Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2497 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

GM Sites won't load with IPS on (chevrolet.com, cadillac.com, buick.com)

ninety6
I have an issue on my Sophos UTM Home where various GM sites won't load with IPS on.  

For example:
www.chevrolet.com
www.cadillac.com
www.buick.com

they sit and spin, and never load.  Turn off IPS, and they load fine.  Turn IPS back ON -- and if they've already been loaded, they will load fine for a while (not sure how long).  Browser doesn't matter, (chrome or IE).  End user computer doesn't matter either...

The SRCIP listed below changes based on the website requested.

In the live log, this is what I see when trying to load the page (once for each request):

2015:02:01-09:21:34 jevpn snort[18918]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="BROWSER-IE Microsoft Internet Explorer CSS style memory corruption attempt" group="320" srcip="23.65.17.175" dstip="192.168.1.105" proto="6" srcport="80" dstport="57111" sid="19873" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"

2015:02:01-09:22:52 jevpn snort[18918]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="BROWSER-IE Microsoft Internet Explorer CSS style memory corruption attempt" group="320" srcip="23.65.21.241" dstip="192.168.1.105" proto="6" srcport="80" dstport="57325" sid="19873" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"



Anyone else have the issue?  Seems likes a false positive, and would like to be able to load the sites without issue.  It's been going on through various updates and patches, its not a new issue.  I'm on the most recent release.  What would be the best to get this correct, without having to create exceptions for various IPs.

Thanks for the help!


This thread was automatically locked due to age.
Parents
  • 0
    My contention is if thi is an isolated case then there is something on your network triggering this rule.  If it was a widespread issue then disabling it would be a good idea.  Keep an eye out on things..i would also check your network in case there is something causing this.  Ips false positives IME are not common enough to make disabling rules a normal course of action...just my .02.  

    it may not necessarily be malware BUT some other program that is running somewhere.
  • 0 in reply to William Warren
    My contention is if thi is an isolated case then there is something on your network triggering this rule.  If it was a widespread issue then disabling it would be a good idea.  Keep an eye out on things..i would also check your network in case there is something causing this.  Ips false positives IME are not common enough to make disabling rules a normal course of action...just my .02.  

    it may not necessarily be malware BUT some other program that is running somewhere.



    Interesting, I'll be interested to see if indeed its JUST me having this issue with those sites, or if someone else sees the same thing.  

    My network is clean (malware/av wise), but I could actually eliminate some hops for testing purposes and see if a particular device is contributing.  

    I do know so far, it happens on desktop / laptop / chrome / IE / Win7 / Win8 / Wireless / Wired (wireless AP vs separate network switch), and i know it does it on a different wireless router and different switch.  I've also switched my cable modem since the issue began, and that didn't change behavior.

    I may have to play around a little bit in a few weeks when I get a chance, especially if its ONLY me with this particular issue.  If no one else has a problem with the same UTM setup, then obviously its something specific to my network, or the hardware I'm using for UTM...

    This is really the only issue i've had with it -- been running it for almost a year I think.  Love it.  Only other issue is that it slows stuff down a bit internet wise, but I know thats because my hardware is old / single core processor.... just an old computer that was laying around..
Reply
  • 0 in reply to William Warren
    My contention is if thi is an isolated case then there is something on your network triggering this rule.  If it was a widespread issue then disabling it would be a good idea.  Keep an eye out on things..i would also check your network in case there is something causing this.  Ips false positives IME are not common enough to make disabling rules a normal course of action...just my .02.  

    it may not necessarily be malware BUT some other program that is running somewhere.



    Interesting, I'll be interested to see if indeed its JUST me having this issue with those sites, or if someone else sees the same thing.  

    My network is clean (malware/av wise), but I could actually eliminate some hops for testing purposes and see if a particular device is contributing.  

    I do know so far, it happens on desktop / laptop / chrome / IE / Win7 / Win8 / Wireless / Wired (wireless AP vs separate network switch), and i know it does it on a different wireless router and different switch.  I've also switched my cable modem since the issue began, and that didn't change behavior.

    I may have to play around a little bit in a few weeks when I get a chance, especially if its ONLY me with this particular issue.  If no one else has a problem with the same UTM setup, then obviously its something specific to my network, or the hardware I'm using for UTM...

    This is really the only issue i've had with it -- been running it for almost a year I think.  Love it.  Only other issue is that it slows stuff down a bit internet wise, but I know thats because my hardware is old / single core processor.... just an old computer that was laying around..
Children
No Data