Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 3162 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP C2/Generic-A from out Mailserver

Holy
Hello,

today i found this on ATP log.

07:34:06 IPTables TCP C2/Generic-A
192.168.2.3 (Our Exchange Server) : 25

91.230.25.175 (Some Provider in Ukraine) : 56600
drop

same enty for 07:34:06 and 7:34:12

we checked our Windows2012R2 Exchange with Sophos Virus Removal Tool but found nothing.  

any suggestion what it could be an howe to troubleshoot it?

the 91.230.25.175 is in a Spam Database, so could it be some kind of Folse Positive because of spam? or can it be that someone has tried to send Spams from inside?

Firewall, SMTP, IPs logs have no Results about this IP...

thank you


This thread was automatically locked due to age.
  • 0
    Hi, it's probably a false positive due to spam.

    From what I've seen, most of the ATP events are based on blacklisted IPs and any communication with those IPs will trigger alerts.

    Barry
  • 0 in reply to BarryG
    Hello, that can be, but then i would see some antispam event in the SMTP Proxy? i looked on MailManager and found nothing at that time, i also tried to search for that IP in the SMTP Proxy log = no results. but it can be that this message was rejected as confirmed spam without leaving any logs... 

    it was source port 25 , so i think it could be a false positive due to spam.


    Hi, it's probably a false positive due to spam.

    From what I've seen, most of the ATP events are based on blacklisted IPs and any communication with those IPs will trigger alerts.

    Barry
  • 0
    Moved to Mail Protection forum.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I'm getting ATP alerts which I think (hope) are false positives too.

      User/Host Threat Name Destination Events Origin  
    1 192.168.1.10 C2/Generic-A 94.45.41.34 1 Iptables Create an exception
    2 192.168.1.10 C2/Generic-A 46.63.98.190 4 Iptables Create an exception
    3 203.0.178.191 C2/Generic-A ip-194-8-147-70.intelekt.cv.ua 1 AFCd Create an exception
    4 203.215.29.191 C2/Generic-A ip-194-8-147-70.intelekt.cv.ua 1 AFCd Create an exception
    5 192.168.1.10 C2/Generic-A 91.240.97.141 3 Iptables Create an exception
    6 192.168.1.10 C2/Generic-A 77.122.125.137 1 Iptables Create an exception
    7 192.168.1.10 C2/Generic-A 31.41.90.230 1 Iptables Create an exception
    8 192.168.1.10 C2/Generic-A 195.154.233.66 13 Iptables Create an exception


    192.168.1.10 is my machine. I run Sophos Anti-Virus for Mac and sometimes it finds something, sometimes not. When it does find something it is a zipped .exe file in my email's Spam folder (so not opened). And I'm on a Mac anyway.

    Isn't C2/Generic-A related to Windows only?

    Running 9.312-8
Unfiltered HTML