23
Fortigate 60C - Alarm 13448
Hallo,
ich bekomme seit dem 17.01.2012 immer wieder folgende Meldung von der Fortigate 60C:
Bisher ist es mir nicht gelungen, die Anwendung zu identifizieren, die diesen Alarm auslöst. Wenn ich mir jedoch die Quelladresse anschaue, sehe ich, dass es sich immer um die gleiche externe IP-Adresse handelt. Ein Lookup ergab dabei folgendes:
IP-Adresse: 94.127.76.220
Land: Holland
Region: Nord-Holland
Internet Service Provider: Cotendo
Organisation: Cotendo
Wenn ich dem Link http://www.fortinet.com/ids/VID13448 folge, sehe ich, dass es sich um eine relativ alte Geschichte handelt, die eigentlich heute nicht mehr auftauchen sollte. Dieser Fehler sollten in alten Browser- und E-Mail-Client-Versionen von Mozilla enthalten sein – bei uns werden aber solche Produkte erst gar nicht eingesetzt (weder alt noch neu).
Ich stehe im Moment auf dem Schlauch und wende mich daher an euch.
Herzlichen Dank im Voraus
temuco
ich bekomme seit dem 17.01.2012 immer wieder folgende Meldung von der Fortigate 60C:
Message meets Alert condition
The following intrusion was observed: .
date=2012-01-24 time=09:24:57 devname=FGT60C3G11002764 device_id=FGT60C3G11002764 log_id=0419016384 type=ips subtype=signature pri=alert severity=high carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="N/A" src=94.127.76.220 dst=192.168.1.50 src_int="wan1" dst_int="internal" policyid=1 identidx=0 serial=1975498 status=detected proto=6 service=4566/tcp vd="root" count=1 src_port=80 dst_port=4566 attack_id=13448 sensor="all_default" ref="http://www.fortinet.com/ids/VID13448" user="N/A" group="N/A" incident_serialno=553531813 msg="web_client: Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass"
The following intrusion was observed: .
date=2012-01-24 time=09:24:57 devname=FGT60C3G11002764 device_id=FGT60C3G11002764 log_id=0419016384 type=ips subtype=signature pri=alert severity=high carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="N/A" src=94.127.76.220 dst=192.168.1.50 src_int="wan1" dst_int="internal" policyid=1 identidx=0 serial=1975498 status=detected proto=6 service=4566/tcp vd="root" count=1 src_port=80 dst_port=4566 attack_id=13448 sensor="all_default" ref="http://www.fortinet.com/ids/VID13448" user="N/A" group="N/A" incident_serialno=553531813 msg="web_client: Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass"
Bisher ist es mir nicht gelungen, die Anwendung zu identifizieren, die diesen Alarm auslöst. Wenn ich mir jedoch die Quelladresse anschaue, sehe ich, dass es sich immer um die gleiche externe IP-Adresse handelt. Ein Lookup ergab dabei folgendes:
IP-Adresse: 94.127.76.220
Land: Holland
Region: Nord-Holland
Internet Service Provider: Cotendo
Organisation: Cotendo
Wenn ich dem Link http://www.fortinet.com/ids/VID13448 folge, sehe ich, dass es sich um eine relativ alte Geschichte handelt, die eigentlich heute nicht mehr auftauchen sollte. Dieser Fehler sollten in alten Browser- und E-Mail-Client-Versionen von Mozilla enthalten sein – bei uns werden aber solche Produkte erst gar nicht eingesetzt (weder alt noch neu).
Ich stehe im Moment auf dem Schlauch und wende mich daher an euch.
Herzlichen Dank im Voraus
temuco
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 179437
Url: https://administrator.de/contentid/179437
Printed on: April 19, 2024 at 08:04 o'clock
23 Comments
Latest comment
Naja ich würde mir den client mit der IP 192.168.1.50 genauer anschauen da sollte es einen (web_client: Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass) Mozilla drauf geben.
