This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection

Hallo Community,

bei mir hat die Advanced Threat Protection diese Meldung ausgegeben:

  Benutzer/Host Bedrohungsname Ziel Ereignisse Ursprung  
1 xxx.xxx.xxx.xxx C2/Generic-A 185.7.214.104 1 Iptables C2/Generic-A","origin":"Iptables","sum_events_str":"1","cnt_srcip_int":"1","threaturl":""threatname":"C2/Generic-A","cnt_srcip_str":"1","cnt_srcip_per":"100.00","icon_exception":{"icon":"core/img/icons/plus.png","name":"exception","title":"Eine">www.sophos.com/.../plus.png","name":"exception","title":"Eine Ausnahme erstellen"},"first_seen":"2022-08-07 16:22:42","idx":1,"sum_events_per":"100.00"}, update_name: "aptp_exception"});' id="ELEMENT_exception_1">

Dieses Event war einmalig gestern, Sonntag 2022-08-07 16:22:42

Nun bin ich natürlich auf der Suche, was hier passiert ist. Quelle ist unser Mailserver. Der Virenscan läuft noch, hat aber bisher keinen Fund gemeldet.

Jetzt hab ich im Firewall-Log gesehen, dass diese Seite auch vorher schon aufgerufen und blockiert wurde, ohne dass eine Meldung kam.

Im Gegensatz zur Meldung der Advanced Threat Protection steht im Log die 185.7.214.104 als Source:

2022:08:06-03:30:04 mail-2 ulogd[23255]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth1" srcmac="f8:75:88:8c:bb:7a" dstmac="XX:XX:XX:XX:XX:XX" srcip="185.7.214.104" dstip="xxx.xxx.xxx.xxx" proto="6" length="60" tos="0x00" prec="0x00" ttl="58" srcport="37028" dstport="443" tcpflags="SYN"

Das wiederum würde bedeuten, dass der Angriff von außen kam und blockert wurde.

Wie würdet ihr das deuten?



This thread was automatically locked due to age.
  • Ich werde als ersten Schritt versuchen eine DMZ zu bauen und dann den Mailserver in diese zu verschieben.

    Wenn ihr sagt, ein DNAT ist unsicher, was würdet ihr denn als Alternative sehen?

  • Ich würde dir dringend vorschlagen, weiter in diese Thematik vorzudringen. https://www.virustotal.com/gui/file/d38d582ccd94996827731b6011c5acb99c976e26ea2233c258e2b385df81b733/behavior/C2AE

    Das sieht nicht gut aus. 

    __________________________________________________________________________________________________________________

  • Toni du hast Recht ich kenne nicht die ganze Historie, es kann sein das einige Stunden davor eine https-Session von der IP zum Mailserver aufgebaut wurde und damals das ATP die IP noch nicht als böse kannte.
    Aber spätestens als die IP im ATP bekannt war (also nach einem Signatur-Update) hätte sie doch wohl blockiert und dann wäre eher kein RST-Flag in einer laufende TCP-Sitzung protokolliert worden.

     Du kannst noch schauen ob zu jedem ATP-Log mit RST ein davor passender Firewall Log mit SYN auftritt (IPs und srcport und dstport müssen zusammenpassen).
    Aber klar, wenn der Mailserver bisher über DNAT von überall erreichbar war kann schon alles mögliche passiert sein.

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria

  • DNAT ist nicht per se unsicher aber du machst damit halt Löcher in eine Firewall um meist von extern nach intern durchzugreifen. Vor allem in dem klassischen Setup, Mailserver intern aber mit DNAT alles von extern erreichbar. Das Ding steht damit praktisch ungeschützt im Internet, wenn das dann noch jemand hackt (weil Updates brauchen wir eh nicht, steht ja "hinter" Firewall), dann hast einen Intruder im Netz.

    Wenn du wirklich einen Mailserver selbst betrieben willst, dann das Ding in eine DMZ, immer sauber alle Updates einspielen und ordentlich Backupen. Eventuell auch die Webserver Protection der Firewall für Webzugriff andenken. Alternativ den Zugang der Clients zum Mailserver nur per VPN erlauben und SMTP komplett über die Mail Protection der Firewall abhandelt.

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria