Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 4840 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New IPS rule blocking Windows Update

SalishSwede
The IPS/Snort is getting hammered with attempts to update my Win7 machine.

The rule is evidently new per Snort: 

Sourcefire VRT Rules Update

 Date: 2014-04-30

  This is the complete list of rules modified and added in the Sourcefire VRT Certified rule pack for Snort version 2960.
 The format of the file is:
 gid:sid  Default rule state  Message (rule group)
 New Rules:

  
* 1:30882  ENABLED  MALWARE-CNC Win.Trojan.Rbrute inbound communication (malware-cnc.rules)  
* 1:30883  ENABLED  MALWARE-CNC Win.Trojan.Rbrute inbound communication (malware-cnc.rules)  
* 3:30884  ENABLED  BAD-TRAFFIC Cisco MXP Telepresence gssapi-data unauthenticated denial of service attempt (bad-traffic.rules)  
* 3:30881  ENABLED  BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt (bad-traffic.rules)  
* 3:30887  ENABLED  WEB-MISC Cisco Tshell command injection attempt (web-misc.rules)  
* 3:30886  ENABLED  BAD-TRAFFIC Cisco SIP malformed date header buffer overflow attempt (bad-traffic.rules)  
* 3:30885  ENABLED  BAD-TRAFFIC Cisco SIP malformed date header buffer overflow attempt (bad-traffic.rules)  
* 3:30889  ENABLED  BAD-TRAFFIC Content-Type media type overflow denial of service attempt (bad-traffic.rules)  
* 3:30890  ENABLED  BAD-TRAFFIC Content-Type media type overflow denial of service attempt (bad-traffic.rules)  
* 3:30888  ENABLED  WEB-MISC Cisco Tshell command injection attempt (web-misc.rules)  Modified Rules:

  * 1:30789  DISABLED  SERVER-WEBAPP Acunetix web vulnerability scanner fake URL exploit attempt (server-webapp.r


From the logs...  
Note: Source IP is the Win7 client and Destination is the Sophos UTM.

2014:05:22-11:33:20 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56764" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:20 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:20 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56764" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:20 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:20 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56764" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:20 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56764" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:21 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56764" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:21 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:21 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56764" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:21 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56764" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:22 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="53574" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:23 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56764" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:23 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:25 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:25 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56764" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:27 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56764" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:41 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:41 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56764" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:41 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56764" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:41 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:42 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:42 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56764" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:53 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="53620" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:53 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="53620" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:53 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="53620" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:53 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="53620" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:53 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="53620" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:53 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="53620" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:53 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="53620" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:53 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="53620" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:53 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="53620" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:56 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:33:56 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:34:34 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:34:36 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="60418" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:34:37 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:34:38 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="60418" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:34:46 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:34:46 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="60418" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:34:52 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:34:56 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="60418" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:35:26 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="56765" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0" 
2014:05:22-11:35:26 ravenna snort[7602]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC dns request with long host name segment - possible data exfiltration attempt" group="241" srcip="10.1.2.3" dstip="10.1.1.2" proto="17" srcport="60418" dstport="53" sid="30881" class="Attempted Information Leak" priority="2"  generator="3" msgid="0"
This seems more than a little odd.

Note the only thing I did was boot Windows and run Windows Update.
Any thoughts?  I can't find anything meaningful on the interwebs.


This thread was automatically locked due to age.
Parents Reply Children
No Data