LG
LG
Es ist nicht nur die Adresse 192.168.1.50, sondern insgesamt 13 unterschiedliche Rechner seit dem 17.01.2012.
Und eins ist sicher: Keiner der Rechner hat weder Firefox noch Thunderbird o. ä.. Auch Chrome oder was anderes nicht.
Das einzige, was mir jetzt einfällt, ist einen Logger auf einigen dieser PC mitlaufen zu lassen, um vielleicht zu erkennen, was der Anwender zur infrage kommenden Zeit gemacht hat. Allerdings würde ich mir diesen Aufwand wirklich gerne sparen. Daher meine Frage hier im Forum
Vielen Dank!
temuco
Und eins ist sicher: Keiner der Rechner hat weder Firefox noch Thunderbird o. ä.. Auch Chrome oder was anderes nicht.
Das einzige, was mir jetzt einfällt, ist einen Logger auf einigen dieser PC mitlaufen zu lassen, um vielleicht zu erkennen, was der Anwender zur infrage kommenden Zeit gemacht hat. Allerdings würde ich mir diesen Aufwand wirklich gerne sparen. Daher meine Frage hier im Forum
Vielen Dank!
temuco
Hallo,
Gruß,
Peter
Zitat von @temuco:
Es ist nicht nur die Adresse 192.168.1.50, sondern insgesamt 13 unterschiedliche Rechner seit dem 17.01.2012.
Ups.Es ist nicht nur die Adresse 192.168.1.50, sondern insgesamt 13 unterschiedliche Rechner seit dem 17.01.2012.
Und eins ist sicher: Keiner der Rechner hat weder Firefox noch Thunderbird o. ä.. Auch Chrome oder was anderes nicht.
Auch keine Portable Version(en)?Das einzige, was mir jetzt einfällt, ist einen Logger auf
Netwzerkebene. Wireshark oder das Werkzeug deines vertrauens sollte dir doch hier schnell die Wege aufzeigen von deiner Fortigate zum Client.Gruß,
Peter
Ob gleich auf Netzwerkebene, weiß ich nicht. Ich scheue ein wenig den Aufwand, Mir würde zunächst reichen, wenn ich die Anwendung identifiziere, die zum Alarm führt.
Aber wichtig für mich ist auch zu wissen, was dieser Alarm wirklich bedeutet. Das würde mir auch weiter helfen.
Schönen Dank!
temuco
Aber wichtig für mich ist auch zu wissen, was dieser Alarm wirklich bedeutet. Das würde mir auch weiter helfen.
Schönen Dank!
temuco
src=94.127.76.220 dst=192.168.1.50 src_int="wan1" dst_int="internal" policyid=1 identidx=0 serial=1975498 status=detected proto=6 service=4566/tcp vd="root" count=1 src_port=80 dst_port=4566 attack_id=13448 sensor="all_default"
Wenn ich das richtig deute bedeutet das einfach das die IP src=94.127.76.220 über src_int="wan1" auf das interface dst_int="internal und die IP dst=192.168.1.50 vom src_port=80 auf den dst_port=4566 eine verbindung herstellen möchte.
attack_id=13448 deutet auf einen angriff von extern hin !
msg="web_client: Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass"
Das bedeutet wohl das der andere (angreifer) eines dieser Programme verwendet oder das die Firewall glaubt das es sich um eines dieser Programme handelt.
Weiter oben hab ich zwar was anderes geschrieben aber da hatte ich source und destination wohl versehentlich vertauscht und somit geglaubt das dein client zu der IP eine Verbindung aufbauen will.
Aber laut der meldung sollte das umgekehrt sein.
LG
Wenn ich das richtig deute bedeutet das einfach das die IP src=94.127.76.220 über src_int="wan1" auf das interface dst_int="internal und die IP dst=192.168.1.50 vom src_port=80 auf den dst_port=4566 eine verbindung herstellen möchte.
attack_id=13448 deutet auf einen angriff von extern hin !
msg="web_client: Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass"
Das bedeutet wohl das der andere (angreifer) eines dieser Programme verwendet oder das die Firewall glaubt das es sich um eines dieser Programme handelt.
