Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4514 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS blocking mail traffic Attempted User Privilege Gain

Aldi
Hello,

one problem with the ips Astaro System. It blocks mails from our customers. After 4 attempts the e-mail is delivered but with delay. The Logfile:

Any ideas what's going wrong?

2012:12:17-09:24:44 mail snort[5163]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OFFICE Microsoft Office Excel pivot item index boundary corruption attempt" group="310" srcip="1.1.1.1" dstip="192.1.1.200" proto="6" srcport="57782" dstport="25" sid="23559" class="Attempted User Privilege Gain" priority="1"  generator="1" msgid="0"

the excel sheet ist ok... 

Thank you


This thread was automatically locked due to age.
Parents
  • 0
    Hi, that does't help. The IPS Log shows:

    2013:01:14-12:22:48 mail snort[5163]: S5: Session exceeded configured max bytes to queue 1048576 using 1049864 bytes (server queue). 100.100.100.100 51243 --> 192.1.1.200 25 (0) : LWstate 0x9 LWFlags 0x406007
    2013:01:14-12:26:22 mail snort[5163]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OFFICE Microsoft Office Excel pivot item index boundary corruption attempt" group="310" srcip="100.100.100.100" dstip="192.1.1.200" proto="6" srcport="51243" dstport="25" sid="23559" class="Attempted User Privilege Gain" priority="1"  generator="1" msgid="0"

    The 192.1.1.200 is our internal Mail Gateway the ip 100.100.100.100 stands for our customer which will send Mail to us.

    Does I have to deactivate ID 2101?

    Thank you
Reply
  • 0
    Hi, that does't help. The IPS Log shows:

    2013:01:14-12:22:48 mail snort[5163]: S5: Session exceeded configured max bytes to queue 1048576 using 1049864 bytes (server queue). 100.100.100.100 51243 --> 192.1.1.200 25 (0) : LWstate 0x9 LWFlags 0x406007
    2013:01:14-12:26:22 mail snort[5163]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OFFICE Microsoft Office Excel pivot item index boundary corruption attempt" group="310" srcip="100.100.100.100" dstip="192.1.1.200" proto="6" srcport="51243" dstport="25" sid="23559" class="Attempted User Privilege Gain" priority="1"  generator="1" msgid="0"

    The 192.1.1.200 is our internal Mail Gateway the ip 100.100.100.100 stands for our customer which will send Mail to us.

    Does I have to deactivate ID 2101?

    Thank you
Children
No Data