Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 980 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to locate a particular IPS rule?

bgiles
I'm a little lost here, and I could use some help. Suddenly today, I was unable to download *any* mail from my POP3 server. I finally logged onto the webmail interface, and I discovered that Astaro is blocking my mail because of an IPS violation. Every time I try to download mail, Astaro blocks the attempt and sends a message to my account (the one I'm trying to download from) telling me why it's blocking. Since it thinks my POP3 server is the source, it's blocking everything from the POP3, including the messages it sent to me explaining why it was blocking the server.

My problem now is that I can't figure out which rule on the IPS page to turn off. In the subject line, I see "CRIT-852", and in the body, I see "EXPLOIT Apple Quicktime TCP RTSP sdp type buffer overflow attempt", but when I go to the intrusion detection attack patterns page, there are insufficient clues to tell me which one I need to change from "drop" to "alert only". I tried changing the "Multimedia" rule in the "Attacks against client software" section, but that was apparently not the right one, because I still can't download mail. Have I missed something, or is the necessary information just not in the message? How do I relate the info in the alert message to a particular attack pattern on the web page?

Here's the full message:

Subject:   [bgiles.homeip.net][CRIT-852] Intrusion Protection Alert

Intrusion Protection Alert

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: EXPLOIT Apple Quicktime TCP RTSP sdp type buffer overflow attempt
Details........: www.snort.org/.../sigs.cgi
Time...........: 2008:03:03-20:37:15
Packet dropped.: yes
Priority.......: 1 (high)
Classification.: Attempted User Privilege Gain
IP protocol....: 6 (TCP)

Source IP address: 66.39.101.81 (blueflashsoft.com)
www.dnsstuff.com/.../ptr.ch
www.ripe.net/.../whois
ws.arin.net/.../whois.pl
cgi.apnic.net/.../whois.pl
Source port: 110 (pop3)
Destination IP address: 192.168.1.100 
www.dnsstuff.com/.../ptr.ch
www.ripe.net/.../whois
ws.arin.net/.../whois.pl
cgi.apnic.net/.../whois.pl
Destination port: 55140
        

-- 
System Uptime      : 4 days 20 hours 8 minutes
System Load        : 0.38
System Version     : Astaro Security Gateway 7.104

Please refer to the manual for detailed instructions.


This thread was automatically locked due to age.
Parents
  • 0
    sid=12741 tells us that the particular rule is #12741.  Under the Advanced Tab in the Intrusion Protection menu, you can add this rule and set it to disabled.  Something tells me, however, that it's not what's causing your email problems.
  • 0 in reply to BrucekConvergent
    Actually, that did work. Thanks! I missed that function -- I had been looking at the IPS Attack Patterns tab rather than the Advanced tab. But I still don't know why the message was being blocked in the first place. I assume it was something nasty in a spam message, but I get about 500 spams a day, so there's no way I can go through them all trying to figure out which one was the problem causer. Or it could have been a false alarm of some sort.

    Anyway, the mail is flowing once again.

    -- Bruce
Reply
  • 0 in reply to BrucekConvergent
    Actually, that did work. Thanks! I missed that function -- I had been looking at the IPS Attack Patterns tab rather than the Advanced tab. But I still don't know why the message was being blocked in the first place. I assume it was something nasty in a spam message, but I get about 500 spams a day, so there's no way I can go through them all trying to figure out which one was the problem causer. Or it could have been a false alarm of some sort.

    Anyway, the mail is flowing once again.

    -- Bruce
Children
No Data