Weiter oben hab ich zwar was anderes geschrieben aber da hatte ich source und destination wohl versehentlich vertauscht und somit geglaubt das dein client zu der IP eine Verbindung aufbauen will.
Aber laut der meldung sollte das umgekehrt sein.
LG
Hallo zusammen,
habe das gleiche Phänomen wie temuco.
Wir haben auch keine Mozilla-Software installiert.
Somit interessiert mich es auch sehr welches Programm, oder ähnliches, dies verursacht.
habe das gleiche Phänomen wie temuco.
Message meets Alert condition
The following intrusion was observed: .
date=2012-01-25 time=10:28:18 devname=FGT-60B3907513159 device_id=FGT60B3907513159 log_id=0419016384 type=ips subtype=signature pri=alert severity=high carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="N/A"
src=94.127.76.220 dst=192.168.0.163 src_int="wan1" dst_int="internal" policyid=9 identidx=0 serial=1279504 status=dropped proto=6 service=49651/tcp vd="root" count=1 >
attack_name=Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass src_port=80 dst_port=49651 attack_id=13448 sensor="all_block" ref="http://www.fortinet.com/ids/VID13448" user="N/A" group="N/A" incident_serialno=1923513820
msg="web_client: Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass"
The following intrusion was observed: .
date=2012-01-25 time=10:28:18 devname=FGT-60B3907513159 device_id=FGT60B3907513159 log_id=0419016384 type=ips subtype=signature pri=alert severity=high carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="N/A"
src=94.127.76.220 dst=192.168.0.163 src_int="wan1" dst_int="internal" policyid=9 identidx=0 serial=1279504 status=dropped proto=6 service=49651/tcp vd="root" count=1 >
attack_name=Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass src_port=80 dst_port=49651 attack_id=13448 sensor="all_block" ref="http://www.fortinet.com/ids/VID13448" user="N/A" group="N/A" incident_serialno=1923513820
msg="web_client: Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass"
Wir haben auch keine Mozilla-Software installiert.
Somit interessiert mich es auch sehr welches Programm, oder ähnliches, dies verursacht.
Und auch dieselbe Adresse: 94.127.76.220
Ich werde jetzt zwei der betroffenen PCs fernwarten und versuchen, den Alarm zu verursachen. Hoffentlich habe ich Glück dabei.
Welche Anwendersoftware benutzt du? Hast du etwas unter Verdacht? Und seit wann hast du das Problem?
Grüße
temuco
Ich werde jetzt zwei der betroffenen PCs fernwarten und versuchen, den Alarm zu verursachen. Hoffentlich habe ich Glück dabei.
Welche Anwendersoftware benutzt du? Hast du etwas unter Verdacht? Und seit wann hast du das Problem?
Grüße
temuco
Hallo,
Welch ein Zufall
habt ihr euch schon mal gedanken darüber gemacht wer oder was sich hinter dieser IP verbirgt? http://www.robtex.com/ip/94.127.76.220.html#ip Ich lese da so Sachen wie download.de oder lidl.pl oder contendo.com (contendo.net wird direkt auf contendo.com geleitet). Und deutet ein log_id=0419016384 nicht auf IDS in der Fortigate hin? Such mal im http://docs.forticare.com/fgt/techdocs/fortigate-lmr.pdf nach 16384. Und hier steht mehr zum IDS http://docs.fortinet.com/fgt/archives/3.0/techdocs/FortiGate_IPS_Guide_ ...
Schaut mal nach was der Interne PC kurz vorher (direkt davor?) getan hat.
