Snort mailing list archives

Re: Erro SID 1:2404172

From: Diego Ramires <diego.ramires () runrun it>
Date: Wed, 14 Mar 2018 17:42:02 -0300

Ola Juan.

Veja que esse IP de destino é da BODIS-1 LLC, se você não sabe do que se
trata essa conexão sugiro que bloqueie no seu firewall o range
199.59.240.0-199.59.243.255.

E posteriormente analise melhor o equipamento de onde está vindo o alerta,
cuidado com os falsos positivos.




Source: whois.arin.net
IP Address: 199.59.242.150
Name: BODIS-COM
Handle: NET-199-59-240-0-1
Registration Date: 09/12/10
Range: 199.59.240.0-199.59.243.255
Org: Bodis, LLC
Org Handle: BODIS-1
Address: 228 Park Ave S #36792
City: New York
State/Province: NY
Postal Code: 10003
Country: United States





‌
<https://mailtrack.io/> Sent with Mailtrack
<https://mailtrack.io?utm_source=gmail&utm_medium=signature&utm_campaign=signaturevirality&;>

2018-03-14 17:13 GMT-03:00 <juan () tipartner com br>:

Olá,



Alguém com bloqueios seguidos contendo as seguintes informações?



*Date*

*Pri*

*Proto*

*Class*

*Source IP*

*SPort*

*Destination IP*

*DPort*

*SID*

*Description*

2018-03-14
16:14:32

1

TCP

A Network Trojan was Detected

192.168.X.X


49606

199.59.242.150


443

1:2404172


ET CNC Zeus Tracker Reported CnC Server TCP group 12



Eu gerencio vários servidores com Snort, e em vários clientes comecei a
receber este alerta. Alguém poderia ajudar?



Já realizamos varreduras com vários antivírus e nada é encontrado.



Obrigado.



[image: Logo TI Partner email]



*Juan Vinícius Casagrande* *Damo*

*Fone/Fax: (51) 3529 1120 / (51) 3529 1140*

*Celular: (51) 9397 8584*

*E-mail: juan () tipartner com br <juan () tipartner com br>  *

*Skype:  juan.damo91 *



"Esta mensagem é endereçada exclusivamente ao seu destinatário e poderá
conter informações confidenciais.

O uso não autorizado de tais informações é proibido e estará sujeita a
penalidade cabível.



This message is intended exclusively for its addressee and may contain
information that is confidential.

Unauthorized use of such information is prohibited and subject to
applicable penalties".



_______________________________________________
Snort-users mailing list
Snort-users () lists snort org
Go to this URL to change user options or unsubscribe:
https://lists.snort.org/mailman/listinfo/snort-users

Please visit http://blog.snort.org to stay current on all the latest
Snort news!

Please follow these rules: https://snort.org/faq/what-is-
the-mailing-list-etiquette



-- 
Att,

*Diego Miris Ramires*
Infraestrutura

<https://facebook.com/RunRun.it>  <https://twitter.com/runrun_it>
<http://linkedin.com/company/runrun-it>  <http://blog.runrun.it/>
<http://youtube.com/user/runrunittv>
<https://plus.google.com/u/1/101782822170318588176/posts>
*Aumente sua produtividade em 25%* - Use o Runrun.it na sua empresa
<http://t.sidekickopen16.com/e1t/c/5/f18dQhb0S7lC8dDMPbW2n0x6l2B9nMJW7t5XYg1qwnVnVdntDd8r4Q-2W4Wzrfn56dVP3f5-H73F02?t=http%3A%2F%2Frunrun.it%2Fpt-BR&si=6431802467549184&pi=51b34bf4-2e62-40b7-968b-6c2e23345d29>

_______________________________________________
Snort-users mailing list
Snort-users () lists snort org
Go to this URL to change user options or unsubscribe:
https://lists.snort.org/mailman/listinfo/snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!

Please follow these rules: https://snort.org/faq/what-is-the-mailing-list-etiquette

Current thread:

Erro SID 1:2404172 juan (Mar 14)
- Re: Erro SID 1:2404172 Diego Ramires (Mar 14)
  - RES: Erro SID 1:2404172 juan (Mar 14)
    - Re: Erro SID 1:2404172 Diego Ramires (Mar 14)
    - Message not available
    - Message not available
    - Re: RES: Erro SID 1:2404172 Samuel Riesz via Snort-users (Mar 14)
    - Re: RES: Erro SID 1:2404172 Diego Ramires (Mar 14)
    - RES: RES: Erro SID 1:2404172 juan (Mar 15)
    - Re: RES: RES: Erro SID 1:2404172 Diego Ramires (Mar 15)