<div dir="ltr"><div>Hey CL,</div><div><br></div>These rules are currently disabled in the ET ruleset, recommend grabbing some updated rules or commenting these out.<div><br></div><div>Thanks,</div><div><br></div><div>Jason</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 27, 2018 at 4:39 AM, C. L. Martinez <span dir="ltr"><<a href="mailto:carlopmart@gmail.com" target="_blank">carlopmart@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div>Hi all,<br><br></div> In my Suricata's host when an openvpn client connects to my openvpn server, the following alerts are triggered:<br><br>03/27/2018-06:58:56.912808  [**] [1:2009206:4] ET TROJAN Possible Downadup/Conficker-C P2P encrypted traffic UDP Ping Packet (bit value 4) [**] [Classification: A Network Trojan was detected] [Priority: 1] {UDP} <a href="http://172.22.57.4:1194" target="_blank">172.22.57.4:1194</a> -> x.x.x.x:50759<br>03/27/2018-06:58:56.946610  [**] [1:2009208:4] ET TROJAN Possible Downadup/Conficker-C P2P encrypted traffic UDP Ping Packet (bit value 16) [**] [Classification: A Network Trojan was detected] [Priority: 1] {UDP} <a href="http://172.22.57.4:1194" target="_blank">172.22.57.4:1194</a> -> x.x.x.x:50759<br>03/27/2018-06:59:50.514733  [**] [1:2009207:4] ET TROJAN Possible Downadup/Conficker-C P2P encrypted traffic UDP Ping Packet (bit value 5) [**] [Classification: A Network Trojan was detected] [Priority: 1] {UDP} <a href="http://172.22.57.4:1194" target="_blank">172.22.57.4:1194</a> -> x.x.x.x:50759<br>03/27/2018-08:58:17.038394  [**] [1:2009207:4] ET TROJAN Possible Downadup/Conficker-C P2P encrypted traffic UDP Ping Packet (bit value 5) [**] [Classification: A Network Trojan was detected] [Priority: 1] {UDP} <a href="http://172.22.57.4:1194" target="_blank">172.22.57.4:1194</a> -> x.x.x.x:51906<br>03/27/2018-08:58:17.078348  [**] [1:2009206:4] ET TROJAN Possible Downadup/Conficker-C P2P encrypted traffic UDP Ping Packet (bit value 4) [**] [Classification: A Network Trojan was detected] [Priority: 1] {UDP} <a href="http://172.22.57.4:1194" target="_blank">172.22.57.4:1194</a> -> x.x.x.x:51906<br>03/27/2018-08:58:17.138094  [**] [1:2009205:5] ET TROJAN Possible Downadup/Conficker-C P2P encrypted traffic UDP Ping Packet (bit value 1) [**] [Classification: A Network Trojan was detected] [Priority: 1] {UDP} <a href="http://172.22.57.4:1194" target="_blank">172.22.57.4:1194</a> -> x.x.x.x:51906<br><br></div> Any idea?<br><br></div>Thanks.<br></div>
<br>______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/<wbr>training/</a><br></blockquote></div><br></div>