Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 8171 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intrusion Prevention Alerts

jon8145
We've started getting some intrusion prevention alerts for a couple of PC's, I'm a bit confused as to what they are telling me and what I should do.

An example alert;

Intrusion Prevention Alert

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: BROWSER-IE Microsoft Internet Explorer CSS importer use-after-free attempt
Details........: https://www.snort.org/search?query=18196
Time...........: 2015-06-11 14:36:52
Packet dropped.: yes
Priority.......: high
Classification.: Attempted User Privilege Gain IP protocol....: 6 (TCP)

Source IP address: 207.123.57.107
Source port: 80 (http)
Destination IP address: 192.168.2.56
Destination port: 64728
        
-- 
HA Status          : HA MASTER (node id: 1)
System Uptime      : 58 days 20 hours 25 minutes
System Load        : 0.21
System Version     : Sophos UTM 9.310-11

Please refer to the manual for detailed instructions.


There have been a few different types of message, with various source IP's but only two PC's as the destination IP. All packets have been dropped.

The alert seems to be saying there was a bad response received from a web request, but I can't find any trace of requests being made to the source IP's on either Sophos logs or PC's. The PC users haven't reported ay errors or strangeness either.

Can anyone explain?


This thread was automatically locked due to age.
Parents
  • 0
    Thanks for the responses. We are pretty much patched up to date so we should be fine, but I'm still confused.

    Only two PC's have been the destination for these packets, one of them has had them from a number of different source IP addresses. They appear to be HTTP responses but I still can't find anything to support that, especially the outbound request (such as on the Sophos logs, the browser history).

    Nothing dodgy on the PC's, AV checks are clean, no dodgy websites and so on.

    Been using Sophos for 6 months now, never had these alerts before until last Monday.

    Why aren't we getting them for other PC's? What is triggering them?
Reply
  • 0
    Thanks for the responses. We are pretty much patched up to date so we should be fine, but I'm still confused.

    Only two PC's have been the destination for these packets, one of them has had them from a number of different source IP addresses. They appear to be HTTP responses but I still can't find anything to support that, especially the outbound request (such as on the Sophos logs, the browser history).

    Nothing dodgy on the PC's, AV checks are clean, no dodgy websites and so on.

    Been using Sophos for 6 months now, never had these alerts before until last Monday.

    Why aren't we getting them for other PC's? What is triggering them?
Children
No Data