Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 5247 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intrusion Prevention Log - ?Buffer Overflow?

gearloose
Hi there,

since three or two days, there is a message in the Intrusion Prevention Log:

2010:03:24-09:29:10 p1gw01 snort[4972]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="(smtp) Attempted response buffer overflow: 992 chars" group="0" srcip="Exchange 2007 SYSTEM" dstip="FIREWALL" proto="6" srcport="25" dstport="58915" sid="0" class="Attempted User Privilege Gain" priority="1" generator="124" msgid="1"

[:S] the message appears not very often

what is to do??? [:D]


This thread was automatically locked due to age.
  • 0
    If it's not hindering the operation of your server(which judging from  your post it isn't)nothing...make sure your server is patched and be glad astaro is catching this attempted compromise.
  • 0
    If I'm not mistaken, that is your firewall trying to send your mailserver a mail, which responds with crap.
    Or the IPS is falsely reporting, which has been known to happen.

    Advice: check your exchange logs, if those are ok, wait for an update to the IPS patterns to fix this.
  • 0
    I don't think it's a false positive or a firewall interaction.  I run astaro in front of my Exchange and it's not a false positive..it's something getting blocked.
  • 0
    Have you confirmed that your Exchange server is listed in 'SMTP servers' on the 'Advanced' tab?

    Cheers - Bob
  • 0
    I am having the same issue and I do have my Exchange server listed in the 'SMTP servers' on the 'Advanced' tab.

    This happens all day long...all different destination ports to my ASG, the source of which is from my Exchange server port 25.
  • 0
    Bump

    I've been having this happen for awhile now as well.

    2010:09:02-14:06:30 asg-lic snort[22537]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="(smtp) Attempted response buffer overflow: 718 chars" group="0" srcip="" dstip="" proto="6" srcport="25" dstport="55202" sid="0" class="Attempted User Privilege Gain" priority="1" generator="124" msgid="1"
    dstport always seems to be be fairly random.

    Server IP is listed in the performance tuning section of the network security->Intrusion Prevention->advanced (in all blocks [http, smtp, sql, dns])
  • 0
    Have you configured the 'Advanced' tab of 'Intrusion Prevention'?

    Cheers - Bob
  • 0
    Yes I have it listed (was the last line of my post)
  • 0
    Indeed, I scanned your post too quickly. [;)]

    I'm confused by a SnortID (sid) of 0, but this seems to be SMTP response packets (hence the random dstport).  Are you using the SMTP Proxy?  If so, then I wonder if there might not be a misconfiguration there.

    If you're just DNATting SMTP traffic to your server, then I would suspect it has a misconfiguration.

    Of course, I'm assuming there are no routers in between the Astaro and Exchange.

    Cheers - Bob
  • 0
    Using simple SMTP proxy
    Routing has proper domain, static  host list of the proper internal server ip, verification with callout
    Nothing in relaying
    Nothing in advanced other then the advanced block (helo, sizes, etc)
    batv is not enabled

    only DNAT is to redirect https traffic on the external ip to the exchange server (for web mail portal)

    internally there is only one hop through a switch between the astaro and exchange.