epgd Daemon wird als "A Network Trojan was Detected" identifiziert

  • Hallo zusammen,


    ich habe seit drei Tagen in meinem Ubiquiti UniFi® Security Gateway (USG) das Intrusion Prevention System (IPS) aktiviert.

    Dieses meldet mir von meinen zwei Linux Servern mit epgd (Entwicklung und Produktion) das es einen Netzwerk Trojaner entdeckt hat.


    Nach kurzer Analyse

    Code
    1. netstat -anlp | grep [gefundener Port vom IPS bzw. Ziel IP Adr.]

    bekam ich die Prozess ID vom EPGD zurück nach dem ich den Daemon gestoppt habe ist die Bedrohung beendet.

    Als Plugins habe ich TV-Movie und TV-Spielfilm aktiviert. Die Adresse in USA ändert sich auch häufig, das heißt selbst wenn ich diese blockiere wird irgendwann einfach eine andere Ziel-Adresse aktiv.


    Nun meine Frage wozu verbindet sich der EPGD mit einer Amazon CloudFront Adressen in der USA an Port 80


    Anbei noch zwei Ausschnitte aus dem Ubiquiti USG.

  • Das hier?


    tcp 0 246 10.75.157.24:42566 54.230.93.24:80 VERBUNDEN -


    sollte daher kommen:


    web /etc/apparmor.d # ping live.tvspielfilm.de

    PING d2jtdy150veg81.cloudfront.net (54.230.93.24) 56(84) bytes of data.

    64 bytes from server-54-230-93-24.fra2.r.cloudfront.net (54.230.93.24): icmp_seq=1 ttl=247 time=18.9 ms

    64 bytes from server-54-230-93-24.fra2.r.cloudfront.net (54.230.93.24): icmp_seq=2 ttl=247 time=18.5 ms


    Die IP-Adressen wechseln aber.


    Christian

  • Anbei noch zwei Ausschnitte aus dem Ubiquiti USG.

    Von so einem Tool sollte man doch eigentlich erwarten können, dass es nicht nur reißerische Meldungen produziert, sondern einem dann auch den Header der HTTP-Requests zeigt, wenn es sich über einen doppelten User-Agent beschwert...


    Der Grund für die Fehlermeldung steckt vermutlich in der tvsp.h in der Zeile 62 - nimm da mal versuchsweise den Teil User-Agent:  aus dem String raus.

    yaVDR-Dokumentation (Ceterum censeo enchiridia esse lectitanda.)

  • Das wars..


    Ich habe den String wie folgt geändert:

    Code
    1. const char* userAgent() { return "Mozilla/4.0 (Nexus 10; Android 6.0.1; de_DE)"; }

    Gruß
    Frodo