6
Missbrauch Exchange?
Hallo liebes Forum,
ich habe mal nee Frage und zwar haben wir die test.de und ich bekomme von unserer Fortigate folgende Meldung:
Message meets Alert condition
Virus/Worm detected: MSIL/GenKryptik.DCAC!tr Protocol: "POP3S" Email Address From: "info@pot.gr" Email Address To: "info@pot.gr"
VIRUS REFERENCE URL: http://www.fortinet.com/ve?vn=MSIL%2FGenKryptik.DCAC%21tr
date=2019-03-19 time=01:31:54 devname=test_fw1 devid=FG100D3G14818993 logid="0211008194" type="utm" subtype="virus" eventtype="infected" level="warning" vd="root" eventtime=1552955514 msg="File is infected." action="blocked" service="POP3S" sessionid=83552358 srcip=192.168.0.112 dstip=134.119.228.56 srcport=15310 dstport=995 srcintf="port3" srcintfrole="undefined" dstintf=wan2 dstintfrole="undefined" policyid=56 proto=6 direction="incoming" filename="Scan Document_pdf.gz" quarskip="File-was-not-quarantined." virus="MSIL/GenKryptik.DCAC!tr" dtype="Virus" ref="http://www.fortinet.com/ve?vn=MSIL%2FGenKryptik.DCAC%21tr" virusid=8010589 profile="Sandbox_inspection_for_all_files" user="b2b" from="info@pot.gr" to="info@pot.gr" recipient="catch@test.de" analyticscksum="472f1ad8a64158b7cdbd32052ce1dc0a1586d82daba5111981bf3b94aa4f306b" analyticssubmit="true" crscore=50 crlevel="critical"
Habe ich nun einen Trojaner auf dem Server oder was könnte das sein?
ich habe mal nee Frage und zwar haben wir die test.de und ich bekomme von unserer Fortigate folgende Meldung:
Message meets Alert condition
Virus/Worm detected: MSIL/GenKryptik.DCAC!tr Protocol: "POP3S" Email Address From: "info@pot.gr" Email Address To: "info@pot.gr"
VIRUS REFERENCE URL: http://www.fortinet.com/ve?vn=MSIL%2FGenKryptik.DCAC%21tr
date=2019-03-19 time=01:31:54 devname=test_fw1 devid=FG100D3G14818993 logid="0211008194" type="utm" subtype="virus" eventtype="infected" level="warning" vd="root" eventtime=1552955514 msg="File is infected." action="blocked" service="POP3S" sessionid=83552358 srcip=192.168.0.112 dstip=134.119.228.56 srcport=15310 dstport=995 srcintf="port3" srcintfrole="undefined" dstintf=wan2 dstintfrole="undefined" policyid=56 proto=6 direction="incoming" filename="Scan Document_pdf.gz" quarskip="File-was-not-quarantined." virus="MSIL/GenKryptik.DCAC!tr" dtype="Virus" ref="http://www.fortinet.com/ve?vn=MSIL%2FGenKryptik.DCAC%21tr" virusid=8010589 profile="Sandbox_inspection_for_all_files" user="b2b" from="info@pot.gr" to="info@pot.gr" recipient="catch@test.de" analyticscksum="472f1ad8a64158b7cdbd32052ce1dc0a1586d82daba5111981bf3b94aa4f306b" analyticssubmit="true" crscore=50 crlevel="critical"
Habe ich nun einen Trojaner auf dem Server oder was könnte das sein?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 430145
Url: https://administrator.de/contentid/430145
Printed on: April 26, 2024 at 16:04 o'clock
6 Comments
Latest comment
Hi,
ausgehend davon, nein.
Gruß
subtype="virus" eventtype="infected" level="warning" vd="root" eventtime=1552955514 msg="File is infected." action="blocked"
ausgehend davon, nein.
Gruß
OKAY war mir nicht sicher!
DANKE
DANKE
Hallo Florian
Die Source-IP ist 192.168.0.112
Wenn sich diese bei dir im lokalen Subnetz findet, wäre es sicher nicht falsch, den betreffenden Rechner genauer unter die Lupe zu nehmen.
Deine Fortigate blockt zwar den Versand. Das heisst aber nicht, dass die Quelle nicht verseucht ist.
Grüsse
Marc
Die Source-IP ist 192.168.0.112
Wenn sich diese bei dir im lokalen Subnetz findet, wäre es sicher nicht falsch, den betreffenden Rechner genauer unter die Lupe zu nehmen.
Deine Fortigate blockt zwar den Versand. Das heisst aber nicht, dass die Quelle nicht verseucht ist.
Grüsse
Marc
Hallo,
sicher?
Für mich sieht das eher so aus, als wenn ein lokales Gerät SSL-POP3 macht und versucht, eine E-Mail direkt von einem Server bei Host Europe zu ziehen.
Das kann auch der Exchange-Server sein, wenn er z.B. via POP3 mit einem Catchall-Postfach betankt wird.
Letztendlich würde der Virus geblockt. Die Firewall funktioniert also offenbar
Gruß,
Jörg
sicher?
Für mich sieht das eher so aus, als wenn ein lokales Gerät SSL-POP3 macht und versucht, eine E-Mail direkt von einem Server bei Host Europe zu ziehen.
Das kann auch der Exchange-Server sein, wenn er z.B. via POP3 mit einem Catchall-Postfach betankt wird.
Letztendlich würde der Virus geblockt. Die Firewall funktioniert also offenbar
Gruß,
Jörg
ja wir nutzen ein catch all
und sind bei domainfactory
und sind bei domainfactory
Hallo,
dann hast Du deine Antwort ja.
Du solltest die E-Mails, die nicht abgeholt werden, gelegentlich mit dem Webmailer löschen.
Sonst läuft Dir irgendwann das Postfach voll.
Gruß,
Jörg
dann hast Du deine Antwort ja.
Du solltest die E-Mails, die nicht abgeholt werden, gelegentlich mit dem Webmailer löschen.
Sonst läuft Dir irgendwann das Postfach voll.
Gruß,
Jörg