Gruß,
Peter
Welch ein Zufall
habt ihr euch schon mal gedanken darüber gemacht wer oder was sich hinter dieser IP verbirgt? http://www.robtex.com/ip/94.127.76.220.html#ip Ich lese da so Sachen wie download.de oder lidl.pl oder contendo.com (contendo.net wird direkt auf contendo.com geleitet). Und deutet ein log_id=0419016384 nicht auf IDS in der Fortigate hin? Such mal im http://docs.forticare.com/fgt/techdocs/fortigate-lmr.pdf nach 16384. Und hier steht mehr zum IDS http://docs.fortinet.com/fgt/archives/3.0/techdocs/FortiGate_IPS_Guide_ ...Schaut mal nach was der Interne PC kurz vorher (direkt davor?) getan hat.
Gruß,
Peter
Ich habe den Verursacher bei uns ziemlich eingegrenzt: Ich bekam per E-Mail einen Alert und rief den Anwender sofort an – Er erzählte mir, dass er eigentlich nichts gemacht hatte, außer auf der Seite
Ich habe einen Rechner genommen, der bisher nie einen Alarm verursacht hatte, die Übersetzungsseite aufgerufen und innerhalb von 5 Minuten hatte ich auch einen Alarm von diesem PC. Dasselbe wiederholte ich auf zwei anderen PCs, wobei ich den Alarm nur von einem dieser zweien bekam.
Dabei fiel mir die eingeblendete Werbung auf: Nach einigen Minuten wird oben im Kopfbereich und am linken Seitenrand eine andere Werbung angezeigt. Während meiner Tests wiederholte sich die Werbung allerdings nicht mehr – es kam immer wieder eine andere, für mich neue Werbung – und der Alarm wurde nicht mehr ausgelöst.
Daher bin ich mir relativ sicher, dass dieser Alarm von einer der eingeblendeten Werbebanner ausgelöst wird. Ich kann mir aber nicht genau erinnern, welche Werbung zum Zeitpunkt der Alarme eingeblendet war – hier könnte (konjunktiv) Werbung von Reichelt gewesen sein, denn diese steht vorne in meinem Gedächtnis, es könnte aber auch kurz davor gewesen sein.
linguee.de einen Begriff ins Englische zu übersetzen.Ich habe einen Rechner genommen, der bisher nie einen Alarm verursacht hatte, die Übersetzungsseite aufgerufen und innerhalb von 5 Minuten hatte ich auch einen Alarm von diesem PC. Dasselbe wiederholte ich auf zwei anderen PCs, wobei ich den Alarm nur von einem dieser zweien bekam.
Dabei fiel mir die eingeblendete Werbung auf: Nach einigen Minuten wird oben im Kopfbereich und am linken Seitenrand eine andere Werbung angezeigt. Während meiner Tests wiederholte sich die Werbung allerdings nicht mehr – es kam immer wieder eine andere, für mich neue Werbung – und der Alarm wurde nicht mehr ausgelöst.
Daher bin ich mir relativ sicher, dass dieser Alarm von einer der eingeblendeten Werbebanner ausgelöst wird. Ich kann mir aber nicht genau erinnern, welche Werbung zum Zeitpunkt der Alarme eingeblendet war – hier könnte (konjunktiv) Werbung von Reichelt gewesen sein, denn diese steht vorne in meinem Gedächtnis, es könnte aber auch kurz davor gewesen sein.
Ich melde mich kurz noch einmal: Auch der Betreiber der Seite linguee.de ist der Meinung, dass einer seiner Werbekunden schädlichen Code über einen Werbebanner einschleust, sie sehen sich aber anscheinend nicht in der Lage, den Verursacher zu finden und bitten um Mithilfe. Wahrlich gesagt, mit der Ihnen zur Verfügung gestellten Information dürfte es Ihnen nicht schwer fallen, den Verursacher zu finden – ich habe wirklich anderes zu tun, als zu warten, bis ein Werbebanner zuschlägt!
Ich habe die Adresse 94.127.76.220 einfach blockiert und gut ist es. Sollten wieder Einbruchsversuche mit anderen IP-Adressen stattfinden, die ihren Ursprung auf der Seite linguee.de haben, so werde ich auch den Zugriff auf die Seite generell sperren.
