Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
Расшифровка оповещений IPS, UniFi Network
 
#1
30.03.2018 16:17:00
Всем привет! Куда можно обратиться или куда лучше зайти, чтобы расшифровать и понять IPS-уведомления, которые я получаю? Мне только что пришло около 30 таких оповещений, например:  
IPS Alert 1: Executable Code was Detected. Signature ET SHELLCODE Common 0a0a0a0a Heap Spray String. From: 23.204.103.33:80, to: 192.168.99.140:53263, protocol: TCP, in interface: eth1

Но я точно не понимаю, что это значит. Я скопировал эту строку в Google и быстро запутался в результатах. Есть ли какой-то рекомендованный сайт, который поможет админам понять, что значит «Signature ET SHELLCODE Common 0a0a0a0a Heap Spray String»? Спасибо!
 
 
 
#2
22.09.2019 19:24:00
Я получил это уведомление для IP-адреса Apple: 17.253.3.208
 
 
 
#3
16.09.2019 03:23:00
У меня такой же. 23.50.53.201 : 80 очков компании Akamai Technology.
 
 
 
#4
19.05.2019 08:39:00
+1. Исходя из пары ПК в сети, а не из каких-либо Mac, для информации.  
P.S. Алерт 1: Обнаружен исполняемый код. Сигнатура ET SHELLCODE Common 0a0a0a0a Heap Spray String. От: 23.219.38.43:80, к: xx.x.x.xx:60580, протокол: TCP
 
 
 
#5
02.02.2021 23:52:00
Я заметил, что запуск World of Warcraft тоже вызвал это предупреждение. Проверил на двух разных компьютерах — подтвердилось.
 
 
 
#6
27.08.2020 17:32:00
При загрузке Hiren's boot cd с https://www.hirensbootcd.org/download/ у меня появляются такие сообщения. Думаю, на образе диска есть какая-то утилита, которая может вызывать это предупреждение.
 
 
 
#7
08.07.2020 13:26:00
Также получил нечто похожее: предупреждение об угрозе 1: Обнаружен исполняемый код. Сигнатура ET SHELLCODE Possible Call with No Offset TCP Shellcode. От: 8.246.68.126:80, к: 192.168.1.49:26638, протокол: TCP.

.49 — это настольный ПК в моей сети. Геолокация показала, что исходный IP из Австралии, но этот диапазон IP принадлежит партнеру в США:

Источник: whois.arin.net  
IP-адрес: 8.246.68.126  
Имя: LVLT-ORG-8-8  
Обработка: NET-8-224-0-0-2  
Дата регистрации: 01.12.1992  
Диапазон: 8.224.0.0-8.255.255.255  
Организация: Level 3 Parent, LLC  
Обработка организации: LPL-141  
Адрес: 100 CenturyLink Drive  
Город: Monroe  
Штат/провинция: LA  
Почтовый индекс: 71203  
Страна: США

Предполагаю, что это ложное срабатывание (в любом случае было заблокировано), но добавляю в список того, что здесь уже сообщалось.
 
 
 
#8
24.06.2020 04:33:00
Получаю точно такое же оповещение от того же самого источника. Есть какие-то новости по этому поводу?
 
 
 
#9
16.06.2020 21:17:00
Два дня назад было 64 таких - Оповещение по управлению угрозами 1: Обнаружен исполняемый код. Подпись ET SHELLCODE Возможная попытка Heap Spray с %41%41%41%41. От: 72.21.81.240:80, к: xxx.yyy.zzz.999, протокол: TCP
 
 
 
#10
16.06.2020 16:06:00
Я постоянно получаю такие сообщения от management IP моих ESXi-хостов к IP моего vCenter. Однако я не могу связать временную метку с какой-либо ошибкой или конкретным событием в vSphere, поэтому просто оставил это правило без изменений.
 
 
 
#11
16.06.2020 12:06:00
Сегодня утром пришли оповещения с нескольких IP-адресов: Сообщение: Предупреждение IPS 1: Обнаружен исполняемый код. Сигнатура ET SHELLCODE Возможная попытка распыления в куче с %41%41%41%41. IP 23.35.68.232 относится к akamai technology. Кто-нибудь ещё видел что-то похожее?
 
 
 
#12
08.06.2020 12:20:00
Это было сегодня утром — предупреждение системы управления угрозами 1: обнаружен исполняемый код. Подпись ET SHELLCODE Возможная попытка Heap Spray с %41%41%41%41. Есть ли общее мнение, что это ложная тревога или что это просто человек зашёл на игровой сайт? Спасибо.
 
