UTM9 blocking Botnet traffic... but EP not finding anything...

I started getting them after I updated my QNAP to the latest software. When I tried to use the links to the QNAP website in the QNAP box my mac mini started reporting the same issue. The reports from the QNAP (email from UTM) came in over a couple of days.

I also see a lerge number of attempts (many 10,000) to connect to sites in China. I disabled the default gateway on the QNAP device, which stopped that traffic. The QNAP is setup to provide iSCSI only interfaces internally.
I have raised the issue on the QNAP forum, butt hey don't seem that excited.

I have tried tracerouting to one of the sites in the report and that fails.

Ian M

Hmmm, so the hackers of the Chinese military have succeeded in planting a Trojan in the "Made in Taiwan" QNAP firmware?  Should we be surprised?

Cheers - Bob

In my case iptables is a german isp... not that that means it's not the Chinese.

I have the same behavior. I thought that if I installed the EP client, I could see which process was responsible for the traffic, but EP is oblivious. Digging through UTM shows (naturally) only the network info... with one difference: When I hadn't installed EP yet, the UTM thought my DNS server was the offending source, but only because it was asking OpenDNS to resolve the hostname for my desktop.

So how can we get the info we need? Short of running wireshark 24/7 and a logging process explorer...?

Same here... initially my DNS server was causing the error during resolution... now it's the client. Pretty much positive it's botnet traffic based on behavior, but none of the malware or av products I've tried have detected it.

Does anyone other than users monitor this forum? I was told to expect world-class support through the forums, on par with the paid-level enterprise support, but from the community. 

So far, I have a server with EP that cannot be uninstalled or reinstalled, thanks to the unique way Sophos does permissions groups and the uselessness of the product if those groups are removed, even after uninstallation/reinstalation. Thanks to the super-secret way this works, support will not assist me.

Now I also have alerts on my network, from a client running the EP client, but with no detections at all; no way to determine the cause.

And as always, apparently, Sophos community is silent on the subject. Creating a support-case in "MyUtm" brings me here, so how do we receive support? Or are we supposed to get wise and stop using this free-for-home product? I mean, after almost 2k views, there are only a handful of replies, and those only from people saying, "Yeah! Me too!"

Does anyone other than users monitor this forum? I was told to expect world-class support through the forums, on par with the paid-level enterprise support, but from the community.

I'm flattered somebody told you the community support was on par with Enterprise (It is in many ways but I digress...) but this forum is user to user primarily. There are a few Sophos employees who poke their heads in here from time to time but that is on their own time, they are not paid to do so.

Thanks to the super-secret way this works, support will not assist me.

 Support will not assist you because you don't have a maintenance contract with them, which the free version does not offer.

And as always, apparently, Sophos community is silent on the subject. Creating a support-case in "MyUtm" brings me here, so how do we receive support? Or are we supposed to get wise and stop using this free-for-home product? I mean, after almost 2k views, there are only a handful of replies, and those only from people saying, "Yeah! Me too!"

 The Sophos "community" is made up of end users like yourself and folks like myself, William, Bob, Bruce (to name a few of many) who sell this product & support our own paid customers. I started as an end user and now I sell the product to several companies. I participate here because a) It expands my knowledge of the product and b) because I chose to give back to the community that got me started in the first place. We don't have to be here, we choose to be here.

Community support is always best efforts basis with no guarantees you'll get a timely answer, or any answer for that matter.

Allow me to elaborate.
I spoke with the Sophos rep on Spiceworks (Kim@Sophos), who upped it to an engineer, who escalated it and came back with a generic reply that paid users get support. I understand that I am not entitled to paid-level support, and I should be more realistic about my expectations of the forum and its ability to solve my problem 100%. I knew that, going into this, I would be most likely to find useful information about FW rules, web filter rules, and profiles, etc. 

I just expected, in the forum dedicated to the endpoint client, to find info about my problems, or links to KBs regarding them. Users are experiencing a problem where the UTM knows possibly bad traffic is trying to pass the interface and from whom, but the client, which also sits on top of the PC interface (right?) has no knowledge of the traffic. I understand how the UTM makes its decision to classify traffic, and how it gets access to the traffic. The unclear portion of the query is in regard to the client, and how it doesn't seem to correlate any useful information at all. 

Is this expected behavior? 

I can only speak for myself, but I didn't install the Sophos endpoint client because I have great faith in the product; it's because I thought it tied in better detection on the host with the UTM protections present in the gateway. I replaced a perfectly functioning A/V engine that would have told me which process on which interface accessed which prohibited network resource, etc. Is this not a function of the Sophos client? I make mistakes, and often, so this could be another.

Thank you, Andrew for your past and continued support in these forums. I let my frustration turn me into a larger percentage of troll than usual.

I am seeing the same thing and have also researched on the QNAP forums.  Does not seem to be getting any traction on either side.  Could someone please update?

Thanks

it's because I thought it tied in better detection on the host with the UTM protections present in the gateway. I replaced a perfectly functioning A/V engine that would have told me which process on which interface accessed which prohibited network resource, etc. Is this not a function of the Sophos client?

The integration comes in the form of being able to push a limited set of configuration options (including web filtering profiles) "downstream" to the clients via the intermediary broker service.  Much beyond that has to be done on the client systems themselves.

You may want to poke through articles in the knowledgebase at https://secure2.sophos.com/en-us/support/knowledgebase/b/2450/2900/4850.aspx and https://secure2.sophos.com/en-us/support/knowledgebase/b/2450/2900/4900.aspx.

There are a couple of articles in there about increasing logging levels client side for more information.