Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2209 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

web app attacks

mech9122
Over the past few days I have been getting alot of web app attacks. Basically
the events are showing from my ext net of sbs2003 server to int net of firewall. Now normally I would not think it was anything. But until a few days ago I had never seen these at all. My config has not changed in the last 3
months. Not sure if this a windows exploit or what. any help is appreciatted.
I have saved all the generated emails I have recieved from firewall. Here are
a few that I keep getting. Any Ideas?

WEB-MISC weblogic/tomcat .jsp view source
WEB-ATTACKS netcat command attempt
WEB-ATTACKS rm command attempt
WEB-ATTACKS mail command attempt

Had some issues trying to submit this info to forum. Had to disable webproxy.


This thread was automatically locked due to age.
Parents
  • 0
    Well with webproxy disabled, I have only recieved 2 alerts as stated above.
    I was hoping someone had seen or heard this before and could help. Cause
    the alerts are not normal for my network. Atleast for the last 8mos. or so.
    Other than maybe disable alert, any suggestions?

    Thanks Luke
  • 0 in reply to mech9122
    You didn't have your proxy open to the outside, did you?

    Barry
  • 0 in reply to BarryG
    Hi,

    For my part, it's seem that we attack other since as say Astaro's log. In fact, when client surf the web, malicious or infected site attack other.

    But, in majority, it's simply misconfiguration of web site that attack itself in return.

    I drop this rule until I see that we can't access web site.

    A++
  • 0 in reply to TonyAuth
    To answer, no proxy was not open to outside. Internal users only. Like I said
    I figured it was an exploit working its way thru my browser. I have not seen any rules triggered in a couple of days. I have turned proxy back on. I also,
    before windows patch day had restored to a backup to a day before  I had
    originally began to see these rules triggered. 

    I know drop a rule is the easiest, but when out of the blue you see a bunch
    pop up in the logs/emails, I start to worry and try to eval whats going on.
    Thank you for your suggestions and help, as of now everthing is operational
    just fine.
Reply
  • 0 in reply to TonyAuth
    To answer, no proxy was not open to outside. Internal users only. Like I said
    I figured it was an exploit working its way thru my browser. I have not seen any rules triggered in a couple of days. I have turned proxy back on. I also,
    before windows patch day had restored to a backup to a day before  I had
    originally began to see these rules triggered. 

    I know drop a rule is the easiest, but when out of the blue you see a bunch
    pop up in the logs/emails, I start to worry and try to eval whats going on.
    Thank you for your suggestions and help, as of now everthing is operational
    just fine.
Children
No Data