Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 1971 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Potential false positive on OwnCloud page

dmz101
Hi All,

Just setup a personal OwnCloud server yesterday and its wired in to be internally and externally accessible over https. It was all accessible by DNS fine but now this morning it is now triggering the endpoint analysis with a Mal/HTMLGen-A warning.

I am a little hesitant to post the url here publicly, but I will send it via a PM to whoever needs to take a look so I can either fix or get the code fixed so it can be de-blacklisted.

DMZ


This thread was automatically locked due to age.
Parents
  • 0
    Just an update for the interim, offline scan of a backup didn't find anything but setting it up to go thru the UTM's inbuilt webserver protection showed showed up something on the AV.

    Retrospectively, might have been a daft idea to let it loose without putting it thru the webserver protection module first, but hindsight is a wonderful thing, plus it was an experiment [:)] which, even tho it may have been exploited it was a useful exercise.

    It was safer to bin the instance and start again, which is now coming up clean and is behind the webserver protection module so all is well with the world. What puzzles me is how nothing showed up on the IPS, but then again its not tailored to look at everything due to resource limitations.

    I'll do my own experiments to see if I can replicate the attack internally and get some results out when I get a few mins spare, work commitments are getting in the way of tinkering unfortunately. 

    dmz
Reply
  • 0
    Just an update for the interim, offline scan of a backup didn't find anything but setting it up to go thru the UTM's inbuilt webserver protection showed showed up something on the AV.

    Retrospectively, might have been a daft idea to let it loose without putting it thru the webserver protection module first, but hindsight is a wonderful thing, plus it was an experiment [:)] which, even tho it may have been exploited it was a useful exercise.

    It was safer to bin the instance and start again, which is now coming up clean and is behind the webserver protection module so all is well with the world. What puzzles me is how nothing showed up on the IPS, but then again its not tailored to look at everything due to resource limitations.

    I'll do my own experiments to see if I can replicate the attack internally and get some results out when I get a few mins spare, work commitments are getting in the way of tinkering unfortunately. 

    dmz
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?