Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 3 subscribers
  • Views 3203 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Should we just turn off IPS all together?

stealthmatt_01
Well looks like with this new update 9.103 we are getting a few different IPS rules that are having issues;

New one this morning pulling my head out, clearing internet cache, excluding the site from web filtering, changing internet browser thinking it was IE, changing computers and applying windows and adobe pdf updates.... no luck!

so anyways this was the IPS issue

Rule ID: 20146 FILE-PDF attempted download of a PDF with embedded PICT image Malware

So now an embedded picture image is malware? nice....

Here is the pdf if anyone wants to have look (just make sure your IPS rule is off)

http://goautomedia.cdn.on.net/goautonews/GoAutoNews_686.pdf

.


This thread was automatically locked due to age.
  • 0
    Hi, disabling the offending rules is probably better than disabling the IPS.

    Barry
  • 0 in reply to BarryG
    Hi, disabling the offending rules is probably better than disabling the IPS.

    Barry


    Yes I susppose it is, which is what I have done.

    Even when I had the UTM scan and download, the error was giving a timeout... but it was infact the IPS rule blocking it.
  • 0
    Well looks like with this new update 9.103 we are getting a few different IPS rules that are having issues;

    New one this morning pulling my head out, clearing internet cache, excluding the site from web filtering, changing internet browser thinking it was IE, changing computers and applying windows and adobe pdf updates.... no luck!

    so anyways this was the IPS issue

    Rule ID: 20146 FILE-PDF attempted download of a PDF with embedded PICT image Malware

    So now an embedded picture image is malware? nice....

    Here is the pdf if anyone wants to have look (just make sure your IPS rule is off)

    http://goautomedia.cdn.on.net/goautonews/GoAutoNews_686.pdf

    .


    it's nice to see sophos finally being able to inspect inside of archives.  This is going to take some tuning though....of course i say that..try the file and it works fine here.

    with all the ops issues you are having i would start to be concerned about your networks health personally.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    I just clicked on the link to the PDF file that stealthmatt posted and I'm able to download it just fine. I also have the new update 9.103.

    --------------------------------------------------------------------
    Sophos UTM 9.714-4 - Home User
    Currently testing VM on i3-9100 @ 3.60 GHz
    16 GB RAM
    Dell Optiplex XE
    Intel Core 2 Duo CPU E8600 @ 3.33GHz
    8GB RAM
    --------------------------------------------------------------------

  • 0
    It may be that you don't have the subset of ips rules on that I have on? Or its possible that sophos have updated their rules with an auto update that no longer detects this.
  • 0 in reply to stealthmatt_01
    I just downloaded that pdf without any issues.
    Though that was through a UTM with the soft release of 9.103-5. I suspect there are two version of 9.103-5 and I don't have access to a pushed version at the moment.

    Ian
  • 0
    Didn't download for me!


    Downloaded OK here and at my other sites..is your install a home install?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Hi William,

    Yes it's the home install

    Cheers
    Norman
  • 0
    i don't think it is the file remotely...i can't say for sure if it's a true bug in the ips..as it's not a huge reported issue..it's either your ips or your network has an issue..which rule is alerting?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Cookie Information Banner