Detectores de devolución de llamada: se detectó la conexión con el servidor C&C de alta confianza

Navega tus respuestas
1

Estamos en el proceso de ajuste de McAfee ESM. A continuación se muestra el registro-

IP de origen = 173.224.123.242 IP de destino = IP interna (siempre la misma)

Puerto de origen = 443 Puerto de destino = 3740 (2502, 2442, 1208, 1118, 3526, 1175, 4499,4466)

alerta 2

Usuario fuente = NA, Usuario de destino = NA

Primer evento - 13/05/2016 19:50:09 Último evento - 13/05/2016 19:50:09 Recuento de eventos - 2

Mensaje - Detectores de devolución de llamada: se detectó la conexión a una alta confianza C & C servidor IP Solicitud - Gravedad promedio = 90 ID de firma = 305-284

Por favor, ayúdame a entender por qué obtengo estos y qué medidas debo tomar.

    
pregunta pkd 17.05.2016 - 09:19
fuente

1 respuesta

1

El sensor IPS parece creer que 173.224.123.242 es un servidor C & C (esta información se toma de McAfee, que analiza el servidor para determinar si es malicioso o no).

Un C & C sería un servidor que se ha comprometido y administra una red de bots, por ejemplo. Esto no es una buena señal.

Si esta firma aparece siempre para el mismo host interno, desconéctela de la red de inmediato y determine si se ha comprometido o no (ejecute un AV actualizado, verifique los procesos que están activos, etc.). Si la IP externa pertenece a su empresa, esto puede indicar un falso positivo. Luego, asegúrese de que el servidor esté realmente bien y cree un filtro para ignorar esta alerta en el futuro.

Espero que ayude! :)

    
respondido por el pogao 17.05.2016 - 14:43
fuente

Lea otras preguntas en las etiquetas

¿Cómo se conecta un usuario malicioso a una red privada? ¿Una imagen que muestra un error de excepción en mi sitio representa un riesgo de seguridad importante?