Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 1970 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Potential false positive on OwnCloud page

dmz101
Hi All,

Just setup a personal OwnCloud server yesterday and its wired in to be internally and externally accessible over https. It was all accessible by DNS fine but now this morning it is now triggering the endpoint analysis with a Mal/HTMLGen-A warning.

I am a little hesitant to post the url here publicly, but I will send it via a PM to whoever needs to take a look so I can either fix or get the code fixed so it can be de-blacklisted.

DMZ


This thread was automatically locked due to age.
  • 0
    I had the same problem when using dual av scan. For me it works great with using single av for waf.
  • 0
    Just a thought - but have you scanned the OwnCloud server for possible malware? I would recommend updating to the latest version of the OwnCloud software and scanning the box for issues. It could be a false positive, but then it may not be :/

    Reference: New Vulnerabilities in the Linux kernel, TYPO3, Dovecot, ownCloud and Cacti | MALWARELIST INFORMATION ABOUT VIRUSES

    It is possible that the system was compromised since you have it live on the net, lots of bad people out there scanning for vulnerable systems and uploading malware. You might want to check you logs to see if the system has been accessed and by whom.

    I could just be a false positive - there have been several reports of Mal/HTMLGen-A being reported with no apparent cause.  I'd still scan the box just for good measure.
  • 0
    Thanks for the replies [:)]

    Its running 5.0.11 on FreeBSD (Freenas) and from the logs there has been no unauth activity, either from an IPS or firewall perspective from the UTM, nor anything odd looking in the logs. 

    I will get an AV scan done on it when I get a few mins, but for now I'll just take it offline and set OpenVas on it when I get a spare hour or so and see what it finds. Will be interesting from a security perspective anyhow.

    DMZ
  • 0
    Good luck with your testing - let us know what you find out.
  • 0
    Just an update for the interim, offline scan of a backup didn't find anything but setting it up to go thru the UTM's inbuilt webserver protection showed showed up something on the AV.

    Retrospectively, might have been a daft idea to let it loose without putting it thru the webserver protection module first, but hindsight is a wonderful thing, plus it was an experiment [:)] which, even tho it may have been exploited it was a useful exercise.

    It was safer to bin the instance and start again, which is now coming up clean and is behind the webserver protection module so all is well with the world. What puzzles me is how nothing showed up on the IPS, but then again its not tailored to look at everything due to resource limitations.

    I'll do my own experiments to see if I can replicate the attack internally and get some results out when I get a few mins spare, work commitments are getting in the way of tinkering unfortunately. 

    dmz
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?