Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 3767 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Constant Intrusion Protect Alert

thomasn
I keep getting the following message 

Intrusion Protection Alert


Details about the intrusion alert:

Message........: SMTP expn cybercop attempt
Details........: http://www.snort.org/pub-bin/sigs.cgi?sid=632
Time...........: 2006:04:30-21:45:03
Packet dropped.: yes
Priority.......: 3 (low)
Classification.: Generic Protocol Command Decode
IP protocol....: 6 (TCP)

The source ip is my firewall while the destination ip is my email server. First it would get delivered to the admin address, now it gets caught in my proxy content manager. 

I get 5 every 30 minutes. Can someone tell me why this just started happening and how I can get it to stop?

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    [ QUOTE ]
     how I can get it to stop? 

    [/ QUOTE ]
    If you can exclude a "real" attack, you can simply disable the IDS Rule.
    Go to "Intrusion Protection" and search for the rule by using the filter.
  • 0 in reply to Zitronennetz
    Is it something I should be concerned about? How can I check if it's an actual attack?
  • 0 in reply to thomasn
    I've got the same thing going on. Mine started reporting this right after an update Friday night. This amounted to hundreds of warnings by this morning.

    I'd like to know if my Astaro box is attempting to attack my email machine, or what? If it's a bad rule, when will it be fixed?
  • 0 in reply to DaveMuth
    You guys really should follow the "Details" URL in the alert before panicing... if you do, you'll see that at worst, it's not an "attack", but a scan.

    In this case, it's most likely a false positive.

    Barry
  • 0 in reply to BarryG
    OK. But it says that the Astaro box is attacking (scanning) my email machine. I don't want it to do that. It started after an Intrusion Protection Pattern Up2Date; so it IS probably a bad rule.

    So, does this happen a lot? Is the message incorrect? Is Astaro ever going to fix the problem?
  • 0 in reply to DaveMuth
    False positives "happen" with Snort sometimes; I always just evaluate what is trying to happen that triggers them, and disable the bad rule.  You probably have an inbound email that's trying to be sent from the SMTP Proxy to your internal mail server (99% of the time this is the case for me or my customers), and it's triggering a rule.  I check for "stuck" messages that are failing delivery inbound, and if I see some with attempted delivery times that coincide with the alerts, I disable the affected rule.  Oftentimes the rule I disable doesn't even apply to the type of SMTP server I use.
  • 0 in reply to BrucekConvergent
    Thank you so much for your reply.

    I know that false positives "happen". I will follow your advice. If I can't find a problem email going out from my Astaro box, I'll just have to disable the rule.

    Since it happened on a newly set up box, immediately after an Intrusion Protection Up2Date, I assumed that it was a "bad" rule and that many others were probably having the same problem. I hoped that the next IP Up2Date would fix the problem.

    Two updates later, no dice.
  • 0 in reply to DaveMuth
    I haven't had that rule triggered on any of my customer's units (we monitor them 24x7), so I'd guess you just have an email there that's falsely triggering it.
  • 0 in reply to DaveMuth
    [ QUOTE ]
    OK. But it says that the Astaro box is attacking (scanning) my email machine. I don't want it to do that. It started after an Intrusion Protection Pattern Up2Date; so it IS probably a bad rule.

    So, does this happen a lot? Is the message incorrect? Is Astaro ever going to fix the problem? 

    [/ QUOTE ]

    It dosn't mean that the Firewall is attacking you mail-server. The Firewall intercept traffic, that comes from external to your mail-server, but because it walks through the Firewall (NAT/Proxy) it looks like it comes from the Firewall for the Snort engine. 

    You have to remeber, that SNORT is build for sensor type sniffing, and therefore most filters aren't made for that type of inline-sniffing that is used on the Astaro.
  • 0 in reply to BrucekConvergent
    IMHO, It's probably a false positive that only triggers with certain kinds of internal email servers.

    Thomas, What email server software are you running?

    Barry
  • 0 in reply to BarryG
    Hi,
    I've the same problem... Constant email with "intrusion protection alert".
    This happen when users (Entourage on Mac and myself with Outlook Web Access) connect to my mail server [[:(]]
    For the moment, I turn off the notification of "high severity alert" but..... [[:(]]
    I've an ASL 6.201 (this problem appears after upgrading to 6.201 I think...) and my mailserver is an Exchange 2003 SP2.
    I'm waiting for a fix [;)]
  • 0 in reply to openfield
    Hi there all, 

    why don't you go into the IPS ruleset and disable the rule that triggers false positives.

    With the Hit counter inside the ruleset you can easily identify which are the rules that get hit most frequently.
    You can reset the counters by clicking on the number.

    hope that helps,
    Regards
    Gert
Reply
  • 0 in reply to openfield
    Hi there all, 

    why don't you go into the IPS ruleset and disable the rule that triggers false positives.

    With the Hit counter inside the ruleset you can easily identify which are the rules that get hit most frequently.
    You can reset the counters by clicking on the number.

    hope that helps,
    Regards
    Gert
Children
No Data