Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4115 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Question about: The packet has *not* been dropped.

webservio
Hello Everyone,

Although in my IDP section I have check marked Drop for Action as well as Add extra warnings and Notify I still get Alerts with notification that packet has not been dropped (see below). Am I missing anything?


Intrusion Prevention Alert

An intrusion has been detected. The packet has *not* been dropped.
If you want to block packets like this one in the future,
set the corresponding intrusion protection rule to "drop" in WebAdmin.
Be careful not to block legitimate traffic caused by false alerts though.

Details about the intrusion alert:

Message........: POLICY-OTHER web server file upload attempt


This thread was automatically locked due to age.
Parents
  • 0
    Hi, what is the SID, and are you sure you have that SID marked to DROP?

    Also, I'm moving this thread out of Web Server Security as it is an IPS question.

    Barry
  • 0 in reply to BarryG
    Hi, what is the SID, and are you sure you have that SID marked to DROP?

    Also, I'm moving this thread out of Web Server Security as it is an IPS question.

    Barry


    Thanks for moving my question to the right thread. Below is more information of an example detection which states the SID. In regards to if I have the SID marked to drop: I have action to Drop in everything in the Attack Patterns. Is there another place that I need to set anything else up for a specific SID?

    More info:

    Message........: WEB-MISC .htpasswd access
    Details........: Snort ::
    Time...........: 2013:02:13-11:00:12
    Packet dropped.: no
    Priority.......: high
    Classification.: Web Application Attack
    IP protocol....: 6 (TCP)
Reply
  • 0 in reply to BarryG
    Hi, what is the SID, and are you sure you have that SID marked to DROP?

    Also, I'm moving this thread out of Web Server Security as it is an IPS question.

    Barry


    Thanks for moving my question to the right thread. Below is more information of an example detection which states the SID. In regards to if I have the SID marked to drop: I have action to Drop in everything in the Attack Patterns. Is there another place that I need to set anything else up for a specific SID?

    More info:

    Message........: WEB-MISC .htpasswd access
    Details........: Snort ::
    Time...........: 2013:02:13-11:00:12
    Packet dropped.: no
    Priority.......: high
    Classification.: Web Application Attack
    IP protocol....: 6 (TCP)
Children
No Data