Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 3161 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP C2/Generic-A from out Mailserver

Holy
Hello,

today i found this on ATP log.

07:34:06 IPTables TCP C2/Generic-A
192.168.2.3 (Our Exchange Server) : 25

91.230.25.175 (Some Provider in Ukraine) : 56600
drop

same enty for 07:34:06 and 7:34:12

we checked our Windows2012R2 Exchange with Sophos Virus Removal Tool but found nothing.  

any suggestion what it could be an howe to troubleshoot it?

the 91.230.25.175 is in a Spam Database, so could it be some kind of Folse Positive because of spam? or can it be that someone has tried to send Spams from inside?

Firewall, SMTP, IPs logs have no Results about this IP...

thank you


This thread was automatically locked due to age.
Parents
  • 0
    I'm getting ATP alerts which I think (hope) are false positives too.

      User/Host Threat Name Destination Events Origin  
    1 192.168.1.10 C2/Generic-A 94.45.41.34 1 Iptables Create an exception
    2 192.168.1.10 C2/Generic-A 46.63.98.190 4 Iptables Create an exception
    3 203.0.178.191 C2/Generic-A ip-194-8-147-70.intelekt.cv.ua 1 AFCd Create an exception
    4 203.215.29.191 C2/Generic-A ip-194-8-147-70.intelekt.cv.ua 1 AFCd Create an exception
    5 192.168.1.10 C2/Generic-A 91.240.97.141 3 Iptables Create an exception
    6 192.168.1.10 C2/Generic-A 77.122.125.137 1 Iptables Create an exception
    7 192.168.1.10 C2/Generic-A 31.41.90.230 1 Iptables Create an exception
    8 192.168.1.10 C2/Generic-A 195.154.233.66 13 Iptables Create an exception


    192.168.1.10 is my machine. I run Sophos Anti-Virus for Mac and sometimes it finds something, sometimes not. When it does find something it is a zipped .exe file in my email's Spam folder (so not opened). And I'm on a Mac anyway.

    Isn't C2/Generic-A related to Windows only?

    Running 9.312-8
Reply
  • 0
    I'm getting ATP alerts which I think (hope) are false positives too.

      User/Host Threat Name Destination Events Origin  
    1 192.168.1.10 C2/Generic-A 94.45.41.34 1 Iptables Create an exception
    2 192.168.1.10 C2/Generic-A 46.63.98.190 4 Iptables Create an exception
    3 203.0.178.191 C2/Generic-A ip-194-8-147-70.intelekt.cv.ua 1 AFCd Create an exception
    4 203.215.29.191 C2/Generic-A ip-194-8-147-70.intelekt.cv.ua 1 AFCd Create an exception
    5 192.168.1.10 C2/Generic-A 91.240.97.141 3 Iptables Create an exception
    6 192.168.1.10 C2/Generic-A 77.122.125.137 1 Iptables Create an exception
    7 192.168.1.10 C2/Generic-A 31.41.90.230 1 Iptables Create an exception
    8 192.168.1.10 C2/Generic-A 195.154.233.66 13 Iptables Create an exception


    192.168.1.10 is my machine. I run Sophos Anti-Virus for Mac and sometimes it finds something, sometimes not. When it does find something it is a zipped .exe file in my email's Spam folder (so not opened). And I'm on a Mac anyway.

    Isn't C2/Generic-A related to Windows only?

    Running 9.312-8
Children
No Data
Unfiltered HTML