El lugar donde trabajo en algún momento está recibiendo una alerta de los NIPS que indica:
[1:30918:2] "MALWARE-CNC User-Agent known malicious user agent - User-Agent User-Agent Mozilla"
El agente de usuario en el paquete es:
User-Agent: User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31
Viene de algunos clientes que acceden a nuestro sitio web. Básicamente cambia la dirección IP. O eso o el cliente múltiple están infectados. La regla indica que el cliente se infectaría con algún virus que intentara conectarse a un servidor de comando y control. Es bueno que este paquete venga de afuera, porque lo contrario significaría que estaríamos infectados. Lo que no entiendo es por qué está tratando de comunicarse con nosotros? Obviamente, no es un navegador legítimo como Chrome o Firefox, sino un script que intenta parecerse a él. ¿No debería intentar comunicarse con el servidor de C & C? ¿Esto significa que nuestros servidores están infectados (o se infectaron en algún momento) con algún tipo de C & C hop / proxy que redirige la información?