Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1704 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS - Is it a false positive?

eclipse79oldacct
Hello,
yesterday my astaro blocked 100 packets from 83.221.115.5 (that is mailrelay.lastampa.it). In your opinion, shoud it be a false positive? Why IPS detects this attack if destionation ports (59021, but also 59140, 60943 in other log entries) are closed?

Thank you

2009:11:12-08:25:18 myfirewall barnyard[4826]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-CLIENT wmf file arbitrary code execution attempt" group="320" srcip="83.221.115.5" dstip="My WAN Address" proto="6" srcport="80" dstport="59021" sid="5318" class="Web Application Attack" priority="1"  generator="1" msgid="0"
2009:11:12-08:25:19 myfirewall barnyard[4826]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-CLIENT wmf file arbitrary code execution attempt" group="320" srcip="83.221.115.5" dstip="My WAN Address" proto="6" srcport="80" dstport="59021" sid="5318" class="Web Application Attack" priority="1"  generator="1" msgid="0"
2009:11:12-08:25:19 myfirewall barnyard[4826]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-CLIENT wmf file arbitrary code execution attempt" group="320" srcip="83.221.115.5" dstip="My WAN Address" proto="6" srcport="80" dstport="59021" sid="5318" class="Web Application Attack" priority="1"  generator="1" msgid="0"
2009:11:12-08:25:21 myfirewall barnyard[4826]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-CLIENT wmf file arbitrary code execution attempt" group="320" srcip="83.221.115.5" dstip="My WAN Address" proto="6" srcport="80" dstport="59021" sid="5318" class="Web Application Attack" priority="1"  generator="1" msgid="0"
2009:11:12-08:25:22 myfirewall barnyard[4826]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-CLIENT wmf file arbitrary code execution attempt" group="320" srcip="83.221.115.5" dstip="My WAN Address" proto="6" srcport="80" dstport="59021" sid="5318" class="Web Application Attack" priority="1"  generator="1" msgid="0"


EMAIL NOTIFICATION
I have additional infos that I have extracted from email notifications (I have replaced my wan ip address with MY WAN IP ADDRESS


Intrusion Protection Alert An intrusion has been detected. The packet has been dropped automatically. You can toggle this rule between "drop" and "alert only" in WebAdmin. Details about the intrusion alert: Message........: WEB-CLIENT wmf file arbitrary code execution attempt Details........: http://www.snort.org/pub-bin/sigs.cgi?sid=5318 Time...........: 2009:11:13-11:00:24 Packet dropped.: yes Priority.......: 1 (high) Classification.: Web Application Attack IP protocol....: 6 (TCP) Source IP address: 83.221.115.5 (mailrelay.lastampa.it) - http://www.dnsstuff.com/tools/ptr.ch?ip=83.221.115.5 - http://www.ripe.net/perl/whois?query=83.221.115.5 - http://ws.arin.net/cgi-bin/whois.pl?queryinput=83.221.115.5 - http://cgi.apnic.net/apnic-bin/whois.pl?search=83.221.115.5 Source port: 80 (http) Destination IP address: MY WAN IP ADDRESS (MYFIREWALL) - http://www.dnsstuff.com/tools/ptr.ch?ip=MY WAN IP ADDRESS - http://www.ripe.net/perl/whois?query=MY WAN IP ADDRESS - http://ws.arin.net/cgi-bin/whois.pl?queryinput=MY WAN IP ADDRESS - http://cgi.apnic.net/apnic-bin/whois.pl?search=MY WAN IP ADDRESS Destination port: 59978         -- System Uptime      : 4 days 17 hours 17 minutes System Load        : 0.32 System Version     : Astaro Security Gateway Appliance 7.405 Please refer to the manual for detailed instructions.


This thread was automatically locked due to age.
Parents
  • 0
    Is this a mail server that you use?  If so, then it would appear that this was it's response to something sent to it via your Astaro.  I guess that because, as a stateful firewall, the Astaro keeps track of connections that it initates and passes responses from those connections.

    Cheers - Bob
  • 0 in reply to BAlfson
    Is this a mail server that you use?  If so, then it would appear that this was it's response to something sent to it via your Astaro.  I guess that because, as a stateful firewall, the Astaro keeps track of connections that it initates and passes responses from those connections.
    Cheers - Bob


    No, we have our mailserver connected to DMZ interface. La Stampa is an italian newspaper. I have discovered that the entries in logfiles appears only when some clients in LAN launch LASTAMPA.it or LASTAMPA.com.

    I don't understand why the dropped packets came from that ip to my public wan address.... did you experience the same issue?
Reply
  • 0 in reply to BAlfson
    Is this a mail server that you use?  If so, then it would appear that this was it's response to something sent to it via your Astaro.  I guess that because, as a stateful firewall, the Astaro keeps track of connections that it initates and passes responses from those connections.
    Cheers - Bob


    No, we have our mailserver connected to DMZ interface. La Stampa is an italian newspaper. I have discovered that the entries in logfiles appears only when some clients in LAN launch LASTAMPA.it or LASTAMPA.com.

    I don't understand why the dropped packets came from that ip to my public wan address.... did you experience the same issue?
Children
  • 0 in reply to eclipse79oldacct
    Think about it for a second... when you download (via web browser) from a site, that traffic's source is the remote site.  It sounds like they have a WMF file on that site (used as a graphic, etc.) that your users are requesting (automatically) via the web browser.  The destination is your external WAN IP, which is then (via the magic of PAT / MASQ) translated into the internal IP of the host that originally requested it.  The question is whether or not the WMF file in question is really malicious or not.  TO determine that, you will need to do some analysis of the file / website.