Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Fortigate 60C - Alarm 13448

Frage Sicherheit Firewall

Mitglied: temuco

temuco (Level 1) - Jetzt verbinden

24.01.2012, aktualisiert 11:03 Uhr, 8917 Aufrufe, 23 Kommentare, 1 Danke

Hallo,

ich bekomme seit dem 17.01.2012 immer wieder folgende Meldung von der Fortigate 60C:

Message meets Alert condition
The following intrusion was observed: .
date=2012-01-24 time=09:24:57 devname=FGT60C3G11002764 device_id=FGT60C3G11002764 log_id=0419016384 type=ips subtype=signature pri=alert severity=high carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="N/A" src=94.127.76.220 dst=192.168.1.50 src_int="wan1" dst_int="internal" policyid=1 identidx=0 serial=1975498 status=detected proto=6 service=4566/tcp vd="root" count=1 src_port=80 dst_port=4566 attack_id=13448 sensor="all_default" ref="http://www.fortinet.com/ids/VID13448" user="N/A" group="N/A" incident_serialno=553531813 msg="web_client: Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass"

Bisher ist es mir nicht gelungen, die Anwendung zu identifizieren, die diesen Alarm auslöst. Wenn ich mir jedoch die Quelladresse anschaue, sehe ich, dass es sich immer um die gleiche externe IP-Adresse handelt. Ein Lookup ergab dabei folgendes:

IP-Adresse: 94.127.76.220
Land: Holland
Region: Nord-Holland
Internet Service Provider: Cotendo
Organisation: Cotendo

Wenn ich dem Link http://www.fortinet.com/ids/VID13448 folge, sehe ich, dass es sich um eine relativ alte Geschichte handelt, die eigentlich heute nicht mehr auftauchen sollte. Dieser Fehler sollten in alten Browser- und E-Mail-Client-Versionen von Mozilla enthalten sein – bei uns werden aber solche Produkte erst gar nicht eingesetzt (weder alt noch neu).

Ich stehe im Moment auf dem Schlauch und wende mich daher an euch.

Herzlichen Dank im Voraus

temuco
Mitglied: Ausserwoeger
24.01.2012 um 12:02 Uhr
Naja ich würde mir den client mit der IP 192.168.1.50 genauer anschauen da sollte es einen (web_client: Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass) Mozilla drauf geben.

LG
Bitte warten ..
Mitglied: temuco
24.01.2012 um 12:12 Uhr
Es ist nicht nur die Adresse 192.168.1.50, sondern insgesamt 13 unterschiedliche Rechner seit dem 17.01.2012.

Und eins ist sicher: Keiner der Rechner hat weder Firefox noch Thunderbird o. ä.. Auch Chrome oder was anderes nicht.

Das einzige, was mir jetzt einfällt, ist einen Logger auf einigen dieser PC mitlaufen zu lassen, um vielleicht zu erkennen, was der Anwender zur infrage kommenden Zeit gemacht hat. Allerdings würde ich mir diesen Aufwand wirklich gerne sparen. Daher meine Frage hier im Forum

Vielen Dank!

temuco
Bitte warten ..
Mitglied: Pjordorf
24.01.2012 um 13:41 Uhr
Hallo,

Zitat von temuco:
Es ist nicht nur die Adresse 192.168.1.50, sondern insgesamt 13 unterschiedliche Rechner seit dem 17.01.2012.
Ups.

Und eins ist sicher: Keiner der Rechner hat weder Firefox noch Thunderbird o. ä.. Auch Chrome oder was anderes nicht.
Auch keine Portable Version(en)?

Das einzige, was mir jetzt einfällt, ist einen Logger auf
Netwzerkebene. Wireshark oder das Werkzeug deines vertrauens sollte dir doch hier schnell die Wege aufzeigen von deiner Fortigate zum Client.

Gruß,
Peter
Bitte warten ..
Mitglied: temuco
25.01.2012 um 10:02 Uhr
Ob gleich auf Netzwerkebene, weiß ich nicht. Ich scheue ein wenig den Aufwand, Mir würde zunächst reichen, wenn ich die Anwendung identifiziere, die zum Alarm führt.

