ATP C2/Generic-A Cloudflare 188.114.97.3 ?

same here.

Quelle ist ein eigener Mastodon Server

2022:12:11-23:15:50 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#55357 (mastodon.lol): view default: rpz IP NXDOMAIN rewrite mastodon.lol via 32.3.97.114.188.rpz-ip.rpz
2022:12:11-23:15:50 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#56326 (mastodon.lol): view default: rpz IP NXDOMAIN rewrite mastodon.lol via 32.3.97.114.188.rpz-ip.rpz
2022:12:11-23:15:55 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#49629 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz
2022:12:11-23:15:55 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#47000 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz
2022:12:11-23:15:55 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#55935 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz
2022:12:11-23:16:00 UTMFIREWALL named[6673]: rpz: client @0xaf8bc20 xxx.xxx.xxx.xxx#37920 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz
2022:12:11-23:16:00 UTMFIREWALL named[6673]: rpz: client @0xaf8bc20 xxx.xxx.xxx.xxx#48306 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz

ich habe den gleichen Spass,

Bei Virustotal wird die IP nur von Sophos und Webroot als malicious eingestuft, gestern waren es noch 3 Anbieter, ich tippe sehr stark auf FalsePositive. die zugrundeliegenden DNS Anfragen sehen jetzt recht unauffällig aus bei mir.

Gibt es eigentlich eine direkte Stelle bei Sophos, wo man solche FalsePositives zwecks erneuter Überprüfung melden kann?

bei uns auch.

Same here. Sieht sehr stark nach false positive aus...

Bei uns das selbe

unser DNS melde erzeugt bei anfragen an den/die Google-DNS ebenfalls eine Threat Protection

2022:12:12-00:15:26 fw01 afcd[27143]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="x.x.x.x" dstip="8.8.8.8" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="188.114.97.3" url="-" action="drop"
2022:12:12-00:15:28 fw01 afcd[27143]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="x.x.x.x" dstip="8.8.4.4" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="188.114.97.3" url="-" action="drop"
2022:12:12-01:30:13 fw01 afcd[6711]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="x.x.x.x" dstip="8.8.8.8" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="188.114.97.3" url="-" action="drop"
2022:12:12-01:30:15 fw01 afcd[6711]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="x.x.x.x" dstip="8.8.4.4" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="188.114.97.3" url="-" action="drop"

Gleiches Verhalten bei zwei Kunden. Core Server als DNS an 188.114.97.3

Hier auch, zwei DNS Server und diverse Unifi APs auf 188.114.97.3 über Sophos UTM

Auch hier, immer die IP  188.114.97.3. Protokoll 17, DNS-Anfragen. Immer wenn irgendwie Cloudflare im Spiel ist.

Same here, hundreds of ATP alerts for the IP 188.114.97.3.

LuCar Toni  What do you and/or the other sophos guys think about it

Hallo,

kann mir jemand erklären, warum im Sophos-Protokoll das so ausschaut:

srcip: der angefragte DNS-Server

dstip: meine öffentliche IP

host: die 188.114.97.3

Vielen Dank