Hallo zusammen,
ich habe seit drei Tagen in meinem Ubiquiti UniFi® Security Gateway (USG) das Intrusion Prevention System (IPS) aktiviert.
Dieses meldet mir von meinen zwei Linux Servern mit epgd (Entwicklung und Produktion) das es einen Netzwerk Trojaner entdeckt hat.
Nach kurzer Analyse
bekam ich die Prozess ID vom EPGD zurück nach dem ich den Daemon gestoppt habe ist die Bedrohung beendet.
Als Plugins habe ich TV-Movie und TV-Spielfilm aktiviert. Die Adresse in USA ändert sich auch häufig, das heißt selbst wenn ich diese blockiere wird irgendwann einfach eine andere Ziel-Adresse aktiv.
Nun meine Frage wozu verbindet sich der EPGD mit einer Amazon CloudFront Adressen in der USA an Port 80
Anbei noch zwei Ausschnitte aus dem Ubiquiti USG.