Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 5146 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WEB-MISC PCT Client_Hello

farconious
Every hour I get these alerts which I believe are false positives.  They seem to coincide with a user's mobile phone connecting via owa.  Anybody else seeing this?
-------------------------
Intrusion Protection Alert

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: WEB-MISC PCT Client_Hello overflow attempt
Details........: http://www.snort.org/pub-bin/sigs.cgi?sid=2515
Time...........: 2008:09:09-11:34:43
Packet dropped.: yes
Priority.......: 1 (high)
Classification.: Attempted Administrator Privilege Gain IP protocol....: 6 (TCP)
-------------------------
Not causing an issue with the user getting email just a dozen irritating notices every hour.  Is there any way to stop alerts for this particular alert without disabling the entire group/category?  In version 6 you could configure individual alerts within a category, it seems as though that functionality has been removed in version 7.30.

thanks,
Patrick


This thread was automatically locked due to age.
  • 0
    Yep, we see this a lot with SSL Web sites being hosted behind an Astaro... so far they've all been false positives.
  • 0 in reply to BrucekConvergent
    We didn't start seeing this until I got an iPhone 3G and set up ActiveSync/OMA on our SBS 2003 Exchange server.  It seems to coincide with periods where the 'push' to the iPhone doesn't function.  Since I wasn't seeing this alert for any other reason, I changed the action for 2515 from block to alert.

    My guess is that it's the iPhone trying to kick-start ActiveSync, but it makes no difference that the Astaro lets the message get through to the server. I am chronicling this experience both on the Apple site and here:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/20215

    Are you certain that the individual is not having syncing issues with your Exchange server?
  • 0 in reply to BAlfson
    We didn't start seeing this until I got an iPhone 3G and set up ActiveSync/OMA on our SBS 2003 Exchange server.  It seems to coincide with periods where the 'push' to the iPhone doesn't function.  Since I wasn't seeing this alert for any other reason, I changed the action for 2515 from block to alert.

    My guess is that it's the iPhone trying to kick-start ActiveSync, but it makes no difference that the Astaro lets the message get through to the server. I am chronicling this experience both on the Apple site and here:
    http://www.astaro.org/showthread.php?t=22837&highlight=iPhone

    Are you certain that the individual is not having syncing issues with your Exchange server?


    I have a few iPhone users as well but nobody has reported sync issues.  What version of ASG are you using?  In ASG 6 I could set actions for individual vulnerabilities within a group but in ASG 7 I can only set actions for the entire group.  Am I missing something?
  • 0 in reply to farconious
    Network Security >> Intrusion Protection
    Advanced tab
    Rule Modification

    I had to ask also.
  • 0 in reply to BAlfson
    Network Security >> Intrusion Protection
    Advanced tab
    Rule Modification

    I had to ask also.


    Perfect!  Thanks!
  • 0 in reply to farconious
    I've also seen these alerts trigger when ActiveSync, etc. aren't being used, just simple SSL Web Site access can trigger them too.