This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection

Hallo Community,

bei mir hat die Advanced Threat Protection diese Meldung ausgegeben:

  Benutzer/Host Bedrohungsname Ziel Ereignisse Ursprung  
1 xxx.xxx.xxx.xxx C2/Generic-A 185.7.214.104 1 Iptables C2/Generic-A","origin":"Iptables","sum_events_str":"1","cnt_srcip_int":"1","threaturl":""threatname":"C2/Generic-A","cnt_srcip_str":"1","cnt_srcip_per":"100.00","icon_exception":{"icon":"core/img/icons/plus.png","name":"exception","title":"Eine">www.sophos.com/.../plus.png","name":"exception","title":"Eine Ausnahme erstellen"},"first_seen":"2022-08-07 16:22:42","idx":1,"sum_events_per":"100.00"}, update_name: "aptp_exception"});' id="ELEMENT_exception_1">

Dieses Event war einmalig gestern, Sonntag 2022-08-07 16:22:42

Nun bin ich natürlich auf der Suche, was hier passiert ist. Quelle ist unser Mailserver. Der Virenscan läuft noch, hat aber bisher keinen Fund gemeldet.

Jetzt hab ich im Firewall-Log gesehen, dass diese Seite auch vorher schon aufgerufen und blockiert wurde, ohne dass eine Meldung kam.

Im Gegensatz zur Meldung der Advanced Threat Protection steht im Log die 185.7.214.104 als Source:

2022:08:06-03:30:04 mail-2 ulogd[23255]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth1" srcmac="f8:75:88:8c:bb:7a" dstmac="XX:XX:XX:XX:XX:XX" srcip="185.7.214.104" dstip="xxx.xxx.xxx.xxx" proto="6" length="60" tos="0x00" prec="0x00" ttl="58" srcport="37028" dstport="443" tcpflags="SYN"

Das wiederum würde bedeuten, dass der Angriff von außen kam und blockert wurde.

Wie würdet ihr das deuten?



This thread was automatically locked due to age.