This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible faulty IPS/Snort update on 09 FEB about 12:34 UTC

I see in the German Forum that my customers weren't the only ones that experienced new false positives after this.

Did anyone else experience this?  The customers I had to help were on 7.510 or 7.511.

SID 12798 "SHELLCODE base64 x86 NOOP" (reported in the German Forum)
SID 15935 DNS responses from internal sources to internal sources
SID 17750 "DOS Microsoft IIS 7.5 client verify null pointer attempt"

And a bunch of SIDs concerning responses from web servers
4136, 5910, 6690, 6692, 6699, 6701, 11263, 12633, 12798, 16222, 16663 and 17543

Anyone else?  Are these new rules or newly turned-on rules because of a new threat or???

Cheers - Bob


This thread was automatically locked due to age.
Parents
  • I'm not seeing those alerts in my ips log at home (ASG 7.510), but I am seeing lots of:

    2012:02:11-21:07:28 fw snort[8512]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="DNS TCP inverse query" group="241" srcip="192.168.101.13" dstip="192.168.101.1" proto="6" srcport="56965" dstport="53" sid="2922" class="Attempted Information Leak" priority="2"  generator="1" msgid="0"


    192.168.101.13 is my main PC (WinXP SP3)
    and 
    192.168.101.1 is Astaro

    Barry
  • we see same issue since thursday pattern update for a uk astaro vm solution

    colin
Reply Children
No Data