Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 5001 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS: Android (Google) Play Store downloads crippled

moose3d
Hello,
Last night I updated to firmware 9.108-23, from the previous level to that, and since then all downloads from the Google Play Store to my Android phone have been running SLOW!!!  ~8kB per 20 seconds.

I found some entries in the IPS logs that looked suspicious, so I began disabling the rulesets one at a time until I found the one that cured the problem.
Turns out that "Malware (3407 attacks, 5296 warnings)" was the set of rules blocking traffic.

I'm putting this info here in case anyone else runs into the same issue - they can see what to disable to get things going again.


Anyway, the IPS log contained (this is just a sample):

2014:02:19-19:23:46 fw snort[18669]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="192.168.5.253" dstip="192.168.5.5" proto="17" srcport="53" dstport="59833" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"
2014:02:19-19:24:01 fw snort[18672]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="192.168.5.253" dstip="192.168.5.55" proto="17" srcport="53" dstport="19701" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"
2014:02:19-19:24:02 fw snort[18669]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="APP-DETECT Dropbox desktop software in use" group="500" srcip="192.168.5.5" dstip="108.160.162.37" proto="6" srcport="61072" dstport="80" sid="18608" class="Potential Corporate Privacy Violation" priority="1" generator="1" msgid="0"
2014:02:19-19:24:03 fw snort[18672]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="OS-MOBILE Android User-Agent detected" group="500" srcip="192.168.5.66" dstip="202.125.44.161" proto="6" srcport="43048" dstport="80" sid="25521" class="Potential Corporate Privacy Violation" priority="1" generator="1" msgid="0"
2014:02:19-19:24:03 fw snort[18672]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="OS-MOBILE Android User-Agent detected" group="500" srcip="192.168.5.66" dstip="202.125.44.161" proto="6" srcport="43048" dstport="80" sid="25521" class="Potential Corporate Privacy Violation" priority="1" generator="1" msgid="0"
2014:02:19-19:24:03 fw snort[18667]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OTHER Corel PDF fusion XPS stack buffer overflow attempt" group="500" srcip="150.101.213.145" dstip="192.168.5.55" proto="6" srcport="80" dstport="47122" sid="29466" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"
2014:02:19-19:24:34 fw snort[18669]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="203.0.178.191" dstip="192.168.5.223" proto="17" srcport="53" dstport="38946" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"


This thread was automatically locked due to age.
  • 0
    Getting the same also with the latest ips signatures. My android tablet is making the ips engine go crazy.
  • 0 in reply to traxtermaster
    This is strange, I'm getting a bunch of these as well.  It raised my eyebrows because the daily email report said the device blocked 1800 attacks.  The strange thing is, if I'm reading the logs correctly, the source IP is actually the Sophos device, and the target is the Andriod device.

    I'm also getting these errors in the logs, which is for my desktop:

    2014:02:19-00:24:59 subway snort[11772]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="192.168.2.95" dstip="192.168.2.184" proto="17" srcport="53" dstport="64631" sid="19187" class="Attempted User Privilege Gain" priority="1"  generator="3" msgid="0"


    Here is a clip from the daily report where I saw it indicates the firewall is the attacker:


    You can see above in the log snippet where the srcip="xx.95", which is the address of the gateway on that interface.  Same with the picture, the .95 on the other interface (separate for wireless) is indicated as the attacker.

    This seems very strange.  I haven't used the Google App Store, so I can't comment on speed.  I do know I have been tearing my hair out trying to get things working fluently.  I have paid Kaspersky on my Windows machines, and their updates have stopped working unless I turn off Web Filter (not IDS).  I have yet to track that down, but it did the same think with some Battlefield 4 updates, and when I was doing that update, there was nothing listed as "block" in the Web Filter's live log.
  • 0
    Hi, the source IP is probably getting modified by the Web Protection proxy.

    If you're not using the proxy, then you may have a very strange NAT.

    You'll probably want to disable most of those IPS rules.
    See https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/41225

    Barry