Snort mailing list archives

Previous By Date Next
Previous By Thread Next

RES: RES: Erro SID 1:2404172

From: <juan () tipartner com br>
Date: Thu, 15 Mar 2018 09:01:37 -0300
Bom dia,

 

Este endereço é acessado via 443. É um IP de algum processo malicioso, que ainda não descobri o que faz, que está 
infectando vários endereços web famosos, como um Ad, algo assim. E quando acessado pelo navegador o Snort bloqueia.

 

Estarei analisando ainda e qualquer coisa retorno.

E obrigado pela ajuda.



 

Juan Vinícius Casagrande Damo

Fone/Fax: (51) 3529 1120 / (51) 3529 1140

Celular: (51) 9397 8584

E-mail:  <mailto:juan () tipartner com br> juan () tipartner com br  

Skype:  juan.damo91 

 

"Esta mensagem é endereçada exclusivamente ao seu destinatário e poderá conter informações confidenciais.

O uso não autorizado de tais informações é proibido e estará sujeita a penalidade cabível.

 

This message is intended exclusively for its addressee and may contain information that is confidential.

Unauthorized use of such information is prohibited and subject to applicable penalties".

 

De: Diego Ramires <diego.ramires () runrun it> 
Enviada em: quarta-feira, 14 de março de 2018 18:20
Para: Samuel Riesz <samuel.riesz () gmail com>
Cc: juan () tipartner com br; snort-users () lists snort org
Assunto: Re: [Snort-users] RES: Erro SID 1:2404172

 

  <https://mailtrack.io/trace/mail/88351ae132211955f71b749685202f4bc5fd2ab4.png?u=2408971> 

Samuel.

 

ótima sugestão! 






 <https://mailtrack.io/> Sent with Mailtrack 
<https://mailtrack.io?utm_source=gmail&utm_medium=signature&utm_campaign=signaturevirality&;>  

 

2018-03-14 18:10 GMT-03:00 Samuel Riesz <samuel.riesz () gmail com <mailto:samuel.riesz () gmail com> >:

Sniffa e observe o tráfego, pegue uma máquina que está gerando o tráfego e rastreie o processo.

 

Em 14 de mar de 2018 6:02 PM, <juan () tipartner com br <mailto:juan () tipartner com br> > escreveu:

Diego, Obrigado pelo retorno,

 

Eu tinha observado isso já. Essa conexão não faz parte do escopo de trabalho de  nenhum dos meus clientes. 

Eu queria mesmo era tentar entender essa conexão, se é alguma ameaça ou o que, que está causando isso.

 

Essa ações começaram a ocorrer a uns 3 dias, computadores bloqueando a todo instante.

 



 

Juan Vinícius Casagrande Damo

Fone/Fax: (51) 3529 1120 / (51) 3529 1140

Celular: (51) 9397 8584

E-mail:  <mailto:juan () tipartner com br> juan () tipartner com br  

Skype:  juan.damo91 

 

"Esta mensagem é endereçada exclusivamente ao seu destinatário e poderá conter informações confidenciais.

O uso não autorizado de tais informações é proibido e estará sujeita a penalidade cabível.

 

This message is intended exclusively for its addressee and may contain information that is confidential.

Unauthorized use of such information is prohibited and subject to applicable penalties".

 

De: Diego Ramires <diego.ramires () runrun it <mailto:diego.ramires () runrun it> > 
Enviada em: quarta-feira, 14 de março de 2018 17:42
Para: juan () tipartner com br <mailto:juan () tipartner com br> 
Cc: snort-users () lists snort org <mailto:snort-users () lists snort org> 
Assunto: Re: [Snort-users] Erro SID 1:2404172

 

  <data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7> 

Ola Juan.

 

Veja que esse IP de destino é da BODIS-1 LLC, se você não sabe do que se trata essa conexão sugiro que bloqueie no seu 
firewall o range 199.59.240.0-199.59.243.255.

 

E posteriormente analise melhor o equipamento de onde está vindo o alerta, cuidado com os falsos positivos.

 

 

 

 

Source: whois.arin.net <http://whois.arin.net> 

IP Address: 199.59.242.150

Name: BODIS-COM

Handle: NET-199-59-240-0-1

Registration Date: 09/12/10

Range: 199.59.240.0-199.59.243.255

Org: Bodis, LLC

Org Handle: BODIS-1

Address: 228 Park Ave S <https://maps.google.com/?q=228+Park+Ave+S&entry=gmail&source=g>  #36792

City: New York

State/Province: NY

Postal Code: 10003

Country: United States

 





‌

 <https://mailtrack.io/> Sent with Mailtrack 
<https://mailtrack.io?utm_source=gmail&utm_medium=signature&utm_campaign=signaturevirality&;>  

 

2018-03-14 17:13 GMT-03:00 <juan () tipartner com br <mailto:juan () tipartner com br> >:

Olá,

 

Alguém com bloqueios seguidos contendo as seguintes informações? 

