Necesito ayuda para comprender debajo del ataque.
Los registros a continuación se extraen del firewall y puedo ver una conexión de salida desde el servidor ldap al 194.169.218.42. Pero al recorrer los registros (que se muestran a continuación), podría ver el nombre de host DNS martinhot.xyz Este dominio dns tiene ip diferente (93.158.205.211) y está incluido en la lista negra por casi todos los feeds de amenazas. es este tipo de ataque? ¿Por qué mi servidor ldap contactando con este dominio?
<13>Sep 13 07:29:13 10.30.130.7 13Sep2016 07:29:13 monitor 10.x.x.x product: New Anti Virus; src: LDAp IP; s_port: 54661; dst:
194.169.218.42; service: 53; proto: udp; rule: ;Confidence Level: 5;Destination DNS Hostname: martinhot.xyz;Protection Type: DNS reputation;Protection name: Malware.ytire;Source OS: Windows;Suppressed logs: 4;__policy_id_tag: product=VPN-1 & FireWall-1[db_tag={79357CCC-7962-D34A-B8E9-BED995AEA705};mgmt=SecurityManager.com;date=1473679193;policy_name=Col_fw];action_details:
*** Confidential ***;description: Connection was allowed because background classification mode was set. See sk74120 for more information.;has_accounting: 0;i/f_dir: outbound;i/f_name: eth0;log_id: 2;malware_action: Malicious DNS request;malware_family: Malware;malware_rule_id: {00000040-0096-004E-9D42-F129618FF42F};origin_sic_name: ;protection_id: 0020287A0;received_bytes: 0;scope: 10.25.165.254;sent_bytes: 0;session_id: <57d7e309,00000022,0bfc190a,c0000002>;severity: 3;snid: 7951c679;src_machine_name: *** Confidential ***;src_user_name: *** Confidential ***;user: *** Confidential ***;vendor_list: Check Point ThreatCloud, ;
Por lo tanto, mi servidor LDAP se está contactando con el servidor DNS que está en la lista negra. ¿Qué tan seguro es esto?
¿Debería preocuparme?