Forum

Fortigate 60B LOG k...
 
Bildirimler
Hepsini Temizle

Fortigate 60B LOG kayıtları

5 Yazılar
3 Üyeler
0 Reactions
1,061 Görüntüleme
(@buraksekercioglu)
Gönderiler: 28
Trusted Member
Konu başlatıcı
 





Arkadaşlar geçen gün firewall dan aldığım log mesajı aşağıdaki gibidir. Anladığım kadarı ile HURRIYET.com.tr sitesinde bir abukluk görülmüş ve FW cihazıda bunu engellemiş, sizce bu işin yorumu ne olmalıdır?


 


Message meets Alert condition Virus/Worm detected: HTML/Iframe.DN!tr.dldr Protocol: "http" Source IP: 192.168.0.136 Destination IP: 83.66.162.3 Email Address From: "N/A" Email Address To: "N/A" http://www.fortinet.com/ve?vn=HTML%2FIframe.DN%21tr.dldr 2008-08-25 17:23:06 device_id=FGT60B log_id=0211060000 type=virus subtype=infected pri=warning vd=root policyid=7 serial=62386 user="N/A" group="N/A" src=192.168.0.136 sport=1992 src_int="internal" dst=83.66.162.3 dport=80 dst_int="ppp0" service="http" status=blocked virus="HTML/Iframe.DN!tr.dldr" url=" http://www.hurriyet.com.tr/spor/futbol/9743888.asp?gid=229&sz=83946 " ref=" http://www.fortinet.com/ve?vn=HTML%2FIframe.DN%21tr.dldr " msg="File is infected."

 
Gönderildi : 27/08/2008 21:04

(@fatihkaraalioglu)
Gönderiler: 3039
Illustrious Member
 





Arkadaşlar geçen gün firewall dan aldığım log mesajı aşağıdaki gibidir. Anladığım kadarı ile HURRIYET.com.tr sitesinde bir abukluk görülmüş ve FW cihazıda bunu engellemiş, sizce bu işin yorumu ne olmalıdır?


 


Message meets Alert condition Virus/Worm detected: HTML/Iframe.DN!tr.dldr Protocol: "http" Source IP: 192.168.0.136 Destination IP: 83.66.162.3 Email Address From: "N/A" Email Address To: "N/A" http://www.fortinet.com/ve?vn=HTML%2FIframe.DN%21tr.dldr 2008-08-25 17:23:06 device_id=FGT60B log_id=0211060000 type=virus subtype=infected pri=warning vd=root policyid=7 serial=62386 user="N/A" group="N/A" src=192.168.0.136 sport=1992 src_int="internal" dst=83.66.162.3 dport=80 dst_int="ppp0" service="http" status=blocked virus="HTML/Iframe.DN!tr.dldr" url=" http://www.hurriyet.com.tr/spor/futbol/9743888.asp?gid=229&sz=83946 " ref=" http://www.fortinet.com/ve?vn=HTML%2FIframe.DN%21tr.dldr " msg="File is infected."



 


192.168.0.136  numaralı ip adresine sahip bilgisayar, 83.66.162.3 numaralı web sitesinden 7 numaralı policy id sine sahip kuralınız tarafından , indirilen dosya ( blocked virus ) virus ihtimaline karşın bloklanmıştır.


Merhaba;


Fortigate bilindiği üzere UTM bir cihaz olup, İnternet GW dir. İnternete çıkış ve girişler bu ürün üzerinden yapılmakta olup, satın almış olduğunuz lisanslar içerisinde AV, Anti SPAM, IDS ve IPS özellikleri mevcutdur.


Kullanıcı bir siteye gidiyor ve geri gelirken siteden bir takım dosyaları bilgisayarına download ediyor. Bu dosyaların içeriğinde virus ve benzeri bir yazılım varsa ve kuralınızı yapılandırdıysanız ki yapılandırılmış, engellemeyi yapıyor.


Zararlı içeriğe sahip dosyamız engellenmiştir.

 
Gönderildi : 27/08/2008 22:44

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

merhaba
Fatih Hoca doğru söylemiş logda status=blocked virus="HTML/Iframe.DN!tr.dldr" url=" http://www.hurriyet.com.tr/spor/futbol/9743888.asp?gid=229&sz=83946 " ref=" http://www.fortinet.com/ve?vn=HTML%2FIframe.DN%21tr.dldr " msg="File is infected."
ayrıca bu threat ile ilgili linkte bilgi mevcut.
saygılar

 
Gönderildi : 28/08/2008 02:14

(@buraksekercioglu)
Gönderiler: 28
Trusted Member
Konu başlatıcı
 

merhaba
Fatih Hoca doğru söylemiş logda status=blocked virus="HTML/Iframe.DN!tr.dldr" url=" http://www.hurriyet.com.tr/spor/futbol/9743888.asp?gid=229&sz=83946 " ref=" http://www.fortinet.com/ve?vn=HTML%2FIframe.DN%21tr.dldr " msg="File is infected."
ayrıca bu threat ile ilgili linkte bilgi mevcut.
saygılar

 

Savaş bey, peki bu virüs içerikli kod yapısından HURRIYET gazetesinin haberi varmıdır? Yoksa uyarmamız uygunmudur?

 

 
Gönderildi : 28/08/2008 11:18

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

Umarım haberdar olmuşlardır.Çünkü bu tarz cihazların hepsi bu tarz mesaj vericektir.
selamlar

 
Gönderildi : 28/08/2008 15:40

Paylaş: