IPS: ET Maleware / A Network Trojan was detected - Hinweis

Es gibt 10 Antworten in diesem Thema, welches 3.503 mal aufgerufen wurde. Der letzte Beitrag () ist von X3ufmb2.

    Ich hatte das mal bei dem einzigen Android gerät in meinem Haus (FireTablet von der Tochter), nachdem neue Kinderspiele installiert wurden. Entsprechende Spiele gelöscht und danach war wieder Ruhe. Mehr kann ich dazu leider nicht beitragen. sorry

    Zitat von X3ufmb2

    Hallo zusammen,

    habe gestern den folgenden Hinweis erhalten. Ziel war ein Rechner auf dem Proxmox mit mehreren Maschinen (PiHole etc.) läuft. Quelle war eine Adresse in den USA. IPS auf der UDM-Pro ist aktiviert.

    Hatte jemand schon mal einen ähnlichen Hinweis bzw. einen Ratschlag, was man alles ggf. jetzt unternehmen soll?

    Danke vorab.

    Das war anscheinend eine DNS Anfrage.. Port 53. Was läuft denn alles auf dem proxmox? Pihole wie konfiguriert? Wenn dort auch Windows Maschinen laufen, die mal checken.

    Da das ganze aber von aussen kommt, würde ich mir erstmal keinen Kopf machen. Die UDM hats ja erkannt. Generell IPS Einträge habe ich 100erte da ich ein paar Server bei mir laufen habe. Wird aber alles fleissig geblockt.

    Hallo zusammen,

    schon mal danke für die Rückmeldungen. Da läuft eigentlich nur Proxmox als Hauptsystem und zwei VMs mit Pihole und iobroker.

    Konnte das nicht so wirklich einschätzen was das soll, aber es ist ja gut, dass hier schon mal die UDM ihre Arbeit vernünftig verrichtet.

    Ok, dann werde ich das erstmal abhaken und mal beobachten, ob da noch was nachkommt...

    Zitat von jkasten

    Das war anscheinend eine DNS Anfrage.. Port 53.


    Obacht!

    Im Bild Steht

    SOURCE: 192.52.178.30:53


    Quell Port ist typisch für DNS aber auch typisch für „böse“ Sachen. Den DNS
    Port ist oft offen und kann als eintris vektor benutzt werden.


    Ziel ist DEST:x.x.x.x: 62073


    X3ufmb2. Was ist hinter der IP nur der Proxmox selber oder ne direkte VM.

    Was läuft auf der IP an dem Port 62073. Wenn nichts dann ist es nur jemand der stochert

    oder der alte ZeusGameover ist noch aktive (ist von 2011) und mach dich unsicher


    Du solltest dich auch fragen warum du eine PortWeiterleitung hast auf den Proxmox.

    die die Wohl nicht sagt.. (also von der Externen IP zu deiner ZielIP).


    Ok, das wäre dann schon ne andere Sache. Die IP wäre direkt die vom Rechner selbst, nicht mal die von Proxmox oder von einer VM.... In der UDM leite ich keinerlei Ports durch. Andere Programme laufen darauf nicht. Ich wüsste auch nicht, was der Port 62073 sein soll... Soll ich die Kiste mal komplett neu installieren oder versucht da jemand einfach einfach nur div. Ports anzupingen. Proxmox und die VMs haben jedenfalls andere IPs als die vom IPS als Zieladresse angegeben wurde... Noch irgendwelche Ratschläge? Danke vorab!

    Hatte gerade noch gesehen, dass ich mal noch eine inaktive VM mit Wireguard hatte. Da war ne Portweiterleitung aktiv, allerdings an einen ganz anderen Port als 62073. Die habe ich gleich mal deaktiviert. Ansonsten waren keine Portweiterleitungen aktiv. Könnte da was versucht worden sein? Die VM war aber wie gesagt nicht aktiv und das ganze hätte ins Leere laufen müssen....

    Bei einer whois anfrage ist für diese IP folgendes gekomme.




    Ich würde mir darüber keinen kopf machen.

    Vorab 99,9999% false Positive also keine sorgen machen.

    Disclamer: Alles Mutmaßungen, keine Garantie oder Haftung wenn ein Virus Mit deiner Frau schläft,

    den Hund Krauelt und den Kühlschrank leer futtert und das Bier austrinkt...


    Zitat von X3ufmb2

    Könnte da was versucht worden sein?


    Step By Step:

    Wenn das IPS sagt Source X und Destination IN deinem Netz (warum verschleierst Du dann eigentlich die IP

    wenn es eh eine Private ist?)


    Dann gibt es offensichtlich eine Port Weiterleitung von deiner Externen IP auf deine Interne

    Weil einfach so und mit Magie kann ja ein externes Ziel nicht auf eine hinter dem PNAT liegendes Ziel zugreifen.

    Irgendjemand oder irgendwas hat da was eingerichtet.


    Wenn du es nicht warst (und auch nicht unwissentlich) mit einem Statischen Port Forwarding

    dann gibts neben UPNP (hat der Teufel erfunden)


    Noch die simple und wahrscheinlichste Möglichkeit das DEIN Rechner eine DNS Anfrage

    and diese IP gestellt hat und die RÜCK Antwort dem IDS missfallen hat..


    Hätt ich mal gleich machen sollen statt dich scheu :smiling_face:


    Zitat

    gierig$ dig -x 192.52.178.30

    ;; ANSWER SECTION:

    30.178.52.192.in-addr.arpa. 65999 IN PTR k.gtld-servers.net.

    k.gtld-servers.net .... Klingel...

    das ist einer der DNS Server von Verisign. Die betreiben die autoritativen DNS Server

    für die .com, .net, .mil , .edu und ggf noch weitere TLDs. Die betrieben auch

    zwei der RootServer für DNS System...


    Ergo dein Rechner wird eine DNS anfrage für eine Domains gestartet haben

    und die Antwort des DNS hat einen Alarm ausgelöst.....

    Hi,

    vielen Dank für die ausführlichen Infos. Dieses Detail- bzw. Hintergrundwissen fehlt mir leider, sodass ich schon ziemlich verunsichert war. Deine Infos beruhigen dann schon etwas. Wie gesagt, ich hatte früher mal eine VM mit Wireguard, die allerdings schon lange nicht mehr aktiv ist, allerdings hatte ich anscheinend vergessen, die dazugehörige Portweiterleitung zu löschen. Das ist heute auf jeden Fall passiert. Die relevante IP war jedenfalls nicht aktiv. . Deine Erklärungen sind jedenfalls soweit für mich nachvollziehbar. Danke nochmal!