Conexiones a x1.c.lencr.org
Esta mañana han empezado a saltar conexiones desde diferentes equipos hacia x1.c.lencr.org. En un primer momento han saltado todas las alarmas de virus (o de posible virus). Hay varias webs que estan infectadas con malware. Pero resulta que esta web pertenece a let’s encrypt.
https://scotthelme.co.uk/lets-encrypts-new-root-and-intermediate-certificates/
Yo no tengo demasiado claro si todas estas webs que dicen como limpiar el virus no son peligrosas, todas ofrecen algun tipo de antimalware.
https://howtofix.guide/x1-c-lencr-org-remove/
Segun hemos ido mirando en profundidad, si que parece haber alguna web infectada con malware, pero lo unico en comun que tienen es el uso de certificados de let’s encrypt.
Al principio bloqueamos todos los accesos hacia x1.c.lencr.org pero luego los permitimos y dejamos que el antivirus hiciese su trabajo (identificar otras webs maliciosas).
Lo curioso es que haya saltado de repente, imagino que algun certificado habrá caducado y se han puesto (los clientes) a actualizar la lista de crls ¿??.
Seguimos un poco moscas, la verdad. La información que estamos encontrando es bastante confusa.
https://www.joesandbox.com/analysis/502408/0/html
*** Octubre 2023 ***
Esta semana el ips me ha cantado 4 maquinas conectandose a la url wnt-some-push.com, tambien la ostia de rara, pero es que el DNS me la resuelve como x1.c.lencr.org y ademas la ip es de Fortinet. Solo 4 equipos de los 4.000 que tenemos, 800 veces en una semana. Sigue siendo la ostia de raro.