hydra and medusa

I am assuming that you are talking about these:

Foofus Networking Services - Medusa
THC-HYDRA - fast and flexible network login hacker

Not to be confused with the dozens of other software packages which use these names and come up with much higher Google rankings.

Astaro IPS is Snort.  Perhaps you should try enabling applicable Add Extra Warnings checkboxes to see if the extra rules will catch the scans.

You can find most of the snort rules implemented in Astaro at Astaro IPS Rules.  This list hasn't been updated in awhile, but the rules have.

If you know the Snort ID's of Rules that will detect the use of these tools, please feel free to share.

Hello Scott,
yes, that are the tools that I tried.
I did not had a look on snort rules yet. I'll do.
I installed a virtual ASG to have a look on Web Application Security.
( It seams, my normal license does not include it )
But I can't see that this feature handle blocking of login tries
to a webserver. Am I right?

Greetings
Markus

You are correct.  WAF can do AV scanning using the Avira and Clam engines and implement some hardening techniques.  Blocking of login tries would be a function of your web application or implementation of third party software on the web server, such as fail2ban.

You are correct.  WAF can do AV scanning using the Avira and Clam engines and implement some hardening techniques.  Blocking of login tries would be a function of your web application or implementation of third party software on the web server, such as fail2ban.

Jup, I agree. Some hacking attempts as brute force attacks may be detected by IPS extra alarms, but this is only working for http, IDS does not scan in https streams.

So you are mostly limited to the featureset of the WAF.

Hello Sascha, hello Scott,
thanks. I'll have a look on fail2ban.
I have a ASG feature request now:
fail2ban for WAS [:)]

Greetings
Markus