Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 27196 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.000] IPS blocks many Websites !

xenon2008
Hello,

Since i have upgraded my ASG to v9.000-8 many Websites does not load or load only very slowly and not correctly!

I have only IPS eneabled! No Proxy or Application Control...

In the IPS log is always one event shown like this:
2012:07:22-17:42:49 ***XX-1 snort[5377]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-CLIENT Microsoft Internet Explorer colgroup tag uninitialized memory exploit attempt" group="320" srcip="2.21.97.107" dstip="192.1XX.***.***" proto="6" srcport="80" dstport="4086" sid="11257" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"

for example this websites:
Golem.de: IT-News für Profis
feature.astaro.com

and many other websites ...

what ist "WEB-CLIENT Microsoft Internet Explorer colgroup tag uninitialized memory exploit attempt" ? i dont want to disable the complete rule ....

please help me [:(]

best regards
xenon


This thread was automatically locked due to age.
Parents
  • 0
    Hi all,

    Thought I would let everyone know about another rule that is giving me issues.  I am trying to load eBay and it keeps getting stuck when it would reach the site "ir.ebaystatic.com".  Because I was having the same issue listed above I decided to check my IPS logs.  Sure enough it was spitting out this over and over:

    2012:07:26-22:34:20 firewall snort[3492]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-CLIENT Microsoft Internet Explorer HTML DOM invalid DHTML textnode creation attempt" group="320" srcip="208.47.254.49" dstip="192.***.***.***" proto="6" srcport="80" dstport="49817" sid="20278" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0" 

    I already have the other rule disabled that is listed above and I can randomly load eBay from time to time.

    Is rule 20278 giving anyone else any issues?
Reply
  • 0
    Hi all,

    Thought I would let everyone know about another rule that is giving me issues.  I am trying to load eBay and it keeps getting stuck when it would reach the site "ir.ebaystatic.com".  Because I was having the same issue listed above I decided to check my IPS logs.  Sure enough it was spitting out this over and over:

    2012:07:26-22:34:20 firewall snort[3492]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-CLIENT Microsoft Internet Explorer HTML DOM invalid DHTML textnode creation attempt" group="320" srcip="208.47.254.49" dstip="192.***.***.***" proto="6" srcport="80" dstport="49817" sid="20278" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0" 

    I already have the other rule disabled that is listed above and I can randomly load eBay from time to time.

    Is rule 20278 giving anyone else any issues?
Children
No Data