Snort mailing list archives
Re: RES: RES: Erro SID 1:2404172
From: Diego Ramires <diego.ramires () runrun it>
Date: Thu, 15 Mar 2018 09:14:51 -0300
Juan passa o malwarebytes além de desabilitar todos os plugins do Google Chrome e desinstalar o Google Chrome com o revouninstaller.... Abs boa sorte Em 15 de mar de 2018 9:01 AM, <juan () tipartner com br> escreveu:
Bom dia, Este endereço é acessado via 443. É um IP de algum processo malicioso, que ainda não descobri o que faz, que está infectando vários endereços web famosos, como um Ad, algo assim. E quando acessado pelo navegador o Snort bloqueia. Estarei analisando ainda e qualquer coisa retorno. E obrigado pela ajuda. [image: Logo TI Partner email] *Juan Vinícius Casagrande* *Damo* *Fone/Fax: (51) 3529 1120 / (51) 3529 1140* *Celular: (51) 9397 8584* *E-mail: juan () tipartner com br <juan () tipartner com br> * *Skype: juan.damo91 * "Esta mensagem é endereçada exclusivamente ao seu destinatário e poderá conter informações confidenciais. O uso não autorizado de tais informações é proibido e estará sujeita a penalidade cabível. This message is intended exclusively for its addressee and may contain information that is confidential. Unauthorized use of such information is prohibited and subject to applicable penalties". *De:* Diego Ramires <diego.ramires () runrun it> *Enviada em:* quarta-feira, 14 de março de 2018 18:20 *Para:* Samuel Riesz <samuel.riesz () gmail com> *Cc:* juan () tipartner com br; snort-users () lists snort org *Assunto:* Re: [Snort-users] RES: Erro SID 1:2404172 Samuel. ótima sugestão! <https://mailtrack.io/>Sent with Mailtrack <https://mailtrack.io?utm_source=gmail&utm_medium=signature&utm_campaign=signaturevirality&> 2018-03-14 18:10 GMT-03:00 Samuel Riesz <samuel.riesz () gmail com>: Sniffa e observe o tráfego, pegue uma máquina que está gerando o tráfego e rastreie o processo. Em 14 de mar de 2018 6:02 PM, <juan () tipartner com br> escreveu: Diego, Obrigado pelo retorno, Eu tinha observado isso já. Essa conexão não faz parte do escopo de trabalho de nenhum dos meus clientes. Eu queria mesmo era tentar entender essa conexão, se é alguma ameaça ou o que, que está causando isso. Essa ações começaram a ocorrer a uns 3 dias, computadores bloqueando a todo instante. [image: Logo TI Partner email] *Juan Vinícius Casagrande* *Damo* *Fone/Fax: (51) 3529 1120 / (51) 3529 1140* *Celular: (51) 9397 8584* *E-mail: juan () tipartner com br <juan () tipartner com br> * *Skype: juan.damo91 * "Esta mensagem é endereçada exclusivamente ao seu destinatário e poderá conter informações confidenciais. O uso não autorizado de tais informações é proibido e estará sujeita a penalidade cabível. This message is intended exclusively for its addressee and may contain information that is confidential. Unauthorized use of such information is prohibited and subject to applicable penalties". *De:* Diego Ramires <diego.ramires () runrun it> *Enviada em:* quarta-feira, 14 de março de 2018 17:42 *Para:* juan () tipartner com br *Cc:* snort-users () lists snort org *Assunto:* Re: [Snort-users] Erro SID 1:2404172 Ola Juan. Veja que esse IP de destino é da BODIS-1 LLC, se você não sabe do que se trata essa conexão sugiro que bloqueie no seu firewall o range 199.59.240.0-199.59.243.255. E posteriormente analise melhor o equipamento de onde está vindo o alerta, cuidado com os falsos positivos. Source: whois.arin.net IP Address: 199.59.242.150 Name: BODIS-COM Handle: NET-199-59-240-0-1 Registration Date: 09/12/10 Range: 199.59.240.0-199.59.243.255 Org: Bodis, LLC Org Handle: BODIS-1 Address: 228 Park Ave S <https://maps.google.com/?q=228+Park+Ave+S&entry=gmail&source=g> #36792 City: New York State/Province: NY Postal Code: 10003 Country: United States <https://mailtrack.io/>Sent with Mailtrack <https://mailtrack.io?utm_source=gmail&utm_medium=signature&utm_campaign=signaturevirality&> 2018-03-14 17:13 GMT-03:00 <juan () tipartner com br>: