Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 3436 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[CRIT-850] Intrusion Protection Event

Bryan_01
Hi,

I get the following email sent a few ramdom times during the day:

....[1:2590:0] A SMTP MAIL FROM overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1]:  {PROTO006} "their addr":40378 -> "our addr":25

Where their addr is the IP of our ISPs mail server! I dont belive for a min that they are doing any hacking of any sort. I have found reference to it, where by its SNORT deciphering a bad SMTP handshake as an intrusion attempt.

Anyone else seen this?

Bryan


This thread was automatically locked due to age.
Parents
  • 0
    well, i have this messages with yahoo messager.

    [CRIT-850] Intrusion Protection Event

    A packet was identified that may be part of an intrusion attempt. 
    The packet was detected by the Intrusion Detection system. The matching rule classified this as highest priority level. The packet properties and the alert reason are:

    [1:2450:0] A CHAT Yahoo IM successful logon [Classification: Potential Corporate Privacy Violation] [Priority: 1]:  {PROTO006} 216.155.193.186:5050 -> 1x2.1x.x.54:55462

    i don't know how to get rid of it.

    Astaro Security Linux 5.100
  • 0 in reply to bitonw
    Either disable that specific rule (the  numbers in square brackets represent the severity, the snort rule ID and the preprocessor ID, as far as I know), or disable the IPS notifications completely. It's up to you to configure that behaviour.

    Regards,
    andreas
  • 0 in reply to andreas
    cheers, i disabled the rule [2450] and all is fine now! 

    [ QUOTE ]
    Either disable that specific rule (the  numbers in square brackets represent the severity, the snort rule ID and the preprocessor ID, as far as I know), or disable the IPS notifications completely. It's up to you to configure that behaviour.

    Regards,
    andreas 

    [/ QUOTE ]
  • 0 in reply to bitonw
    It seems to me you've disabled a rule without checking with the ISP in question.  I would have at least run a question by their techs to verify their server hasn't been compromised and is currently being used to attack their clients (you).

    Just a thought.
Reply
  • 0 in reply to bitonw
    It seems to me you've disabled a rule without checking with the ISP in question.  I would have at least run a question by their techs to verify their server hasn't been compromised and is currently being used to attack their clients (you).

    Just a thought.
Children