Aber wichtig für mich ist auch zu wissen, was dieser Alarm wirklich bedeutet. Das würde mir auch weiter helfen.

Schönen Dank!

temuco
Bitte warten ..
Mitglied: Ausserwoeger
25.01.2012 um 10:51 Uhr
src=94.127.76.220 dst=192.168.1.50 src_int="wan1" dst_int="internal" policyid=1 identidx=0 serial=1975498 status=detected proto=6 service=4566/tcp vd="root" count=1 src_port=80 dst_port=4566 attack_id=13448 sensor="all_default"

Wenn ich das richtig deute bedeutet das einfach das die IP src=94.127.76.220 über src_int="wan1" auf das interface dst_int="internal und die IP dst=192.168.1.50 vom src_port=80 auf den dst_port=4566 eine verbindung herstellen möchte.

attack_id=13448 deutet auf einen angriff von extern hin !

msg="web_client: Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass"
Das bedeutet wohl das der andere (angreifer) eines dieser Programme verwendet oder das die Firewall glaubt das es sich um eines dieser Programme handelt.

Weiter oben hab ich zwar was anderes geschrieben aber da hatte ich source und destination wohl versehentlich vertauscht und somit geglaubt das dein client zu der IP eine Verbindung aufbauen will.
Aber laut der meldung sollte das umgekehrt sein.

LG
Bitte warten ..
Mitglied: wirelessjan
25.01.2012 um 13:21 Uhr
Hallo zusammen,

habe das gleiche Phänomen wie temuco.

Message meets Alert condition
The following intrusion was observed: .
date=2012-01-25 time=10:28:18 devname=FGT-60B3907513159 device_id=FGT60B3907513159 log_id=0419016384 type=ips subtype=signature pri=alert severity=high carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="N/A"
src=94.127.76.220 dst=192.168.0.163 src_int="wan1" dst_int="internal" policyid=9 identidx=0 serial=1279504 status=dropped proto=6 service=49651/tcp vd="root" count=1 >
attack_name=Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass src_port=80 dst_port=49651 attack_id=13448 sensor="all_block" ref="http://www.fortinet.com/ids/VID13448" user="N/A" group="N/A" incident_serialno=1923513820
msg="web_client: Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass"

Wir haben auch keine Mozilla-Software installiert.
Somit interessiert mich es auch sehr welches Programm, oder ähnliches, dies verursacht.
Bitte warten ..
Mitglied: temuco
25.01.2012 um 14:20 Uhr
Und auch dieselbe Adresse: 94.127.76.220

Ich werde jetzt zwei der betroffenen PCs fernwarten und versuchen, den Alarm zu verursachen. Hoffentlich habe ich Glück dabei.

Welche Anwendersoftware benutzt du? Hast du etwas unter Verdacht? Und seit wann hast du das Problem?

Grüße

temuco
Bitte warten ..
Mitglied: Pjordorf
25.01.2012 um 15:31 Uhr
Hallo,

Zitat von temuco:
Und auch dieselbe Adresse: 94.127.76.220
Welch ein Zufall habt ihr euch schon mal gedanken darüber gemacht wer oder was sich hinter dieser IP verbirgt? http://www.robtex.com/ip/94.127.76.220.html#ip Ich lese da so Sachen wie download.de oder lidl.pl oder contendo.com (contendo.net wird direkt auf contendo.com geleitet). Und deutet ein log_id=0419016384 nicht auf IDS in der Fortigate hin? Such mal im http://docs.forticare.com/fgt/techdocs/fortigate-lmr.pdf nach 16384. Und hier steht mehr zum IDS http://docs.fortinet.com/fgt/archives/3.0/techdocs/FortiGate_IPS_Guide_ ...

Schaut mal nach was der Interne PC kurz vorher (direkt davor?) getan hat.

Gruß,
Peter
Bitte warten ..
Mitglied: temuco
25.01.2012 um 16:18 Uhr
Ich habe den Verursacher bei uns ziemlich eingegrenzt: Ich bekam per E-Mail einen Alert und rief den Anwender sofort an – Er erzählte mir, dass er eigentlich nichts gemacht hatte, außer auf der Seite linguee.de einen Begriff ins Englische zu übersetzen.

Ich habe einen Rechner genommen, der bisher nie einen Alarm verursacht hatte, die Übersetzungsseite aufgerufen und innerhalb von 5 Minuten hatte ich auch einen Alarm von diesem PC. Dasselbe wiederholte ich auf zwei anderen PCs, wobei ich den Alarm nur von einem dieser zweien bekam.

Dabei fiel mir die eingeblendete Werbung auf: Nach einigen Minuten wird oben im Kopfbereich und am linken Seitenrand eine andere Werbung angezeigt. Während meiner Tests wiederholte sich die Werbung allerdings nicht mehr – es kam immer wieder eine andere, für mich neue Werbung – und der Alarm wurde nicht mehr ausgelöst.

Daher bin ich mir relativ sicher, dass dieser Alarm von einer der eingeblendeten Werbebanner ausgelöst wird. Ich kann mir aber nicht genau erinnern, welche Werbung zum Zeitpunkt der Alarme eingeblendet war – hier könnte (konjunktiv) Werbung von Reichelt gewesen sein, denn diese steht vorne in meinem Gedächtnis, es könnte aber auch kurz davor gewesen sein.
Bitte warten ..
Mitglied: temuco
27.01.2012 um 14:08 Uhr
Ich melde mich kurz noch einmal: Auch der Betreiber der Seite linguee.de ist der Meinung, dass einer seiner Werbekunden schädlichen Code über einen Werbebanner einschleust, sie sehen sich aber anscheinend nicht in der Lage, den Verursacher zu finden und bitten um Mithilfe. Wahrlich gesagt, mit der Ihnen zur Verfügung gestellten Information dürfte es Ihnen nicht schwer fallen, den Verursacher zu finden – ich habe wirklich anderes zu tun, als zu warten, bis ein Werbebanner zuschlägt!

Ich habe die Adresse 94.127.76.220 einfach blockiert und gut ist es. Sollten wieder Einbruchsversuche mit anderen IP-Adressen stattfinden, die ihren Ursprung auf der Seite linguee.de haben, so werde ich auch den Zugriff auf die Seite generell sperren.

Vielen Dank für eure Hilfe.

temuco
Bitte warten ..
Mitglied: akg-ds
22.02.2012 um 14:03 Uhr
Hallo Zusammen,

mich hat das Teil heute auch heimgesucht. @temuco Wie sperrst du bei dir? UTM Web/Url-Filter?

Danke & Gruß

Daniel
Bitte warten ..
Mitglied: Ausserwoeger
22.02.2012 um 14:52 Uhr
Ich hatte das Problem jetzt auch schon bei mehreren kunden. Glaub nicht das es an einem Werbebanner liegt. Den keiner meiner kunden nutzt die oben genannte webseite.

LG
Bitte warten ..
Mitglied: wirelessjan
22.02.2012 um 15:14 Uhr
Zitat von Ausserwoeger:
Ich hatte das Problem jetzt auch schon bei mehreren kunden. Glaub nicht das es an einem Werbebanner liegt. Den keiner meiner
kunden nutzt die oben genannte webseite.

LG

Es betrifft nicht nur die von temuco genannte linguee Seite sondern auch andere Seiten mit eingebetteten Werbebanner. Zumindest bei uns.
Bitte warten ..
Mitglied: Ausserwoeger
22.02.2012 um 15:50 Uhr
Möglich ! Ich kann das leider nicht nachvollziehen den wenn die meldung kommt macht der user des Pcs schon etwas anderes. Oder die Werbung ist schon nicht mehr sichtbar.

LG
Bitte warten ..
Mitglied: akg-ds
23.02.2012 um 11:36 Uhr
Also bei mir tritt es heute wieder vermehrt an mehreren Clients auf!

EDIT:
Nachdem jetzt wieder die Meldung kam, bin ich gleich zum Kollegen gesprintet und habe gefragt, was er eben gemacht hat.
Er war auf Freenet.de in seinem Webmailer. Vorhin hatte mir auch ein anderer Kollege erzählt, er hat was bei Freenet gemacht,
was ich nicht weiter beachtet hatte.
Bitte warten ..
Mitglied: Ausserwoeger
23.02.2012 um 13:17 Uhr
Zitat von akg-ds:
Also bei mir tritt es heute wieder vermehrt an mehreren Clients auf!

EDIT:
Nachdem jetzt wieder die Meldung kam, bin ich gleich zum Kollegen gesprintet und habe gefragt, was er eben gemacht hat.
Er war auf Freenet.de in seinem Webmailer. Vorhin hatte mir auch ein anderer Kollege erzählt, er hat was bei Freenet
gemacht,
was ich nicht weiter beachtet hatte.

Freenet aha na mir egal ich sperr das einfach mal mal schauen wer sich meldet.

LG
Bitte warten ..
Mitglied: neue.medien
12.03.2012 um 09:41 Uhr
Hallo @ all,

neuerdings steht als Quelle die Adresse 184.169.79.82 drin. Whois ergibt, natürlich, wieder die Cotendo Inc. Bereits vor Wochen hatte ich denen schon eine E-Mail dazu geschrieben. Jedoch ohne Reaktion. Falls es noch einmal jemand probieren möchte: abuse@cotendo.com

VG Bert
Bitte warten ..
Mitglied: temuco
12.03.2012 um 11:29 Uhr
Ich hatte eine Regel erstellt, half aber nichts, das zunächst die hier bekannte Regel zuschlägt. Damit muss man mit dem Alarm leben, es sei denn, jemand hat eine gute Idee.

Schreiben an den Verursacher brachte bisher nichts. Vielleicht die Bundesnetzagentur?
Bitte warten ..
Mitglied: Ausserwoeger
12.03.2012 um 11:40 Uhr
Ich hab einfach die IP gesperrt und so die Meldung verhindert weil ich keinen Traffic mehr zu dieser IP lasse und keinen mehr von dieser IP annehme.

Virtual IP erstellen und die jeweiligen Firewall regeln !

LG Ausserwöger
Bitte warten ..
Mitglied: neue.medien
12.03.2012 um 17:05 Uhr
Ahh ja. Ich hatte die IP in den URL-Filter eingetragen. Da aber eine IP keine URL ist, hats wohl nicht gewirkt. Danke für den Hinweis.

VG Bert
Bitte warten ..
Mitglied: temuco
12.03.2012 um 19:06 Uhr
Muss ich nachschauen, Wahrscheinlich habe ich einen ähnlichen Fehler gemacht. Danke!
Bitte warten ..
Mitglied: Dirmhirn
29.03.2012 um 14:34 Uhr
HI!

hab die gleiche Meldung Seit einigen Tagen.
es das jetzt ein echter Angriff oder nur irgendein sinnloses Werbebanner oä.?

sg Dirm
Bitte warten ..
Mitglied: philippp
26.02.2014 um 12:57 Uhr
Alter Thread, aber ich hab diese Meldungen auch, hauptsächlich von der IP 23.55.226.116 .

Zum Verständnis: Meiner Meinung nach heißt das, daß das ein Angriff ist, der auf alte Mozilla-Versionen abzielt. Wenn man FireFox ab 2.0 aufwärts verwendet, geht das emdnach ins Leere, und es kann einem daher heutzutage eigenltich egal sein, wenn man sicher ist, daß im eigenen Netz keine solchen Antiquitäten mehr beuntzt werden.

Man kann ja der Fortigate im IPS-Filter sagen, daß sie nicht melden, sondern blocken soll. Weil, Meldung ist schön und gut, aber dann ist der Angriff ja bereits passiert, falls der Client verwundbar war.
Oder man nimmt die betr. IP aus, dann passiert garnix mehr (was durchaus auch zu überlegen ist, da der Angriff ja für aktuelle Software irrelevant ist).

In meinem Fall sagt DNStools, 23.55.226.116 sei eine Adresse von Akamai... das finde ich spannend... ??
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Multimedia & Zubehör
Einrichtung Alarm DINION IP Bullet 5000 HD (1)

Frage von MartinL zum Thema Multimedia & Zubehör ...

Netzwerke
Fortigate vs Sophos vs Stormshield (18)

Frage von eglipeter zum Thema Netzwerke ...

Xenserver
gelöst Xenserver 7 - Alarm "Control Domain Memory Usage" (3)

Frage von caspi-pirna zum Thema Xenserver ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (15)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...