Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 20203 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intrusion Protection Alert (Email) Change in ASG 8.2

ehcah
Hello,

I recently upgraded my ASG box to ASG 8.2.  I am continually getting email about Intrusion Prevention Alerts of varying priority.  On the previous version, I wasn't getting these and haven't changed my notifications.  Below is an example.  Did something change in ASG 8.2?

Intrusion Prevention Alert

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: WEB-CLIENT HTML DOM invalid DHTML comment creation attempt
Details........: Snort ::
Time...........: 2011:08:23-10:24:25
Packet dropped.: yes
Priority.......: high
Classification.: Attempted User Privilege Gain IP protocol....: 6 (TCP)

Source IP address: 98.129.63.179
Where are my results?
Database Query
http://ws.arin.net/cgi-bin/whois.pl?queryinput=98.129.63.179
APNIC - Query the APNIC Whois Database
Source port: 80 (http)
Destination IP address: 192.X.X.X
Where are my results?
Database Query
http://ws.arin.net/cgi-bin/whois.pl?queryinput=192.X.X.X
APNIC - Query the APNIC Whois Database
Destination port: 58418
        
-- 
System Uptime      : 3 days 8 hours 0 minutes
System Load        : 0.22
System Version     : Astaro Security Gateway 8.201

Please refer to the manual for detailed instructions.


This thread was automatically locked due to age.
  • 0 in reply to Scott_Klassen
    The email I get looks like:

    Intrusion Prevention Alert

    An intrusion has been detected. The packet has been dropped automatically.
    You can toggle this rule between "drop" and "alert only" in WebAdmin.

    Details about the intrusion alert:

    Message........: WEB-MISC Microsoft ASP.NET information disclosure attempt
    Details........: Snort ::
    Time...........: 2011:08:31-08:34:03
    Packet dropped.: yes
    Priority.......: low
    Classification.: Misc activity
    IP protocol....: 6 (TCP)

    Source IP address: 10.10.10.93
    Where are my results?
    Database Query
    http://ws.arin.net/cgi-bin/whois.pl?queryinput=10.10.10.93
    APNIC - Query the APNIC Whois Database
    Source port: 80 (http)
    Destination IP address: 222.127.85.142
    Where are my results?
    Database Query
    http://ws.arin.net/cgi-bin/whois.pl?queryinput=222.127.85.142
    APNIC - Query the APNIC Whois Database
    Destination port: 52931


    The Destination IP and port are not constant.
  • 0
    This is triggering a rule (Snort :: VRT Rules 2010-09-23) for a web server, using the .net framework, that is missing a patch for a vulnerability (Microsoft Security Bulletin MS10-070 - Important : Vulnerability in ASP.NET Could Allow Information Disclosure (2418042)).

    Since you said the server at 10.10.10.93 is linux based, this could be a false positive.  You might be able to find out more information from the snort community about this rule.

    I would still advise tuning as mentioned in the last post.  Such as if this server is hosting a website, add it to the section in the last post.  This will reduce the number of false positives.
  • 0
    Dear all
    hi,
    I have a problem with Intrusion Prevention and now I'm so concern. We have many attacks over day and till today we thought that the attacks are dropped. But today, after enabling notification for just an hour, we received many emails like this:

    ******************
    Intrusion Prevention Alert

    An intrusion has been detected. The packet has *not* been dropped.
    If you want to block packets like this one in the future,
    set the corresponding intrusion protection rule to "drop" in WebAdmin.
    Be careful not to block legitimate traffic caused by false alerts though.

    Details about the intrusion alert:

    Message........: POP3 login brute force attempt
    Details........: Snort ::
    Time...........: 2012:01:25-08:38:44
    Packet dropped.: no
    Priority.......: medium
    Classification.: An attempted login using a suspicious username was detected
    IP protocol....: 6 (TCP)
    **********************
    This notification says that the packet has not been dropped ! But i checked it in webadmin and all rules action were "drop".
    we use asg 525 and our software is update.
    any idea? 
    sorry for my bad english
  • 0
    Hello mehrzad

    Could you post a screen shoot of the IPS section with the attack patterns? Have you enabled the "extra warning" for email client?

    Thanks

    Sent from my iPhone using Astaro.org
  • 0
    Dear wingman,
    the screenshot is here:



    is everything ok with configuration?

    Thanks for your reply.
  • 0
    Mehrzad, I think Wingman was looking for the bottom of that screen - the part with 'Attacks on Client Software'.  Also, check your POP3 server to see if there are a lot of failed logon attempts and where they come from.

    Cheers - Bob
  • 0 in reply to BAlfson
    You should probably also check the Advanced Tab under Intrusion Prevention, and make sure the rule in question is not manually set to Alert only.
  • 0
    Dear All
    Here is screenshot of bottom of that screen:



    and the advances tab is as below: 




    So. what may be wrong with configuration? We are confused. 

    Our attacks do not restrict to SMTP brute force, Some of our attacks include:

    POP3 login brute force attempt  Server / Mail / POP3
    SPECIFIC-THREATS McAfee ePolicy Orchestrator Framework Services buffer overflow attempt Malware
    ICMP PATH MTU denial of service attempt
    WEB-MISC PCT Client_Hello overflow attempt Malware 
    BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt Malware 
    WEB-MISC encoded cross site scripting attempt Malware
    SMTP Ipswitch IMail Server Mailing List Message Subject buffer overflow Server / Mail / SMTP 
    FTP no password Server / Misc / FTP 
    WEB-PHP horde help module arbitrary command execution attempt Server / HTTP / PHP
    BAD-TRAFFIC SSH brute force login attemp

    Thanks all Friends
  • 0 in reply to mehrzad
    It sounds like you have a commercial installation (which should be commercially licensed) -- if so, I would contact Astaro Support (you may have to go through your reseller depending on the level of support you purchased with your licenses) and have them look at it.
  • 0
    Yes, we have commercial license with hot standby activated. I think i should open a case with support. 
    Thanks all