Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2236 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help, getting regular intrusion alerts

Kalreg
I am getting what seems to be attacks on a semi regular basis. The information displayed seems to suggest that I am doing the attacks. Since I am not I hope there is something that I am not understanding.
Here is a snippet of a recent email, I have replaced my server address with 'myserver'.
  [1:2441:0] A WEB-MISC NetObserve authentication bypass attempt [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} myserver:3150 -> 217.150.126.210:80
[1:2441:0] A WEB-MISC NetObserve authentication bypass attempt [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} myserver:3155 -> 217.150.126.210:80
[1:2441:0] A WEB-MISC NetObserve authentication bypass attempt [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} myserver:3156 -> 217.150.126.210:80
[1:2441:0] A WEB-MISC NetObserve authentication bypass attempt [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} myserver:3157 -> 217.150.126.210:80
  
I am getting attacks indicating CRIT-850/851/860 regularly. Also mysystem is complaining that i am port scanning it from itself with a warning message indicating
  
A portscan was detected. 
The originating source IP address was: myserver

The portscan event was:
spp_portscan: PORTSCAN DETECTED on (null) from myserver (THRESHOLD 10 connections exceeded in 2 seconds)
  

My server address is the the address that accesses my router.

Do some of the messages mean that the attacks are being reported from that connection?

Help.


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BarryG
    I think I just figured out about what might be causing part of it. I have installed an extension to my Firefox which allows for easy access to location information about sites that have certain tags on them. 
    It also explains why I get the attacks when I am accessing the net instead of when I am away from my machine.
    I'll do some testing and repost.
  • 0 in reply to Kalreg
    Having turned off this automatic checker seems to work so far, for that one. Checking others.
  • 0 in reply to Kalreg
    This is further to my orginal post.

    These exceptions seem to come from my side and the IPS seems to be saying that I am conducting attacks to the out side. Or is it that attacks are bouncing off my server to be delivered to other addresses?


    [1:2307:0] A WEB-PHP PayPal Storefront arbitrary command execution attempt [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} my.se.rv.er:2183 -> 213.205.44.57:80

    I get the above message when accessing tiscali.co.uk (I find Eclipse.co.uk much better only showing them here due to the message above) and the IP address the attack is towards is Tiscali.co.uk. Cookies blocked or not does not change it. 

    The attack is clasified as being regular for false positive due to certain page/script designs, But would not the message show


    [1:2307:0] A WEB-PHP PayPal Storefront arbitrary command execution attempt [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} 213.205.44.57:2183 -> my.se.rv.er:80 

    Any thoughts?

    Many thanks
  • 0 in reply to BarryG
    This link

    http://forums.mozillazine.org/viewtopic.php?t=218625&start=0 

    Produces this notice:

    [1:2229:0] A WEB-PHP viewtopic.php access Classification: Web Application Attack] [Priority: 1]:  {PROTO006} my.se.rv.er:4965 -> 140.211.166.9:80 

    snort has this to say about 2229:
    http://www.snort.org/pub-bin/sigs.cgi?sid=2229 

    From all that I have read so far this would be a false positive. Is it a false positive?
    It still seems to be comming from me, is my box just stopping offending packet my system is trying to send? or is there a response happening to my query of the web for the link that comes from creating an opening due to just trying to connect to a page with suitable coding?
     
    I have found that I can duplicate port scaning by just opening a lot of pages at once. Is there a way to set the system to respond less to my outgoing transmissions?

    Would doing so make it easier for my machine to be used as a drone?

    I am using firefox on fedora if that helps any.

    Any insight would be of help.

    Kalreg
  • 0 in reply to Kalreg
    I just looked at the actual snort rule... it will trigger anytime a URL containing "viewtopic.php" is accessed.
    So, if that's the page you are trying to view, it IS a false positive.

    As far as the portscans, you might want to exclude your internal network. However, I believe in doing so, you have to exclude it from the entire IPS, which may not be what you want.

    Barry