IPS Alert Сетевой Троян - Форум UBIQUITI.RU

IPS Alert Сетевой Троян, UniFi Network

1ncognito

Guest

14.03.2018 22:01:00

Привет! Хотел узнать, встречал ли кто-то это предупреждение с включённым IPS на версии 5.7.19 или новее: «IPS Alert 1: Обнаружен сетевой троян. Сигнатура ET CNC Zeus Tracker, зафиксирован CnC сервер группа 12. От: localworkstation:54846, к: 199.59.242.150:443, протокол: TCP, интерфейс: eth1». Я заменил локальный IP на «localworkstation». Компьютер проверял на вирусы, вредоносное ПО, руткиты и прочее – сканировал разными антивирусами, ничего не нашёл. Кто-нибудь знает, что за этот IP 199.59.242.150? Спасибо!

LouAlbano

Guest

15.05.2018 16:48:00

Это сделано для оповещения об атаках ITW CVE-2018-10561 и CVE-2018-10562. Эти CVE связаны с обходом аутентификации и удалённым выполнением кода (RCE) на домашних маршрутизаторах GPON. Похоже, у вас там массовые сканирования ботами на это.

https://github.com/f3d0x0/GPON
https://twitter.com/luc4m/status/994851471194836994

OJBender

Guest

14.04.2019 06:19:00

То же самое касается IP 198.54.117.200 согласно abuseipdb. Довольно странно, что при включённом режиме IPS и настройке «Ограничить доступ к вредоносным IP-адресам» USG всё равно пропускает трафик к этому адресу. Я ожидал, что USG не позволит соединения с этим адресом, как только он будет определён как потенциально вредоносный. По моему мнению, ни настройка IPS, ни ограничение доступа к вредоносным IP не сработали профилактически, а только просто выявили проблему. Пришлось создать правило в файрволе на WAN, чтобы изолировать этот сервер. Есть какие-то мысли?

ryan_marsh Guest	#4 07.04.2019 13:26:00 Проверил IP — это был мой iPhone. Странно.

SKIPPERODYSSEY

Guest

17.11.2018 12:43:00

Привет! Я получил оповещение с похожим сообщением, и мне кажется, что проблема связана с PS4, возможно, из-за PS Network. Внутренний IP-адрес всё равно совпадает с этим устройством, а AKAMAI TECHNOLOGIES, по-видимому, как-то связана с Playstation. Только недавно установил USG Pro 4, так что извиняюсь, если ошибаюсь. Если у тебя появятся какие-то новости, дай, пожалуйста, знать. Спасибо!

mpbaker82

Guest

02.09.2018 00:29:00

Продолжаю тему... Получаю такие оповещения:
IPS Alert 1: Обнаружен сетевой троян. Сигнатура ET USER_AGENTS Suspicious User Agent (agent). От: 192.168.x.x:50152, к: 23.211.124.88:80, протокол: TCP, интерфейс: eth1.
Судя по всему, это скорее всего ложное срабатывание. Я проверял IP в AbuseIPDB, и там указано, что это американская компания Akamai Technologies Inc.
Есть мысли или подтверждения?

dragze

Guest

02.08.2018 21:33:00

Я только что обнаружил такие же предупреждения — они поступают с iPhone одного из пользователей. Хотелось бы понять, что именно это за сигнал, чтобы определить, ложная ли это тревога или нет. goombah: Ты можешь посмотреть прошлые подключения в Insights, задать нужный диапазон дат и увидеть, какое устройство получило этот IP. Вот что я и сделал. Если у тебя нет таких опций, у меня версия контроллера 5.8.24. Кстати: стоит проверить файл hosts на USG (/etc/hosts) — там должен быть IP и соответствующий MAC, если адрес выдан DHCP USG.

goombah

Guest

19.05.2018 14:02:00

Сегодня пришёл на работу и увидел почти 100 тревог на похожие сообщения:
IPS Alert 1: Обнаружен сетевой троян. Сигнатура ET MALWARE Suspicious User-Agent (1 space). От: 10.1.1.98:46105, до: 13.56.215.15:443, протокол: TCP, интерфейс: eth0 12:41 19.05.2018
IPS Alert 1: Обнаружен сетевой троян. Сигнатура ET MALWARE Suspicious User-Agent (1 space). От: 10.1.1.98:43676, до: 52.9.169.109:443, протокол: TCP, интерфейс: eth0 12:40 19.05.2018
IPS Alert 1: Обнаружен сетевой троян. Сигнатура ET MALWARE Suspicious User-Agent (1 space). От: 10.1.1.98:55802, до: 13.56.136.168:443, протокол: TCP, интерфейс: 12:40 19.05.2018
IPS Alert 1: Обнаружен сетевой троян. Сигнатура ET MALWARE Suspicious User-Agent (1 space). От: 10.1.1.98:57200, до: 52.9.50.218:443, протокол: TCP, интерфейс: eth0 12:36 19.05.2018
IPS Alert 1: Обнаружен сетевой троян. Сигнатура ET MALWARE Suspicious User-Agent (1 space). От: 10.1.1.98:36692, до: 52.9.21.5:443, протокол: TCP, интерфейс:

