Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2307 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ID 11669 False Positive or not?

Scott_Klassen
For the past week or so, been getting frequent alerts for SPECIFIC-THREATS Eudora 250 command response buffer overflow.
 
The rule is:
flow:established, to_client
content:"250"
pcre:"/^250.*[^\x20-\x7E\t\x0D\x0A]/sm"
classtype:attempted-user 
 
The alerts show that the messages which trigger the alert are flowing from my astaro box to my internal mail server which is not particularly helpful in finding the specific messages.  
 
Is this alert saying that somebody is sending messages to one of my users with a version of Eudora that is missing a patch?  Or is this a false positive that doesn't need to be worried about?  Anybody else been getting any of these recently?


This thread was automatically locked due to age.
Parents
  • 0
    Hi everybody

    I disagree with the criteria of false positive, based on the logs below.

    The IP 10.1.0.72 is from my ASL 6.306, and IP 10.1.0.4 is from my Kerio Mail Server (internal mail server):


    2007:07:02-13:26:12  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2115
    2007:07:02-13:28:10  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2117
    2007:07:02-13:29:06  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2119
    2007:07:02-13:32:45  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2124
    2007:07:02-13:33:10  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2125
    2007:07:02-13:34:01  2 (medium)   D       SMTP possible BDAT DoS attempt [Detection of a Denial of Service Attack] TCP 10.1.0.72:58419 -> 10.1.0.4:25
    2007:07:02-13:34:01  2 (medium)   D       SMTP possible BDAT DoS attempt [Detection of a Denial of Service Attack] TCP 10.1.0.72:58419 -> 10.1.0.4:25
    2007:07:02-13:34:02  2 (medium)   D       SMTP possible BDAT DoS attempt [Detection of a Denial of Service Attack] TCP 10.1.0.72:58419 -> 10.1.0.4:25
    2007:07:02-13:35:04  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2127
    2007:07:02-13:35:04  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2129
    2007:07:02-13:35:04  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2128

    Here we can see that there are an port scanning from my ASL port 25 to my mail server, increasing the target port number. I thing thats no reasons to justify this behavior. 

    Thinking on an corrupt software, i prepared another new ASL machine, and after three working days, i began to receive the same messages. Besides, i am receiving too messages "SMTP possible BDAT DoS attempt" from an increasing port of ASL to port 25 of my mail server. In both cases, I blocked the packets (drop) in the definitions of ASL Intrusion Protection Rules.

    I look for information on the snort.org site, and anything appeared.

    I am worried about these events because they are classified by Astaro like   "Currently circulating attacks and worms" and "SMTP possible BDAT DoS attempt". I am Astaro ASL user since version 3, and never before i seem something like this.

    Can anybody explain this? 

    Forgive me this long mail and Thanks in advance.
Reply
  • 0
    Hi everybody

    I disagree with the criteria of false positive, based on the logs below.

    The IP 10.1.0.72 is from my ASL 6.306, and IP 10.1.0.4 is from my Kerio Mail Server (internal mail server):


    2007:07:02-13:26:12  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2115
    2007:07:02-13:28:10  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2117
    2007:07:02-13:29:06  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2119
    2007:07:02-13:32:45  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2124
    2007:07:02-13:33:10  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2125
    2007:07:02-13:34:01  2 (medium)   D       SMTP possible BDAT DoS attempt [Detection of a Denial of Service Attack] TCP 10.1.0.72:58419 -> 10.1.0.4:25
    2007:07:02-13:34:01  2 (medium)   D       SMTP possible BDAT DoS attempt [Detection of a Denial of Service Attack] TCP 10.1.0.72:58419 -> 10.1.0.4:25
    2007:07:02-13:34:02  2 (medium)   D       SMTP possible BDAT DoS attempt [Detection of a Denial of Service Attack] TCP 10.1.0.72:58419 -> 10.1.0.4:25
    2007:07:02-13:35:04  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2127
    2007:07:02-13:35:04  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2129
    2007:07:02-13:35:04  1 (high)     D       SPECIFIC-THREATS Eudora 250 command response buffer overflow [Attempted User Privilege Gain] TCP 10.1.0.72:25 -> 10.1.0.4:2128

    Here we can see that there are an port scanning from my ASL port 25 to my mail server, increasing the target port number. I thing thats no reasons to justify this behavior. 

    Thinking on an corrupt software, i prepared another new ASL machine, and after three working days, i began to receive the same messages. Besides, i am receiving too messages "SMTP possible BDAT DoS attempt" from an increasing port of ASL to port 25 of my mail server. In both cases, I blocked the packets (drop) in the definitions of ASL Intrusion Protection Rules.

    I look for information on the snort.org site, and anything appeared.

    I am worried about these events because they are classified by Astaro like   "Currently circulating attacks and worms" and "SMTP possible BDAT DoS attempt". I am Astaro ASL user since version 3, and never before i seem something like this.

    Can anybody explain this? 

    Forgive me this long mail and Thanks in advance.
Children
No Data