Il luogo in cui lavoro a volte sta ricevendo un avviso dal NIPS che afferma:
[1:30918:2] "MALWARE-CNC User-Agent known malicious user agent - User-Agent User-Agent Mozilla"
L'agente utente nel paquet è:
User-Agent: User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31
Arriva da alcuni clienti che accedono al nostro sito web. In pratica cambia indirizzo IP. O quello o più client sono infetti. La regola indica che il client potrebbe essere infettato da alcuni virus che tentano di connettersi a un server di comando e controllo. È un bene che questo paquet venga dall'esterno, perché il contrario significherebbe che saremmo infetti. Quello che non capisco è perché sta cercando di comunicare con noi? Ovviamente non è un navigatore legittimo come Chrome o Firefox, ma piuttosto uno script che cerca di assomigliarlo. Non dovrebbe provare a comunicare con il server C & C? Ciò significa che i nostri server sono infetti (o sono stati infettati a un certo punto) con qualche tipo di C / amp hop / proxy che reindirizza le informazioni?