Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 5461 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible faulty IPS/Snort update on 09 FEB about 12:34 UTC

BAlfson
I see in the German Forum that my customers weren't the only ones that experienced new false positives after this.

Did anyone else experience this?  The customers I had to help were on 7.510 or 7.511.

SID 12798 "SHELLCODE base64 x86 NOOP" (reported in the German Forum)
SID 15935 DNS responses from internal sources to internal sources
SID 17750 "DOS Microsoft IIS 7.5 client verify null pointer attempt"

And a bunch of SIDs concerning responses from web servers
4136, 5910, 6690, 6692, 6699, 6701, 11263, 12633, 12798, 16222, 16663 and 17543

Anyone else?  Are these new rules or newly turned-on rules because of a new threat or???

Cheers - Bob


This thread was automatically locked due to age.
Parents
  • 0
    I too can confirm this.
    Our Astaro-box sends out automated backup mails to sysadmins, but even that mail was stopped by the box`s own filter until i put some of the snort ID`s in the ignore list.

    But the number of IPS reports in general has exploded(!) the last few days.
  • 0 in reply to Ueland
    Our customer was also affected.
    They had an issue snort[8624]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="DNS dns response for rfc1918 10/8 address detected" group="241" srcip="x.x.x.x" dstip="y.y.y.y" proto="17" srcport="53" dstport="52823" sid="13249"  (all DNS requests through IPSec connection to main ASG we blocked). We disabled IPS on their 8.103 systems for some time as a workarond. Astaro support promissed us on friday to make a global rollback to previous pattern version during next update.
Reply
  • 0 in reply to Ueland
    Our customer was also affected.
    They had an issue snort[8624]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="DNS dns response for rfc1918 10/8 address detected" group="241" srcip="x.x.x.x" dstip="y.y.y.y" proto="17" srcport="53" dstport="52823" sid="13249"  (all DNS requests through IPSec connection to main ASG we blocked). We disabled IPS on their 8.103 systems for some time as a workarond. Astaro support promissed us on friday to make a global rollback to previous pattern version during next update.
Children
  • 0 in reply to Undel
    Our customer was also affected.
    They had an issue SID 15935 DNS responses from internal sources to internal sources (all DNS requests through IPSec connection to main ASG we blocked). We disabled IPS on their 8.103 systems for some time as a workarond. Astaro support promissed us on friday to make a global rollback to previous pattern version during next update.


    I got a new update installed 06:50 this morning, but i have still recieved shellcode-warnings after that (and a buch of other warnings..), so it does not appear to have been fixed at that update at least.
Unfiltered HTML