Olá, Alguém com bloqueios seguidos contendo as seguintes informações? *Date* *Pri* *Proto* *Class* *Source IP* *SPort* *Destination IP* *DPort* *SID* *Description* 2018-03-14 16:14:32 1 TCP A Network Trojan was Detected 192.168.X.X 49606 199.59.242.150 443 1:2404172 ET CNC Zeus Tracker Reported CnC Server TCP group 12 Eu gerencio vários servidores com Snort, e em vários clientes comecei a receber este alerta. Alguém poderia ajudar? Já realizamos varreduras com vários antivírus e nada é encontrado. Obrigado. [image: Logo TI Partner email] *Juan Vinícius Casagrande* *Damo* *Fone/Fax: (51) 3529 1120 / (51) 3529 1140* *Celular: (51) 9397 8584* *E-mail: juan () tipartner com br <juan () tipartner com br> * *Skype: juan.damo91 * "Esta mensagem é endereçada exclusivamente ao seu destinatário e poderá conter informações confidenciais. O uso não autorizado de tais informações é proibido e estará sujeita a penalidade cabível. This message is intended exclusively for its addressee and may contain information that is confidential. Unauthorized use of such information is prohibited and subject to applicable penalties". _______________________________________________ Snort-users mailing list Snort-users () lists snort org Go to this URL to change user options or unsubscribe: https://lists.snort.org/mailman/listinfo/snort-users Please visit http://blog.snort.org to stay current on all the latest Snort news! Please follow these rules: https://snort.org/faq/what-is- the-mailing-list-etiquette -- Att, *Diego Miris Ramires* Infraestrutura <https://facebook.com/RunRun.it> <https://twitter.com/runrun_it> <http://linkedin.com/company/runrun-it> <http://blog.runrun.it/> <http://youtube.com/user/runrunittv> <https://plus.google.com/u/1/101782822170318588176/posts> *Aumente sua produtividade em 25%* - Use o Runrun.it na sua empresa <http://t.sidekickopen16.com/e1t/c/5/f18dQhb0S7lC8dDMPbW2n0x6l2B9nMJW7t5XYg1qwnVnVdntDd8r4Q-2W4Wzrfn56dVP3f5-H73F02?t=http%3A%2F%2Frunrun.it%2Fpt-BR&si=6431802467549184&pi=51b34bf4-2e62-40b7-968b-6c2e23345d29> _______________________________________________ Snort-users mailing list Snort-users () lists snort org Go to this URL to change user options or unsubscribe: https://lists.snort.org/mailman/listinfo/snort-users Please visit http://blog.snort.org to stay current on all the latest Snort news! Please follow these rules: https://snort.org/faq/what-is- the-mailing-list-etiquette -- Att, *Diego Miris Ramires* Infraestrutura <https://facebook.com/RunRun.it> <https://twitter.com/runrun_it> <http://linkedin.com/company/runrun-it> <http://blog.runrun.it/> <http://youtube.com/user/runrunittv> <https://plus.google.com/u/1/101782822170318588176/posts> *Aumente sua produtividade em 25%* - Use o Runrun.it na sua empresa <http://t.sidekickopen16.com/e1t/c/5/f18dQhb0S7lC8dDMPbW2n0x6l2B9nMJW7t5XYg1qwnVnVdntDd8r4Q-2W4Wzrfn56dVP3f5-H73F02?t=http%3A%2F%2Frunrun.it%2Fpt-BR&si=6431802467549184&pi=51b34bf4-2e62-40b7-968b-6c2e23345d29> Juan Damo - Technical Support TI Partner/Asincorp
_______________________________________________ Snort-users mailing list Snort-users () lists snort org Go to this URL to change user options or unsubscribe: https://lists.snort.org/mailman/listinfo/snort-users Please visit http://blog.snort.org to stay current on all the latest Snort news! Please follow these rules: https://snort.org/faq/what-is-the-mailing-list-etiquette
Current thread:
- Erro SID 1:2404172 juan (Mar 14)
- Re: Erro SID 1:2404172 Diego Ramires (Mar 14)
- RES: Erro SID 1:2404172 juan (Mar 14)
- Re: Erro SID 1:2404172 Diego Ramires (Mar 14)
- Message not available
- Message not available
- Re: RES: Erro SID 1:2404172 Samuel Riesz via Snort-users (Mar 14)
- Re: RES: Erro SID 1:2404172 Diego Ramires (Mar 14)
- RES: RES: Erro SID 1:2404172 juan (Mar 15)
- Re: RES: RES: Erro SID 1:2404172 Diego Ramires (Mar 15)
- RES: Erro SID 1:2404172 juan (Mar 14)
- Re: Erro SID 1:2404172 Diego Ramires (Mar 14)