Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 2041 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intrusion attempt from a legitimate server

Kronatus
I get this 850 warning :
"Intrusion Protection Alert
An intrusion has been detected. The packet has *not* been dropped.
If you want to block packets like this one in the future, set the corresponding intrusion protection rule to "drop" in WebAdmin.
Be careful not to block legitimate traffic caused by false alerts though.
Details about the intrusion alert:
Message........: SMTP MAIL FROM overflow attempt
Details........: http://www.snort.org/pub-bin/sigs.cgi?sid=2590
Time...........: 2005:09:22-08:37:29
Packet dropped.: no
Priority.......: 1 (high)
Classification.: Attempted Administrator Privilege Gain IP protocol....: 6 (TCP)
Source IP address: 140.5.30.13"

The thing is it is coming from my mail server (Exchange ver5.5), Can I inform the Astaro that it is not intrusion or to ignore it in some way?
Alternatively, Can it be fixed by applying a patch on the Exchange server?

K


This thread was automatically locked due to age.
  • 0
    [ QUOTE ]
    I get this 850 warning :
    "Intrusion Protection Alert
    An intrusion has been detected. The packet has *not* been dropped.
    If you want to block packets like this one in the future, set the corresponding intrusion protection rule to "drop" in WebAdmin.
    Be careful not to block legitimate traffic caused by false alerts though.
    Details about the intrusion alert:
    Message........: SMTP MAIL FROM overflow attempt
    Details........: http://www.snort.org/pub-bin/sigs.cgi?sid=2590
    Time...........: 2005:09:22-08:37:29
    Packet dropped.: no
    Priority.......: 1 (high)
    Classification.: Attempted Administrator Privilege Gain IP protocol....: 6 (TCP)
    Source IP address: 140.5.30.13"

    The thing is it is coming from my mail server (Exchange ver5.5), Can I inform the Astaro that it is not intrusion or to ignore it in some way?
    Alternatively, Can it be fixed by applying a patch on the Exchange server?



    [/ QUOTE ]
    It can be ignored.  What you have to do is inside the ips area under advanced put the exchange servers ip as an exception.  The ips will not scan traffic from that server but will continue to protect the rest of your network.

    I would double check to make sure your mail server is current on all patches and scan it for virii and malware just to be safe.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Cookie Information Banner