Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2237 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help, getting regular intrusion alerts

Kalreg
I am getting what seems to be attacks on a semi regular basis. The information displayed seems to suggest that I am doing the attacks. Since I am not I hope there is something that I am not understanding.
Here is a snippet of a recent email, I have replaced my server address with 'myserver'.
  [1:2441:0] A WEB-MISC NetObserve authentication bypass attempt [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} myserver:3150 -> 217.150.126.210:80
[1:2441:0] A WEB-MISC NetObserve authentication bypass attempt [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} myserver:3155 -> 217.150.126.210:80
[1:2441:0] A WEB-MISC NetObserve authentication bypass attempt [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} myserver:3156 -> 217.150.126.210:80
[1:2441:0] A WEB-MISC NetObserve authentication bypass attempt [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} myserver:3157 -> 217.150.126.210:80
  
I am getting attacks indicating CRIT-850/851/860 regularly. Also mysystem is complaining that i am port scanning it from itself with a warning message indicating
  
A portscan was detected. 
The originating source IP address was: myserver

The portscan event was:
spp_portscan: PORTSCAN DETECTED on (null) from myserver (THRESHOLD 10 connections exceeded in 2 seconds)
  

My server address is the the address that accesses my router.

Do some of the messages mean that the attacks are being reported from that connection?

Help.


This thread was automatically locked due to age.
Parents
  • 0
    Could be a false positive.
    Either way, you need to start by looking at the information for that rule.
    ">http://www.snort.org/pub-bin/sigs.cgi?sid=2441>

    It would also help to know what services you're accessing on the remote website is. It appears to be a mapping site.

    Barry
  • 0 in reply to BarryG
    I think I just figured out about what might be causing part of it. I have installed an extension to my Firefox which allows for easy access to location information about sites that have certain tags on them. 
    It also explains why I get the attacks when I am accessing the net instead of when I am away from my machine.
    I'll do some testing and repost.
Reply
  • 0 in reply to BarryG
    I think I just figured out about what might be causing part of it. I have installed an extension to my Firefox which allows for easy access to location information about sites that have certain tags on them. 
    It also explains why I get the attacks when I am accessing the net instead of when I am away from my machine.
    I'll do some testing and repost.
Children
  • 0 in reply to Kalreg
    Having turned off this automatic checker seems to work so far, for that one. Checking others.
  • 0 in reply to Kalreg
    This is further to my orginal post.

    These exceptions seem to come from my side and the IPS seems to be saying that I am conducting attacks to the out side. Or is it that attacks are bouncing off my server to be delivered to other addresses?


    [1:2307:0] A WEB-PHP PayPal Storefront arbitrary command execution attempt [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} my.se.rv.er:2183 -> 213.205.44.57:80

    I get the above message when accessing tiscali.co.uk (I find Eclipse.co.uk much better only showing them here due to the message above) and the IP address the attack is towards is Tiscali.co.uk. Cookies blocked or not does not change it. 

    The attack is clasified as being regular for false positive due to certain page/script designs, But would not the message show


    [1:2307:0] A WEB-PHP PayPal Storefront arbitrary command execution attempt [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} 213.205.44.57:2183 -> my.se.rv.er:80 

    Any thoughts?

    Many thanks