Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 0 subscribers
  • Views 4273 views
  • Users 0 members are here
Options
Suggested

[7.480][BUG][ACK] Unable to download file through FTP proxy

Monarch
Hello all,

I cannot download ftp://exftpp.symantec.com/pub/support/products/Backup_Exec_System_Recovery_Server_Edition/304721.pdf by using the FTP proxy (I tried Firefox and Opera, no special FTP client). 

The FTP proxy log shows the following lines per each download attempt: 

2009:09:03-18:34:31 astaro1 frox[22644]: Connect from 192.168.0.14

2009:09:03-18:34:31 astaro1 frox[22644]: ... to 216.10.195.44()

2009:09:03-18:34:41 astaro1 frox[22644]: Server is sending us a badly formed control stream.

2009:09:03-18:34:41 astaro1 frox[22644]: Closing session


As soon as I try to download it directly (proxy disabled) it works.

Regards,
Bastian
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.480
    Type: BUG
    State: ACK
    Reporter: Monarch
    Contributor: 
    MantisID: 
    --------------------------------
  • 0 in reply to Astaro Beta Bot
    same error here also ,pls check log



    ips log:::::


    2009:09:03-22:49:29 ace75 snort[8357]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="(ftp_telnet) FTP response message was too long" group="0" srcip="216.10.195.44" dstip="192.168.1.175" proto="6" srcport="21" dstport="41794" sid="0" class="" priority="3" generator="125" msgid="1"

    2009:09:03-22:50:16 ace75 snort[8357]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="(ftp_telnet) FTP response message was too long" group="0" srcip="216.10.195.44" dstip="192.168.1.175" proto="6" srcport="21" dstport="49430" sid="0" class="" priority="3" generator="125" msgid="1" 

    fw rule log :::::

    22:42:30  Default DROP  TCP 
    10.242.1.2  :  1142
    → 
    216.10.195.44  :  21

    [SYN]  len=48  ttl=127  tos=0x00  srcmac=00:60:08:9b:a5:79  dstmac=00:00:00:00:00:00
    22:42:33  Default DROP  TCP 
    10.242.1.2  :  1142
    → 
    216.10.195.44  :  21

    [SYN]  len=48  ttl=127  tos=0x00  srcmac=00:60:08:9b:a5:79  dstmac=00:00:00:00:00:00

    sid "0" is that ok ?

    Thanks
  • 0
    I can confirm that, have the same log entries.

    That's interesting as no IPS alert notification is being issued... and of course it's illogical that this IPS event isn't generated when not using the proxy, or did I miss something?

    Regards,
    Bastian
  • 0 in reply to Monarch
    I can confirm that, have the same log entries.

    That's interesting as no IPS alert notification is being issued... and of course it's illogical that this IPS event isn't generated when not using the proxy, or did I miss something?

    Regards,
    Bastian


    Hi,

    Did u disable ftp proxy or http proxy ,try adding exception to ips with domain/ip 
    but why firewall block this ip and port ,why sid "0" is that ok ?
    Thanks
  • 0 in reply to Monarch
    My browser says " 421 FTP server is sending you rubbish! Closing connection"

    pls check log
    09-09-22 17:45:46 Daemon Error 192.168.2.100 2009:09:22-17:45:42 frox[10113]: Server is sending us a badly formed control stream. 
    2009-09-22 17:45:46 Daemon Alert 192.168.2.100 2009:09:22-17:45:42 snort[7866]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="(ftp_telnet) FTP response message was too long" group="0" srcip="216.10.195.44" dstip="192.168.1.175" proto="6" srcport="21" dstport="47165" sid="0" class="" priority="3" generator="125" msgid="1" 
    2009-09-22 17:45:46 Daemon Warning 192.168.2.100 2009:09:22-17:45:41 named[3424]: client 127.0.0.1#32804: RFC 1918 response from Internet for 2.1.242.10.in-addr.arpa 
    2009-09-22 17:45:24 Daemon Error 192.168.2.100 2009:09:22-17:45:19 frox[9936]: Server is sending us a badly formed control stream. 
    2009-09-22 17:45:24 Daemon Alert 192.168.2.100 2009:09:22-17:45:19 snort[7866]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="(ftp_telnet) FTP response message was too long" group="0" srcip="216.10.195.44" dstip="192.168.1.175" proto="6" srcport="21" dstport="44651" sid="0" class="" priority="3" generator="125" msgid="1" 
    2009-09-22 17:45:03 Daemon Warning 192.168.2.100 2009:09:22-17:44:59 named[3424]: client 127.0.0.1#32803: RFC 1918 response from Internet for 2.1.242.10.in-addr.arpa
  • 0
    Hi is it working if ips is disabled? I'm not able to reproduce it in our lab

    greetings
    andreas
  • 0
    No it does not, messages in the FTP proxy log remain the same. Only works with the FTP proxy disabled.

    Bastian

    P.S. Why is no IPS alert generated when the IPS logs an intrusion? I tend to open a second bug thread for this.
  • 0
    we have an open id that ips is dropping packages without sending a alert. But this is fixed in 7.5. Are you using a ftp client or did you download the file over IE/Firefox

    greetings
    andreas
  • 0
    Well then I'll open a second bug thread, as this is not fixed, I didn't receive any IPS alerts during my tests with 7.500 [:$]

    I tried to download the file with Firefox and Opera, as already stated in the first post.
Unfiltered HTML