Похоже, это телефон ночного охранника, но я не вижу, как получить MAC-адрес, чтобы сверить с прошлыми соединениями в Insights. Это вообще возможно?

bsharpe

Guest

14.05.2018 19:48:00

Та же проблема у меня. Вижу её. Похоже, используется порт 8080, который контроллер применяет, когда он открыт для всего мира в файрволе для облачных подключений. Можно закрыть 8080 для внешних и удалённых устройств. Я заметил, что если в главном офисе пробросить этот порт только на статические IP удалённых сайтов и заблокировать остальные запросы, то проблема исчезает. Но при этом некоторые VoIP-системы могут уйти в офлайн.

Так что, по крайней мере, есть обходной путь: изменить проброс порта контроллера с «все» на статические IP удалённых сайтов, которые пробрасываются на IP USG.
Пример:
Удалённый сайт 123.456.789.1
Локальный IP USG: 10.10.0.2
Правило:
От 123.456.789.1 Порт 8080
К IP/Порту 10.10.0.2:8080

USG при этом уйдёт в режим настройки и сбросит ваши VPN, они должны переподключиться, если удалённый сайт — это тот VPN, который вы указали.

Некоторые VoIP-системы, например ESI, перестанут работать. Думаю, придётся переназначить видео порт на ESI VoIP с 8080 на любой порт в диапазоне от 49000 до 49998.

Кроме того, при таком подходе вы потеряете возможность подключать удалённые сайты, не добавив сначала правило файрвола с их статическим IP.

LouAlbano

Guest

#10

14.05.2018 19:38:00

Мы отправили эту сигнатуру 11 мая, поэтому вы только сейчас начинаете её видеть. Вкратце, IP 187.175.46.70 обращался по http с юзер-агентом ровно «Hello, World», что как минимум подозрительно. Я пытаюсь раздобыть больше документации о том, откуда взялись данные для этой сигнатуры, но человек, который её писал, сейчас где-то над Атлантикой. Постараюсь вернуться с ответом, если найду какие-то документы, объясняющие природу этого трафика. Спасибо, Франсис.

Jdld

Guest

#11

14.05.2018 06:34:00

Эти оповещения, похоже, настоящие. У меня было несколько таких предупреждений на разных устройствах в двух управляемых сетях. Очистка кеша и истории браузера на проблемных устройствах прекращала дальнейшие оповещения, пока пользователь снова не заходил на заражённый сайт. Насторожило то, что это предупреждение было связано с iPhone.
IPS Alert 1: Обнаружен сетевой троян. Сигнатура ET CNC Zeus Tracker. Сообщён CnC сервер группа 12. От: 192.168.202.107:54493, до: 199.59.242.150:443, протокол: TCP

powerlord Guest	#12 14.05.2018 06:19:00 Та же проблема у меня.

staticipit

Guest

#13

13.05.2018 02:10:00

Вижу это с самого утра, ничего в настройках не менял. Кто-нибудь еще видел такое предупреждение?
IPS Alert 1: Обнаружен сетевой троян. Сигнатура ET USER_AGENTS HackingTrio UA (Привет, мир). От: 187.175.46.70:41343, кому: localmachine:8080, протокол: TCP, интерфейс: eth0.

ml1950

Guest

#14

24.04.2018 05:55:00

Я не уверен, что справедливо ожидать от UniFi комментариев по каждому предупреждению из-за множества возможных вариантов и того, что каждое из них во многом специфично для конкретного пользователя или сайта. Большая часть информации общедоступна (многие из этих IPS-правил — с открытым исходным кодом), и такие предупреждения на самом деле должны интерпретироваться IT-специалистами на месте с учётом контекста. Я рассчитываю, что они дадут решение, которое вызвало эти предупреждения, а не обязательно будут советовать, что с ними делать. Если эти опасения связаны с моими и чужими постами выше о том, нормально ли работает IPS, то есть ещё несколько обсуждений, где было в целом подтверждено, что всё функционирует как надо. У меня была такая беседа с представителем UBNT здесь: https://community.ui.com/questions/efeeabaa-4af3-47e8-b60e-6a2f24163b56#comment/b3b5f875-7869-43db-8cf7-0039f8b236a9.

