Beiträge von fjewl

Hi,

nun die Firewall blockiert ja schon den Traffic, insofern ja schon mal nicht schlecht und die FW-Regeln sind ja auch schon gesetzt.
Die Frage ist nur, warum da überhaupt ein Prozess raus möchte, bzw. wenn das Malware ist, wie die auf eine frische TS-251 ohne Drittanbieter-Applikationen und ohne externen Zugang kommt.

Eventuell ist das auch ein false positive von der UTM.

fjewl

P.S: Ich logge jetzt mal den Traffic, ist auf UDP Port 15632, vielleicht gibt es da news.
EDIT: Es könnte dein, dass es am ffmpeg lag (Transkodierungsservice? Der hing bei der Transkodierung von ein paar mkvs... FFMPEG hatte da wohl mal eine Sicherheitslücke, aber eigentlich ist die Version, die auf der TS eingesetzt wird, nicht betroffen... Habe auf jeden fall mal den service gestoppt und neugestartet. Schauen wir mal, ob es wiederkommt)

Hi,

sorry für die Latenz beim Antworten.
Die TS-219P+ hängt nur im internen Netz mit einer statischen IP, keine Portweiterleitungen, Natting oder Ähnliches.
Die Firewall ist aber als Gateway eingetragen, d.h. sie kann raus.
Router ist eben (eine virtualisierte) Sophos UTM 9 Home Edition in der aktuellsten Version.
UPnP Konfiguration ist dementsprechend aus, da von der UTM 9 nicht unterstützt.

An Apps eigentlich nur die Standard-Apps (gibt es da eine Config,die man sich ziehen kann?)

fjewl

Hallo zusammen,

ich habe eine TS-219P+ mit FW 4.1.1 am Laufen und ähnlich wie PanicFR eine Sophos UTM davor.
Auch ich erhalte regelmäßig (bis vor kurzem einmal pro Woche, jetzt öfter) eine Meldung von der FW, dass Pakete als C2/Generic-A geblockt werden.
Die Threatmeldung sagt, dass der Zielserver als ein C&C Server identifiziert ist, bei mir ist es aber die IP 77.122.125.137.

Ich habe dabei keine Extra-Software installiert und eigentlich nur den eingebauten Twonky DLNA Server aktiviert (+ Download Station, Filestation).

fjewl