Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 3435 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[CRIT-850] Intrusion Protection Event

Bryan_01
Hi,

I get the following email sent a few ramdom times during the day:

....[1:2590:0] A SMTP MAIL FROM overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1]:  {PROTO006} "their addr":40378 -> "our addr":25

Where their addr is the IP of our ISPs mail server! I dont belive for a min that they are doing any hacking of any sort. I have found reference to it, where by its SNORT deciphering a bad SMTP handshake as an intrusion attempt.

Anyone else seen this?

Bryan


This thread was automatically locked due to age.
Parents
  • 0
    [ QUOTE ]
    Hi,

    I get the following email sent a few ramdom times during the day:

    ....[1:2590:0] A SMTP MAIL FROM overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1]:  {PROTO006} "their addr":40378 -> "our addr":25

    Where their addr is the IP of our ISPs mail server! I dont belive for a min that they are doing any hacking of any sort. I have found reference to it, where by its SNORT deciphering a bad SMTP handshake as an intrusion attempt.

    Anyone else seen this?

    Bryan 

    [/ QUOTE ]
    this is more than likely a false positive.  I would disable that rule.  Also report this to snort.org(look up the rule in there database then in that rule's documentation there is a link to report the false positive.)
Reply
  • 0
    [ QUOTE ]
    Hi,

    I get the following email sent a few ramdom times during the day:

    ....[1:2590:0] A SMTP MAIL FROM overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1]:  {PROTO006} "their addr":40378 -> "our addr":25

    Where their addr is the IP of our ISPs mail server! I dont belive for a min that they are doing any hacking of any sort. I have found reference to it, where by its SNORT deciphering a bad SMTP handshake as an intrusion attempt.

    Anyone else seen this?

    Bryan 

    [/ QUOTE ]
    this is more than likely a false positive.  I would disable that rule.  Also report this to snort.org(look up the rule in there database then in that rule's documentation there is a link to report the false positive.)
Children
No Data