Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 2274 views
  • Users 0 members are here
Options
Suggested

[8.920][CLOSED] IPS/IDS Reporting issue

bastienb
Hello,

I tried to post a Wordpress article with some advanced HTML content but I have an error in Firefox and all browser I tried : connection reset.

Here is the code I would like to post :

[HTML]
Flash Player et un navigateur supportant Javascript  sont nécessaires pour afficher le diaporama et les photos.

The player will show in this paragraph


[/HTML]

I have created an exception for all modules (SQLi, XSS, hardening, etc...) but the problem persists.

It works perfectly on the same wordpress web site hosted behing a v8.300 with the same configuration (I have imported a backup from 8.300).

Is there a debug mode I can use to have more information on the WAF log ?
Actually I only have this line : 

2012:04:03-23:11:52 hostname reverseproxy: [Tue Apr 03 23:11:52 2012] [error] [client XX.XX.XX.XX] ModSecurity: Error reading request body: Connection reset by peer [hostname "www.hostname.fr"] [uri "/wp-admin/post.php"] [unique_id "T3tnmLIh-8gAACUdJfgAAACw"] 


Does someone can try this on a Wordpress or maybe other CMS platform and tell me if you're able to reproduce.

Rgds,
Bastien.
Parents
  • 0
    Hello,

    I finally found the issue, the request was blocked by the IDS :

    2012:04:03-23:45:12 hostname snort[12461]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="reject" reason="EXPLOIT cross-site scripting attempt via form data attempt" group="500" srcip="XX.XX.XX.XX" dstip="10.10.10.10" proto="6" srcport="52400" dstport="80" sid="19645" class="Attempted User Privilege Gain" priority="1"  generator="1" msgid="0"

    The IDS did not sent me any email notification for this attack so I guess there is a bug with this rule, could you have a look on it ?

    Why v8.300 does not block this content with the IDS ? Did you add more rules in v9 ?
Reply
  • 0
    Hello,

    I finally found the issue, the request was blocked by the IDS :

    2012:04:03-23:45:12 hostname snort[12461]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="reject" reason="EXPLOIT cross-site scripting attempt via form data attempt" group="500" srcip="XX.XX.XX.XX" dstip="10.10.10.10" proto="6" srcport="52400" dstport="80" sid="19645" class="Attempted User Privilege Gain" priority="1"  generator="1" msgid="0"

    The IDS did not sent me any email notification for this attack so I guess there is a bug with this rule, could you have a look on it ?

    Why v8.300 does not block this content with the IDS ? Did you add more rules in v9 ?
Children
  • 0 in reply to bastienb
    Hi bastienb,

    Thanks for your feedback.
    Sounds strange to me, that you did not receive the E-Mail. Did you check all relevant settings, e.g. Management >> Notifications >> Notifications >> Intrusion Prevention or
    Network Protection >> Intrusion Prevention >> Attack Patterns >> Options >> Checkboxes 'Add extra warnings' ?

    Of course we added some IPS/IDS rule patterns for the latest releases. It's a constant process to increase and guarantee the highest degree of safety on the systems.

    Cheers,
    Cristof
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?