Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1591 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro Vulnerability?

SalishSwede
I'm very concerend that my Astaro 5.103 box has been hacked.
It appears that my HTTP proxy service has been compromised but I wanted more experienced users input on this matter.

Please examine the following log entries:
Local logfile query  Query term:   DOS    Time span:   2005-03-01 -> 2005-03-02
Intrusion Protection System
2005:03:01-12:32:10 (none) snort[913]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 208.254.45.206:443 -> 10.1.1.5:3372
2005:03:01-12:32:13 (none) snort[913]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 208.254.45.206:443 -> 10.1.1.5:3372
2005:03:01-12:32:19 (none) snort[913]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 208.254.45.206:443 -> 10.1.1.5:3372
2005:03:01-12:32:31 (none) snort[913]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 208.254.45.206:443 -> 10.1.1.5:3372
2005:03:01-12:32:55 (none) snort[913]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 208.254.45.206:443 -> 10.1.1.5:3372
2005:03:01-12:33:43 (none) snort[913]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 208.254.45.206:443 -> 10.1.1.5:3372
2005:03:02-12:49:59 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:49:59 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:49:59 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:50:00 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:50:01 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:50:02 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:50:06 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:50:12 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:50:26 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:50:53 (none) snort[2751]: [1:140


This thread was automatically locked due to age.
  • 0
    Somebody tries to blow up your webserver. Do you have a DNAT to make your internal webserver reachable?

    Filterfor "MSDTC" in Astaro's IPS rules. Then you will find the rule. There will be links for getting further informations regarding the attack type.

    Make sure you installed http://www.microsoft.com/technet/security/bulletin/ms02-018.asp on your Webserver. This fixes the problem. Anyway the attacks will still be fetched by Astaro's intrusion prevention. So don't wonder about ongoing notifications from the intrusion prevention after applying the patch.

    Xeno
  • 0 in reply to Xeno
    The nature of what snort is telling me is really just secondary.  I have all systems patched and Astaro is blocking this anyway.  The MAJOR issue is the SOURCE of the attacks that is indicated in the logs above.  You can see that the first few messages are from an ip source on the internet [it appears near Boston, MA, USA].  Then, the source changes to the local address of the Astaro firewall.  

    THIS is my principle concern.
    What does this mean?

    Does anyone know?
  • 0 in reply to SalishSwede
    10.1.1.2:8081 -> 10.1.1.5:3372 

    Which one is the firewall?

    Maybe the proxy forwards the attack and the webserver responds back. One of these traffic could be found by IPS. I would need to check the specific rule more in depth to send you more details. Could you please describe the seen IP adresses. Which one belongs to the client/server/firewall/...?

    Xeno
  • 0 in reply to Xeno
    10.1.1.2:8081 -> 10.1.1.5:3372 


    10.x.x.x is a public (non-forwarded address)
    10.1.1.2 is the internal address of my Astaro firewall
    10.1.1.5 is a Windows XP workstation (fully patched)

    Thanks for your time and help!

    ~Douglas
  • 0 in reply to Xeno
    ahhh... one key point.

    The 8081 port is the port of the HTTP proxy on the firewall.

    Your thought that the proxy server is simply passing along an external attack is a good one.  But the change in reported addressing is curious and suspect.  This is why I'm asking.

    If the logs report only the local address when attacks are initiated via proxy...  for obvious reasons, this would be a problem.  This time, we do have both remote and local addresses for source.

    Cheers
  • 0 in reply to SalishSwede
    Astaro was hit yesterday...   by what?  I don't know.
    No HTTPS traffic can get out.