Příspěvky

1

Sítě / Re:IPS a upozornění na podezřelou komunikaci v síti

« kdy: 18. 09. 2018, 18:48:07 »

Je to log z IPS služby, kterou mají routery Synology.
Díky. Zkusím ještě projít souborovou strukturu, ale raději asi přeinstaluji systém na NASu.

2

Sítě / IPS a upozornění na podezřelou komunikaci v síti

« kdy: 02. 09. 2018, 13:54:06 »

Ahoj *, v posledních několika dnech mi IPS ochrana poslala tři upozornění na podezřelou komunikaci v síti. Jsou to tyto výstupy:

Kód: [Vybrat]

Typ události: A Network Trojan was Detected
Podpis: ET USER_AGENTS VPNFilter Related UA (Hakai/2.0)
Závažnost: High
Zdrojová IP adresa: domácí Synology NAS
Cílová IP adresa: 42.117.208.109
Reference: https://twitter.com/m0rb/status/1021626709307805696

Typ události: A Network Trojan was Detected
Podpis: ET USER_AGENTS VPNFilter Related UA (Hakai/2.0)
Závažnost: High
Zdrojová IP adresa: domácí Synology NAS
Cílová IP adresa: 1.52.230.152
Reference: https://twitter.com/m0rb/status/1021626709307805696

Typ události: A Network Trojan was Detected
Podpis: ET MALWARE Suspicious User-Agent (1 space)
Závažnost: High
Zdrojová IP adresa: domácí Synology NAS
Cílová IP adresa: 93.179.68.150

Přihlásil jsem se na NAS a prozkoumal adresář /tmp i další složky, zda neobsahují podezřelé soubory, ale nic jsem nenašel. Přitom NASy od Synology na VPNFilter nemají být náchylné. Vestavěný antivirus v Synology NAS také nic nenašel. Aktualizace firmware i definic je samozřejmě poslední. Zdrojový port na NASu je vždy 80 a cílový je různý - 46467, 59522, 43565. Z internetu je dostupný NAS jen na portu 80, tam běží web pro obnovu Let's Encrypt. Tak nevím, nerad bych našel zašifrované soubory ...