Windows Server und Callback Server

Moin zusammen,

heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen.

Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar der Trendmicro Client an.

System 192.168.3.22:443 68.183.212.246:56266 Blocked Relevance Rule (HTTP_TRICKBOT_REQUEST)

Die IP Addresse ist per utrace in den USA gelistet. War für mich erstmal komisch, da die Firewall Regel nur IP Adressen aus Deutschland zulässt.
Meine Firewall (Watchguard) gibt beim Lookup IP aber eine deutsche Herkunft an, gleicher "Besitzer", einem Cloud-Hostinganbieter.

Die Watchguard selber hat den Access also erstmal zugelassen, aber die Rückantwort des Servers geblockt.

Meine Frage an die Security Spezialisten wäre jetzt, warum antwortet mein Server überhaupt auf eine Anfrage die per https Port 443 gekommen ist.

Der Server selber hat keine Auffälligkeiten, die ich auch nach mehrmaligen Scannen von div. Tools feststellen könnte. Ich habe die Logs in der Firewall studiert und keine Verbindungen nach außen sonst feststellen können. Der Server spricht lediglich mit Addressen von Microsoft und Trendmicro.

Trotzdem bleibt ein blödes Gefühl.

Die IP scheint als "böse" bekannt zu sein, bei Google gibt es zahlreiche Einträge zu einem Trojaner.

Vielleicht kann mir von Euch jemand zum Verständnis sagen, warum der Server auf die https Anfrage antwortet...

Grüße
Stefan