 
 
#13
28.02.2020 22:02:00
Возвращаюсь, чтобы добавить из другой темы. Источник: whois.arin.net  
IP-адрес: 67.24.149.254  
Имя: LC-ORG-ARIN-BLK3  
Обработчик: NET-67-24-0-0-1  
Дата регистрации: 07.11.2001  
Диапазон: 67.24.0.0–67.31.255.255  
Организация: Level 3 Parent, LLC  
Обработчик организации: LPL-141  
Адрес: 100 CenturyLink Drive  
Город: Monroe  
Штат/провинция: LA  
Почтовый индекс: 71203  
Страна: США  
DNS-серверы:  

Скорее всего, это был настольный ПК, который автоматически запускал обновления Windows в удалённой сети, подключённой через IPSec site-to-site VPN туннель. Но у меня не было времени проверить это подробнее, да и сейчас, видимо, машина вошла в спящий режим и/или застряла на каком-то запросе перезагрузки, потому что я не могу подключиться к ней через RDP или даже пингануть ее в удалённой сети.  

Версия UniFi Controller: 5.9.32  
Linux unifi01 4.9.0-8-amd64 #1 SMP Debian 4.9.130-2 (2018-10-27) x86_64 GNU/Linux  
Дистрибутив: Debian GNU/Linux 9.6 (stretch)  
Виртуальная машина работает на Google Cloud Compute
 
 
 
#14
17.05.2019 16:02:00
Я тоже начал получать такие сообщения с вчерашнего дня. Заблокировал подсеть 23.222.29.0/24, но сообщения стали приходить с совершенно другого IP, хотя, похоже, всё ещё от Akamai... Обнаружен исполняемый код. Подпись ET SHELLCODE Common 0a0a0a0a Heap Spray String. От: 23.222.29.238:80. Обнаружен исполняемый код. Подпись ET SHELLCODE Common 0a0a0a0a Heap Spray String. От: 23.222.29.208:80. Обнаружен исполняемый код. Подпись ET SHELLCODE Common 0a0a0a0a Heap Spray String. От: 23.193.44.147:80. Обнаружен исполняемый код. Подпись ET SHELLCODE Common 0a0a0a0a Heap Spray String. От: 184.24.98.160:80.
 
 
 
#15
16.05.2019 14:01:00
Вновь поднимаю эту тему, так как за последние несколько дней получил несколько таких флагов shellcode. По моим исследованиям, все они исходят от Akamai Technologies.

Обнаружен исполняемый код. Сигнатура ET SHELLCODE Common 0a0a0a0a Heap Spray String. От: 23.209.36.113:80  
Обнаружен исполняемый код. Сигнатура ET SHELLCODE Common 0a0a0a0a Heap Spray String. От: 23.209.36.131:80  
Обнаружен исполняемый код. Сигнатура ET SHELLCODE Common 0a0a0a0a Heap Spray String. От: 23.209.36.122:80  
Обнаружен исполняемый код. Сигнатура ET SHELLCODE Common 0a0a0a0a Heap Spray String. От: 23.209.36.131:80  
Обнаружен исполняемый код. Сигнатура ET SHELLCODE Common 0a0a0a0a Heap Spray String. От: 23.209.36.112:80  
Обнаружен исполняемый код. Сигнатура ET SHELLCODE Common 0a0a0a0a Heap Spray String. От: 23.48.33.16:80  
Обнаружен исполняемый код. Сигнатура ET SHELLCODE Common 0a0a0a0a Heap Spray String. От: 23.209.36.122:80  

Все это произошло за последние 48 часов. Кто-то уверен, что это никак не связано с вредоносной активностью?
 
 
 
#16
12.02.2019 09:07:00
Зашёл на сайт компании и увидел больше 300 оповещений.  
IPS Alert 1: Обнаружен исполняемый код. Сигнатура ET SHELLCODE Common 0a0a0a0a Heap Spray String. От: 2.23.173.32:80, до: 192.168.0.40:57398, протокол: TCP.  
Похоже, ложное срабатывание? Или что?
 
 
 
#17
29.01.2019 03:16:00
Сегодня у меня сработало оповещение на IP Verizon — странно, ведь у меня только Verizon в качестве сотового оператора.
 
 
 
#18
25.01.2019 00:11:00
Просто к сведению, у меня тоже пришло такое же предупреждение на оба сетевых DVR. У меня Fios, и исходящий IP принадлежит Verizon, так что, насколько я понимаю, это ложная тревога.
 
 
 
#19
13.12.2018 11:01:00
Только что получила оповещение с адреса Microsoft и Level3. Похоже, это компьютер на Windows пытается обновиться. Надеюсь, это ложная тревога.
 
 
 
#20
12.12.2018 14:06:00
Вчера ночью мне пришло это предупреждение IPS с адреса Microsoft. Думаю, это ложная тревога.
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)