Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Обнаружен вредоносный ET Malware SocGholish в DNS-запросе., UniFi Network
 
#1
09.05.2025 14:37:00
Вот что получилось:

Так вот, у меня было две попытки вторжения с iPad, которые заблокировала система предотвращения вторжений на моём Dream Machine. IPS Оповещение 1: Обнаружен сетевой троян. Подпись ET MALWARE SocGholish Domain в DNS-запросе (ссылка на сайт была здесь). От: 192.168.1.94:49490 (iPad), до: 192.168.1.1:53, протокол: UDP. Я немного покопался на сайте, и похоже, член семьи зашёл на сайт с вредоносным плагином для WordPress. На iPad ничего не было скачано (потому что эта штука SocGholish/drive-by загрузки в основном нацелена на Windows-машины). Я правильно понимаю ситуацию, и можно просто оставить всё как есть? Или нужно что-то ещё сделать? Я не IT-эксперт, так что заранее извиняюсь, если вопрос глупый.
 
 
 
#2
09.05.2025 16:24:00
Спасибо ещё раз! :)
 
 
 
#3
09.05.2025 15:58:00
Ну, ты практически точно описал, как я бы это событие описал. Отличная работа.
 
 
 
#4
09.05.2025 15:23:00
Привет, спасибо за быстрый ответ! Да, это настроено на "Уведомлять и блокировать". И в логах я вижу, что обе попытки были заблокированы. Я почитал ещё, я всегда стараюсь больше узнать о сетях/о том, как всё работает. Стоит ли считать DNS телефонной книгой интернета? И когда iPad пытался выйти на этот сайт, Unifi Dream Machine увидел его в своём "списке нехороших" сайтов и заблокировал? И соединение вообще не было установлено? Потому что там написано "Signature ET malware Domain in DNS lookup".
 
 
 
#5
09.05.2025 14:50:00
На Dream Machine зайди в Настройки и поищи "Режим обнаружения". Кликни на Режим обнаружения в результатах поиска, а потом посмотри, установлен ли он в "Уведомлять" или "Уведомлять и блокировать". Если установлено "Уведомлять и блокировать", скорее всего, ничего делать не нужно - IPS поймал и заблокировал соединение. Если стоит только "Уведомлять", я бы проверил устройство - антивирус или что там предлагают от Apple, чтобы убедиться, что оно чистое. Можно ещё посмотреть в разделе "Аналитика" > "Потоки" — отфильтруй заблокированные соединения и посмотри, что происходило примерно в момент логирования предупреждения, чтобы убедиться, что соединение было остановлено.
 
 
 
Страницы: 1
Читают тему (гостей: 1)