Vielen Dank für eure Hilfe.
temuco
Ich habe die Adresse 94.127.76.220 einfach blockiert und gut ist es. Sollten wieder Einbruchsversuche mit anderen IP-Adressen stattfinden, die ihren Ursprung auf der Seite linguee.de haben, so werde ich auch den Zugriff auf die Seite generell sperren.
Vielen Dank für eure Hilfe.
temuco
Hallo Zusammen,
mich hat das Teil heute auch heimgesucht. @temuco Wie sperrst du bei dir? UTM Web/Url-Filter?
Danke & Gruß
Daniel
mich hat das Teil heute auch heimgesucht. @temuco Wie sperrst du bei dir? UTM Web/Url-Filter?
Danke & Gruß
Daniel
Ich hatte das Problem jetzt auch schon bei mehreren kunden. Glaub nicht das es an einem Werbebanner liegt. Den keiner meiner kunden nutzt die oben genannte webseite.
LG
LG
Zitat von @Ausserwoeger:
Ich hatte das Problem jetzt auch schon bei mehreren kunden. Glaub nicht das es an einem Werbebanner liegt. Den keiner meiner
kunden nutzt die oben genannte webseite.
LG
Ich hatte das Problem jetzt auch schon bei mehreren kunden. Glaub nicht das es an einem Werbebanner liegt. Den keiner meiner
kunden nutzt die oben genannte webseite.
LG
Es betrifft nicht nur die von temuco genannte linguee Seite sondern auch andere Seiten mit eingebetteten Werbebanner. Zumindest bei uns.
Möglich ! Ich kann das leider nicht nachvollziehen den wenn die meldung kommt macht der user des Pcs schon etwas anderes. Oder die Werbung ist schon nicht mehr sichtbar.
LG
LG
Also bei mir tritt es heute wieder vermehrt an mehreren Clients auf!
EDIT:
Nachdem jetzt wieder die Meldung kam, bin ich gleich zum Kollegen gesprintet und habe gefragt, was er eben gemacht hat.
Er war auf Freenet.de in seinem Webmailer. Vorhin hatte mir auch ein anderer Kollege erzählt, er hat was bei Freenet gemacht,
was ich nicht weiter beachtet hatte.
EDIT:
Nachdem jetzt wieder die Meldung kam, bin ich gleich zum Kollegen gesprintet und habe gefragt, was er eben gemacht hat.
Er war auf Freenet.de in seinem Webmailer. Vorhin hatte mir auch ein anderer Kollege erzählt, er hat was bei Freenet gemacht,
was ich nicht weiter beachtet hatte.
Zitat von @akg-ds:
Also bei mir tritt es heute wieder vermehrt an mehreren Clients auf!
EDIT:
Nachdem jetzt wieder die Meldung kam, bin ich gleich zum Kollegen gesprintet und habe gefragt, was er eben gemacht hat.
Er war auf Freenet.de in seinem Webmailer. Vorhin hatte mir auch ein anderer Kollege erzählt, er hat was bei Freenet
gemacht,
was ich nicht weiter beachtet hatte.
Also bei mir tritt es heute wieder vermehrt an mehreren Clients auf!
EDIT:
Nachdem jetzt wieder die Meldung kam, bin ich gleich zum Kollegen gesprintet und habe gefragt, was er eben gemacht hat.
Er war auf Freenet.de in seinem Webmailer. Vorhin hatte mir auch ein anderer Kollege erzählt, er hat was bei Freenet
gemacht,
was ich nicht weiter beachtet hatte.
Freenet aha na mir egal ich sperr das einfach mal mal schauen wer sich meldet.
LG
Hallo @ all,
neuerdings steht als Quelle die Adresse 184.169.79.82 drin. Whois ergibt, natürlich, wieder die Cotendo Inc. Bereits vor Wochen hatte ich denen schon eine E-Mail dazu geschrieben. Jedoch ohne Reaktion. Falls es noch einmal jemand probieren möchte: abuse@cotendo.com
VG Bert
neuerdings steht als Quelle die Adresse 184.169.79.82 drin. Whois ergibt, natürlich, wieder die Cotendo Inc. Bereits vor Wochen hatte ich denen schon eine E-Mail dazu geschrieben. Jedoch ohne Reaktion. Falls es noch einmal jemand probieren möchte: abuse@cotendo.com
VG Bert
Ich hatte eine Regel erstellt, half aber nichts, das zunächst die hier bekannte Regel zuschlägt. Damit muss man mit dem Alarm leben, es sei denn, jemand hat eine gute Idee.
Schreiben an den Verursacher brachte bisher nichts. Vielleicht die Bundesnetzagentur?
Schreiben an den Verursacher brachte bisher nichts. Vielleicht die Bundesnetzagentur?
Ich hab einfach die IP gesperrt und so die Meldung verhindert weil ich keinen Traffic mehr zu dieser IP lasse und keinen mehr von dieser IP annehme.
Virtual IP erstellen und die jeweiligen Firewall regeln !
LG Ausserwöger
Virtual IP erstellen und die jeweiligen Firewall regeln !
LG Ausserwöger
Ahh ja. Ich hatte die IP in den URL-Filter eingetragen. Da aber eine IP keine URL ist, hats wohl nicht gewirkt. Danke für den Hinweis.
VG Bert
VG Bert
Muss ich nachschauen, Wahrscheinlich habe ich einen ähnlichen Fehler gemacht. Danke!
HI!
hab die gleiche Meldung Seit einigen Tagen.
es das jetzt ein echter Angriff oder nur irgendein sinnloses Werbebanner oä.?
sg Dirm
hab die gleiche Meldung Seit einigen Tagen.
es das jetzt ein echter Angriff oder nur irgendein sinnloses Werbebanner oä.?
sg Dirm
Alter Thread, aber ich hab diese Meldungen auch, hauptsächlich von der IP 23.55.226.116 .
Zum Verständnis: Meiner Meinung nach heißt das, daß das ein Angriff ist, der auf alte Mozilla-Versionen abzielt. Wenn man FireFox ab 2.0 aufwärts verwendet, geht das emdnach ins Leere, und es kann einem daher heutzutage eigenltich egal sein, wenn man sicher ist, daß im eigenen Netz keine solchen Antiquitäten mehr beuntzt werden.
Man kann ja der Fortigate im IPS-Filter sagen, daß sie nicht melden, sondern blocken soll. Weil, Meldung ist schön und gut, aber dann ist der Angriff ja bereits passiert, falls der Client verwundbar war.
Oder man nimmt die betr. IP aus, dann passiert garnix mehr (was durchaus auch zu überlegen ist, da der Angriff ja für aktuelle Software irrelevant ist).
In meinem Fall sagt DNStools, 23.55.226.116 sei eine Adresse von Akamai... das finde ich spannend... ??
Zum Verständnis: Meiner Meinung nach heißt das, daß das ein Angriff ist, der auf alte Mozilla-Versionen abzielt. Wenn man FireFox ab 2.0 aufwärts verwendet, geht das emdnach ins Leere, und es kann einem daher heutzutage eigenltich egal sein, wenn man sicher ist, daß im eigenen Netz keine solchen Antiquitäten mehr beuntzt werden.
Man kann ja der Fortigate im IPS-Filter sagen, daß sie nicht melden, sondern blocken soll. Weil, Meldung ist schön und gut, aber dann ist der Angriff ja bereits passiert, falls der Client verwundbar war.
Oder man nimmt die betr. IP aus, dann passiert garnix mehr (was durchaus auch zu überlegen ist, da der Angriff ja für aktuelle Software irrelevant ist).
In meinem Fall sagt DNStools, 23.55.226.116 sei eine Adresse von Akamai... das finde ich spannend... ??
