Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1269 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Whats that? Any Ideas?

Basty777
Hi,

i am new with IPS so i have my Problems to understand what is wrong here...

I get this Messsage every one Minute:

[1:2404:0] A NETBIOS SMB-DS Session Setup AndX request unicode username overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1]:  {PROTO006} 10.2.1.50:1378 -> 10.1.1.196:445

First IP Adress is our SAP Server in Austria, second is our WINS Server in germany. The SAP Server dont have our WINS in his TCP/IP settings. The SAP Server has the austrian WINS Server. I dont know where he get this IP Adress.

What can be the problem?

Thx in advance!

Basty


This thread was automatically locked due to age.
Parents
  • 0
    Hello Basty,

    i get those messages when i login over vpn. The "target" hosts are my domain controllers. So i simply suspect that this rule has a lot of false positives... [:(]

    Look here for a detailed explanation of the Rule:
     Snort Rule 2404 

    You can either switch of the Rule in the IDS or add an exclusion Rule (under Advanced) for those Hosts.
Reply
  • 0
    Hello Basty,

    i get those messages when i login over vpn. The "target" hosts are my domain controllers. So i simply suspect that this rule has a lot of false positives... [:(]

    Look here for a detailed explanation of the Rule:
     Snort Rule 2404 

    You can either switch of the Rule in the IDS or add an exclusion Rule (under Advanced) for those Hosts.
Children
No Data