 


Date

Pri

Proto

Class

Source IP

SPort

Destination IP

DPort

SID

Description


2018-03-14
16:14:32

1

TCP

A Network Trojan was Detected

192.168.X.X
  

49606

199.59.242.150
  

443

1:2404172
  

ET CNC Zeus Tracker Reported CnC Server TCP group 12

 

Eu gerencio vários servidores com Snort, e em vários clientes comecei a receber este alerta. Alguém poderia ajudar?

 

Já realizamos varreduras com vários antivírus e nada é encontrado.

 

Obrigado.

 



 

Juan Vinícius Casagrande Damo

Fone/Fax: (51) 3529 1120 / (51) 3529 1140

Celular: (51) 9397 8584

E-mail:  <mailto:juan () tipartner com br> juan () tipartner com br  

Skype:  juan.damo91 

 

"Esta mensagem é endereçada exclusivamente ao seu destinatário e poderá conter informações confidenciais.

O uso não autorizado de tais informações é proibido e estará sujeita a penalidade cabível.

 

This message is intended exclusively for its addressee and may contain information that is confidential.

Unauthorized use of such information is prohibited and subject to applicable penalties".

 


_______________________________________________
Snort-users mailing list
Snort-users () lists snort org <mailto:Snort-users () lists snort org> 
Go to this URL to change user options or unsubscribe:
https://lists.snort.org/mailman/listinfo/snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!

Please follow these rules: https://snort.org/faq/what-is-the-mailing-list-etiquette





 

-- 

Att,

 

Diego Miris Ramires

Infraestrutura

  <https://d22iebrrkdwkpr.cloudfront.net/public/email_signature/logo.png> 
 <https://facebook.com/RunRun.it>   <https://twitter.com/runrun_it>   <http://linkedin.com/company/runrun-it>   
<http://blog.runrun.it/>   <http://youtube.com/user/runrunittv>   
<https://plus.google.com/u/1/101782822170318588176/posts> 
Aumente sua produtividade em 25% -  
<http://t.sidekickopen16.com/e1t/c/5/f18dQhb0S7lC8dDMPbW2n0x6l2B9nMJW7t5XYg1qwnVnVdntDd8r4Q-2W4Wzrfn56dVP3f5-H73F02?t=http%3A%2F%2Frunrun.it%2Fpt-BR&si=6431802467549184&pi=51b34bf4-2e62-40b7-968b-6c2e23345d29>
 Use o Runrun.it na sua empresa


_______________________________________________
Snort-users mailing list
Snort-users () lists snort org <mailto:Snort-users () lists snort org> 
Go to this URL to change user options or unsubscribe:
https://lists.snort.org/mailman/listinfo/snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!

Please follow these rules: https://snort.org/faq/what-is-the-mailing-list-etiquette

 





 

-- 

Att,

 

Diego Miris Ramires

Infraestrutura

  <https://d22iebrrkdwkpr.cloudfront.net/public/email_signature/logo.png> 
 <https://facebook.com/RunRun.it>   <https://twitter.com/runrun_it>   <http://linkedin.com/company/runrun-it>   
<http://blog.runrun.it/>   <http://youtube.com/user/runrunittv>   
<https://plus.google.com/u/1/101782822170318588176/posts> 
Aumente sua produtividade em 25% -  
<http://t.sidekickopen16.com/e1t/c/5/f18dQhb0S7lC8dDMPbW2n0x6l2B9nMJW7t5XYg1qwnVnVdntDd8r4Q-2W4Wzrfn56dVP3f5-H73F02?t=http%3A%2F%2Frunrun.it%2Fpt-BR&si=6431802467549184&pi=51b34bf4-2e62-40b7-968b-6c2e23345d29>
 Use o Runrun.it na sua empresa



Juan Damo - Technical Support TI Partner/Asincorp



_______________________________________________
Snort-users mailing list
Snort-users () lists snort org
Go to this URL to change user options or unsubscribe:
https://lists.snort.org/mailman/listinfo/snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!

Please follow these rules: https://snort.org/faq/what-is-the-mailing-list-etiquette
Previous By Date Next
Previous By Thread Next

Current thread: