Snort mailing list archives

RES: Erro SID 1:2404172

From: <juan () tipartner com br>
Date: Wed, 14 Mar 2018 17:56:45 -0300

Diego, Obrigado pelo retorno,

 

Eu tinha observado isso já. Essa conexão não faz parte do escopo de trabalho de  nenhum dos meus clientes. 

Eu queria mesmo era tentar entender essa conexão, se é alguma ameaça ou o que, que está causando isso.

 

Essa ações começaram a ocorrer a uns 3 dias, computadores bloqueando a todo instante.

 



 

Juan Vinícius Casagrande Damo

Fone/Fax: (51) 3529 1120 / (51) 3529 1140

Celular: (51) 9397 8584

E-mail:  <mailto:juan () tipartner com br> juan () tipartner com br  

Skype:  juan.damo91 

 

"Esta mensagem é endereçada exclusivamente ao seu destinatário e poderá conter informações confidenciais.

O uso não autorizado de tais informações é proibido e estará sujeita a penalidade cabível.

 

This message is intended exclusively for its addressee and may contain information that is confidential.

Unauthorized use of such information is prohibited and subject to applicable penalties".

 

De: Diego Ramires <diego.ramires () runrun it> 
Enviada em: quarta-feira, 14 de março de 2018 17:42
Para: juan () tipartner com br
Cc: snort-users () lists snort org
Assunto: Re: [Snort-users] Erro SID 1:2404172

 

  <https://mailtrack.io/trace/mail/bbf28bf55cb3112aa088b5bf8828cb4dc55b45c4.png?u=2408971> 

Ola Juan.

 

Veja que esse IP de destino é da BODIS-1 LLC, se você não sabe do que se trata essa conexão sugiro que bloqueie no seu 
firewall o range 199.59.240.0-199.59.243.255.

 

E posteriormente analise melhor o equipamento de onde está vindo o alerta, cuidado com os falsos positivos.

 

 

 

 

Source: whois.arin.net <http://whois.arin.net> 

IP Address: 199.59.242.150

Name: BODIS-COM

Handle: NET-199-59-240-0-1

Registration Date: 09/12/10

Range: 199.59.240.0-199.59.243.255

Org: Bodis, LLC

Org Handle: BODIS-1

Address: 228 Park Ave S #36792

City: New York

State/Province: NY

Postal Code: 10003

Country: United States

 






‌

 <https://mailtrack.io/> Sent with Mailtrack 
<https://mailtrack.io?utm_source=gmail&utm_medium=signature&utm_campaign=signaturevirality&;>  

 

2018-03-14 17:13 GMT-03:00 <juan () tipartner com br <mailto:juan () tipartner com br> >:

Olá,

 

Alguém com bloqueios seguidos contendo as seguintes informações? 

 


Date

Pri

Proto

Class

Source IP

SPort

Destination IP

DPort

SID

Description


2018-03-14
16:14:32

1

TCP

A Network Trojan was Detected

192.168.X.X
  

49606

199.59.242.150
  

443

1:2404172
  

ET CNC Zeus Tracker Reported CnC Server TCP group 12

 

Eu gerencio vários servidores com Snort, e em vários clientes comecei a receber este alerta. Alguém poderia ajudar?

 

Já realizamos varreduras com vários antivírus e nada é encontrado.

 

Obrigado.

 



 

Juan Vinícius Casagrande Damo

Fone/Fax: (51) 3529 1120 / (51) 3529 1140

Celular: (51) 9397 8584

E-mail:  <mailto:juan () tipartner com br> juan () tipartner com br  

Skype:  juan.damo91 

 

"Esta mensagem é endereçada exclusivamente ao seu destinatário e poderá conter informações confidenciais.

O uso não autorizado de tais informações é proibido e estará sujeita a penalidade cabível.

 

This message is intended exclusively for its addressee and may contain information that is confidential.

Unauthorized use of such information is prohibited and subject to applicable penalties".

 


_______________________________________________
Snort-users mailing list
Snort-users () lists snort org <mailto:Snort-users () lists snort org> 
Go to this URL to change user options or unsubscribe:
https://lists.snort.org/mailman/listinfo/snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!

Please follow these rules: https://snort.org/faq/what-is-the-mailing-list-etiquette





 

-- 

Att,

 

Diego Miris Ramires

Infraestrutura

  <https://d22iebrrkdwkpr.cloudfront.net/public/email_signature/logo.png> 
 <https://facebook.com/RunRun.it>   <https://twitter.com/runrun_it>   <http://linkedin.com/company/runrun-it>   
<http://blog.runrun.it/>   <http://youtube.com/user/runrunittv>   
<https://plus.google.com/u/1/101782822170318588176/posts> 
Aumente sua produtividade em 25% -  
<http://t.sidekickopen16.com/e1t/c/5/f18dQhb0S7lC8dDMPbW2n0x6l2B9nMJW7t5XYg1qwnVnVdntDd8r4Q-2W4Wzrfn56dVP3f5-H73F02?t=http%3A%2F%2Frunrun.it%2Fpt-BR&si=6431802467549184&pi=51b34bf4-2e62-40b7-968b-6c2e23345d29>
 Use o Runrun.it na sua empresa

_______________________________________________
Snort-users mailing list
Snort-users () lists snort org
Go to this URL to change user options or unsubscribe:
https://lists.snort.org/mailman/listinfo/snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!

Please follow these rules: https://snort.org/faq/what-is-the-mailing-list-etiquette

Current thread:

Erro SID 1:2404172 juan (Mar 14)
- Re: Erro SID 1:2404172 Diego Ramires (Mar 14)
  - RES: Erro SID 1:2404172 juan (Mar 14)
    - Re: Erro SID 1:2404172 Diego Ramires (Mar 14)
    - Message not available
    - Message not available
    - Re: RES: Erro SID 1:2404172 Samuel Riesz via Snort-users (Mar 14)
    - Re: RES: Erro SID 1:2404172 Diego Ramires (Mar 14)
    - RES: RES: Erro SID 1:2404172 juan (Mar 15)
    - Re: RES: RES: Erro SID 1:2404172 Diego Ramires (Mar 15)