Threat Management Alarm 2

Es gibt 8 Antworten in diesem Thema, welches 2.988 mal aufgerufen wurde. Der letzte Beitrag () ist von hYtas.

    Hallöchen ihr lieben.


    Mal ne Frage.

    Mein Controller zeigt folgende Benachrichtigung:

    Threat Management Alarm 2: Potentially Bad Traffic. Signatur ET DNS Query for .su TLD (Soviet Union) Often Malware Related. Von: 192.168.20.1:63800, auf: 192.168.20.222:53, Protokoll: UDP2:52 pmMärz 22 2022
    Threat Management Alarm 2: Potentially Bad Traffic. Signatur ET DNS Query for .su TLD (Soviet Union) Often Malware Related. Von: 192.168.20.1:64926, auf: 192.168.20.222:53, Protokoll: UDP2:52 pmMärz 22 2022
    Threat Management Alarm 2: Potentially Bad Traffic. Signatur ET DNS Query for .su TLD (Soviet Union) Often Malware Related. Von: 192.168.20.1:65380, auf: 192.168.20.222:53, Protokoll: UDP2:52 pmMärz 22 2022


    Sollte ich hier was machen?
    Falls ja, wie sollte ich vorgehen?


    Virenscanner ( Avast & SpyeBot ) haben nichts auf dem Rechner mit IP: xxx1 gefunden.


    Mehr als das da schädlicher Datenverkehr herrscht, kann ich nicht rauslesen.
    Der Rest der Info sind für mich Fragezeichen ^^.

    Liebe Grüße.

    { Hobby Netzwerk Tüftler }

    { Wer Rechtschreibfehler findet, darf sie behalten, sammeln und sich davon dann ein Eis kaufen 🤪 }

    ist 192.168.20.1 nicht dein Gateway aus nem VLAN?

    wer ist denn 20.222?

    Gruß

    defcon

    Zitat von defcon

    ist 192.168.20.1 nicht dein Gateway aus nem VLAN?

    wer ist denn 20.222?

    Hey hey, danke dir für die Rückmeldung :smiling_face:

    Nee, das Gateway hat die ip xxx.222

    Die ip xxx.1 ist mein Hauptrechner an dem ich arbeite.


    Verstehe aber die Warnung vom Controller nicht richtig das da nen Problem vom Haupt Rechner zum Gateway gemeldet wird.

    { Hobby Netzwerk Tüftler }

    { Wer Rechtschreibfehler findet, darf sie behalten, sammeln und sich davon dann ein Eis kaufen 🤪 }

    Zitat von RomanoDrews

    Verstehe aber die Warnung vom Controller nicht richtig das da nen Problem vom Haupt Rechner zum Gateway gemeldet wird.

    Naja das Threat Management arbeitet bidirektional, kann man auch schön feststellen, wenn man nen lokalen Portscan macht z.B.

    Gruß

    defcon

    Zitat von defcon

    Naja das Threat Management arbeitet bidirektional, kann man auch schön feststellen, wenn man nen lokalen Portscan macht z.B.

    Heißt jetzt?

    Wie kann ich denn das eventuelle Problem ausfindig machen?

    Für mich ließt sich diese Meldung als sollte ich dieser irgendwie auf den Grund gehen...?

    { Hobby Netzwerk Tüftler }

    { Wer Rechtschreibfehler findet, darf sie behalten, sammeln und sich davon dann ein Eis kaufen 🤪 }

    Wenn ich das richtig interpretiere macht 192.168.20.1 eine DNS-Abfrage (Port 53) an 192.168.20.222 und fragt nach einer .su-Domain.

    Ich würde an deiner Stelle mal scharf überlegen, ob du das vielleicht irgendwie selbst gewesen bist. Entweder direkt oder indirekt. (Was für Programme laufen auf dem Rechner? Warst du um 14:52 Uhr an dem Rechner? Was hast du gemacht?) Dann ist nämlich alles gut.


    Wenn du dir die Herkunft nicht erklären kannst, halte ich eine orange Alarmleuchte für angebracht ...

    Zitat von noexpand

    Wenn ich das richtig interpretiere macht 192.168.20.1 eine DNS-Abfrage (Port 53) an 192.168.20.222 und fragt nach einer .su-Domain.

    Ich würde an deiner Stelle mal scharf überlegen, ob du das vielleicht irgendwie selbst gewesen bist. Entweder direkt oder indirekt. (Was für Programme laufen auf dem Rechner? Warst du um 14:52 Uhr an dem Rechner? Was hast du gemacht?) Dann ist nämlich alles gut.


    Wenn du dir die Herkunft nicht erklären kannst, halte ich eine orange Alarmleuchte für angebracht ...

    Vielen lieben Dank 😊.

    So verstehe ich das jetzt auch.


    Ja, ich war am Rechner und ja ich war auf sehr vielen ( unseriösen Webseiten ) aufgrund von Recherche in nem Betrugs Thema unterwegs.


    Ich beobachte die Meldungen mal weiter und lasse das Thema mal noch auf offen.


    Eine SU Domain hab ich nicht wissentlich aufgerufen. Aber auf den bitcoin scam Webseiten könnten inlineframes oder der gleichen vielleicht eine solche Domain aufgerufen haben.


    Ich lasse UI mal die Woche immer offen und prüfe mal alle paar Stunden ob neue Meldungen auf kommen und wann.


    So lange kann ich mich leider heute nicht rück erinnern wann ich genau wo war. Dafür war es zu viel.


    Ich berichte, und bedanke mich schon mal für die super Hilfe.


    ❤️


    Ohne euch hätte ich noch den Telekom Router 😂. Wo ich mir über sowas nie Gedanken gemacht habe. 😅 Mit UniFi kommt schon mal Panik 😱 auf 😂 und schlaflose Nächte .

    { Hobby Netzwerk Tüftler }

    { Wer Rechtschreibfehler findet, darf sie behalten, sammeln und sich davon dann ein Eis kaufen 🤪 }

    Vielen Dank nochmal an alle.

    Also das besagte Problemchen ist wohl nicht mehr aufgetreten.

    Zumindest hat UI bei mir nichts mehr gemeldet.

    Vermutlich wars dann wie noexpand geschrieben hat.

    Quasi selbst aufgerufen durch Surfen.


    Danke für die Unterstüzung ♥ .

    { Hobby Netzwerk Tüftler }

    { Wer Rechtschreibfehler findet, darf sie behalten, sammeln und sich davon dann ein Eis kaufen 🤪 }

    Gefällt mir 1

    Wenn meine Frau ihren Homeoffice Laptop am Netz hat, rastet das IPS aus. Keine Ahnung was die dort alles machen wollen, aber geblockt klappt auch alles.

    Haha 1