Сказав это, есть ли у вас конкретные опасения по этому (или другому) предупреждению? Думаю, уже вполне понятно, что это конкретное предупреждение возникает из-за рекламы, отслеживающей действия пользователей в браузере, как подробно объяснил выше Bares, и что оно не представляет серьёзной угрозы. Очистка кэша браузера, как правило, решает проблему, но предупреждение может появиться снова со временем, когда пользователи продолжают серфить в интернете. Возможно, это можно считать ложным срабатыванием, но по крайней мере в моём понимании оно блокирует отмеченный трекер от отправки данных на сервер.

Кстати, я удалял всё с компьютера, где возникало такое предупреждение, но в основном из-за того, что Windows на том же ПК потеряла активацию за пару часов до этого. Два потенциальных нарушения безопасности за такой короткий промежуток времени заставили нас перестраховаться и сделать чистую установку. После этого, на других устройствах с таким предупреждением я просто советовал очистить браузер.

sjose Guest	#15 24.04.2018 05:25:00 У меня это происходит на нескольких устройствах, и у всех стоит отличная защита от вирусов и вредоносных программ. Есть какие-нибудь новости по поводу медленного Unifi?

Bares

Guest

#16

18.04.2018 15:46:00

По поводу этого предупреждения:
IPS Alert 1: Обнаружен сетевой троян. Сигнатура ET CNC Zeus Tracker, зафиксирована группа CnC серверов 12. От: localworkstation:54846, до: 199.59.242.150:443, протокол: TCP, интерфейс: eth1.

У меня была такая же проблема, и сначала я был в замешательстве, потому что, насколько я знаю, троян Zeus работает только на Windows, а я использую Mac. Я переустанавливал систему три раза, но предупреждение всё равно появлялось. Затем я установил Little Snitch (демо-версия меня вполне устроила) и пару часов отслеживал все подключения, пока предупреждение не появилось снова. После этого я смог найти нужные данные по IP-адресу и отфильтровать их по времени появления предупреждения. Так мне удалось отследить это до Safari и до конкретного сайта (ww7.eqyourears.com).

Раньше я добавил этот сайт в раздел «Топ-сайты» в Safari, но потом больше его не открывал. Сейчас сайт не работает и стал рекламным. Однако, поскольку он был в моих Топ-сайтах, а они синхронизируются через iCloud, даже чистая переустановка macOS проблему не решала. При первом запуске Safari автоматически загружал этот сайт в фоне, чтобы сгенерировать иконку.

После удаления сайта из Топ-сайтов периодические предупреждения прекратились. Надеюсь, это поможет. Little Snitch — отличный инструмент для расследования таких проблем, и демо-версии хватает в большинстве случаев.

Ryckk Guest	#17 06.04.2018 00:56:00 Продолжаю получать это предупреждение на компьютере с Windows 10. Запустил rkill, Windows Defender и Malwarebytes. Всё чисто, но предупреждения продолжают приходить.

devinjohnson Guest	#18 05.04.2018 02:02:00 У меня тоже был такой сигнал, он был для iPhone (если это что-то меняет). Похоже, что большинство ответов здесь говорят, что это безвредно.

ml1950 Guest	#19 04.04.2018 23:56:00 Обновлю ситуацию: похоже, проблема связана с IPS. Сегодня сработало оповещение с текстом: IPS Alert 2: Misc Attack. Signature ET DROP Dshield Block Listed Source group 1. От: 5.188.9.25:56882, Кому: 192.168.11.10:8000, протокол: TCP, интерфейс: eth1. Однако, когда я посмотрел логи USG, в это время была только такая запись: Apr 4 14:52:02 UniFiSecurityGateway kernel: [WAN_IN-3003-A]IN=eth0 OUT=eth1.11 MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx src=5.188.9.25 DST=192.168.11.10 LEN=40 TOS=0x00 PREC=0x00 TTL=239 ID=59483 PROTO=TCP SPT=56882 DPT=8000 WINDOW=1024 RES=0x00 SYN URGP=0 Это выглядит как сообщение о принятом пакете, что совпадает с моими правилами проброса портов, но явно не соответствует блокировке IPS. В этом логе нет ни слова о блокировке IPS, в отличие от предыдущих оповещений. К сожалению, в тот момент у меня не был включён сниффер пакетов, так что я не могу подтвердить, что пакет действительно дошёл до клиента. Похоже, что IPS на этой системе сейчас не работает, несмотря на то, что он включён и шлёт оповещения. Может, кто-то может подтвердить, видит ли он похожие или другие сообщения с блокировкой IPS и означает ли это действительно работу IPS?

Читают тему (гостей: 1)