced Threat Protection steht im Log die 185.7.214.104 als Source:

2022:08:06-03:30:04 mail-2 ulogd[23255]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth1" srcmac="f8:75:88:8c:bb:7a" dstmac="XX:XX:XX:XX:XX:XX" srcip="185.7.214.104" dstip="xxx.xxx.xxx.xxx" proto="6" length="60" tos="0x00" prec="0x00" ttl="58" srcport="37028" dstport="443" tcpflags="SYN"

Das wiederum würde bedeuten, dass der Angriff von außen kam und blockert wurde.

Wie würdet ihr das deuten?



This thread was automatically locked due to age.
Parents Reply Children
  • Ich würde dir dringend vorschlagen, weiter in diese Thematik vorzudringen. https://www.virustotal.com/gui/file/d38d582ccd94996827731b6011c5acb99c976e26ea2233c258e2b385df81b733/behavior/C2AE

    Das sieht nicht gut aus. 

    __________________________________________________________________________________________________________________

  • DNAT ist nicht per se unsicher aber du machst damit halt Löcher in eine Firewall um meist von extern nach intern durchzugreifen. Vor allem in dem klassischen Setup, Mailserver intern aber mit DNAT alles von extern erreichbar. Das Ding steht damit praktisch ungeschützt im Internet, wenn das dann noch jemand hackt (weil Updates brauchen wir eh nicht, steht ja "hinter" Firewall), dann hast einen Intruder im Netz.

    Wenn du wirklich einen Mailserver selbst betrieben willst, dann das Ding in eine DMZ, immer sauber alle Updates einspielen und ordentlich Backupen. Eventuell auch die Webserver Protection der Firewall für Webzugriff andenken. Alternativ den Zugang der Clients zum Mailserver nur per VPN erlauben und SMTP komplett über die Mail Protection der Firewall abhandelt.

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria