UCS kontaktiert C&C Server (ramctrlgate.com)?

german

#1

Hallo,

nach erfolgreicher, sauberer Neuinstallation von UCS+Fetchmail+Zarafa vom Image (Hash gecheckt) habe ich eine mysteriöse IPS-Erkennung in meinen Logs.
Offensichtlich wird vom UCS aus die Domain ramctrlgate.com kontaktiert, welche vom IPS als C&C Server identifiziert wird.

Da ein whois/lookup der Adresse keine Erkenntnisse bringt, und auch ansonsten jegliche Information dazu fehlt, wäre es nichts schlecht zu wissen, was hier auf dem UCS läuft…

Hat jemand vielleicht eine Ahnung?


#2

Hallo,

ich bezweifle das eine UCS Komponente versucht diesen Server zu erreichen. Allerdings läuft auf UCS DCs standardmäßig eine Forwarding DNS-Server was bedeutet dass das UCS System evtl. versucht hat den Namen aufzulösen da ein Client danach gefragt hat. Ihr IPS System sollte die Verbindung, wenn es denn eine gab, ja vermutlich auch genauer spezifizieren können (TCP, UDP, welcher Port etc.), evtl. gibt Ihnen das weitere Hinweise.

Mit freundlichen Grüßen
Janis Meybohm


#3

Hallo,
danke für die prompte Rückmeldung!
Natürlich, daran hatte ich zunächst gar nicht gedacht. Tatsächlich wendet sich UCS mit der Anfrage an den DNS Forwarder, dieser sieht dann natürlich auch nur mehr die IP des UCS als “Schuldige”.
Da UCS Bind verwendet, müsste ich also dort in den DNS-Logs suchen, ich vermute aber, dass das log Level nicht so hoch ist, um eine einzelne Anfrage herauszufischen?

Beste Grüße,

TP


#4

Vermutlich nicht, Sie können aber das query-loggin einfach über “rndc” aktivieren:

rndc querylog tail -f /var/log/daemon.log | grep named ... ... rndc querylog # zum deaktivieren

Mit freundlichen Grüßen
Janis Meybohm


#5

Ok,
Vielen Dank - ich werde im DNS mal etwas tiefer graben, sollte ich noch etwas für UCS relevantes herausfinden, melde ich mich nochmals hier, ansonsten ist die Sache von UCS aus “erledigt”

Beste Grüße,


#6

Hallo,

Ich kann den Thread-Titel nicht mehr ändern, wenn das vielleicht ein Admin machen möchte, so a la “gelöst” oder ähnlich?

Jedenfalls war es tatsächlich so, dass ein User auf irgendwelchen Streaming-Portalen unterwegs war, und dadurch den Alarm über DNS ausgelöst hat.

Zur “Belohnung” habe ich sein Passwort ohne die Möglichkeit zur Änderung auf 16 Zeichen (mit extra vielen Sonderzeichen) abgeändert!

:wink: