Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 3950 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Is my astro gateway hacked

mack_guy911
i am getting lot of IPS attacks recently what worried me most is 4th root return [:(]

i have no server running just 2 computers behind astaro 

7 basics rules 

1.ftp : internal (Network) to any 
2 web browser : internal (Network) to any 
3 irc : internal (Network) to any 
4 internal ping : Internal (Network) to Internal (Address)
5 DNS internal (Network) to any 
6 ubuntu key server : internal (Network) to ubuntu key server 
7 block all incoming network 

also i disable external ping response i created a rule for internal ping 

no remote login 
no ssh everything disabled. 

also admin login through internal network only where i have just 3 family pc to connect no dhcp no vpn 

on country blocking i block lot of countries web proxy enable 

Intrusion Prevention is active with 8895 of 11204 patterns enable block everything expect servers as i am not running anyone also enable extra warnings 

ips on (internal network) 

antivirus enable 

antispyware enable 

thats all ..........


thanks in advance


This thread was automatically locked due to age.
  • 0
    i doubt your astaro is compromised but one or more of your machines behind it most likely is.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    why your think that one of my machine behind astaro compromised [:S]


    behind astaro i use linux mostly ubuntu on 2 machines both running apparmor and one Scientific Linux (base on Redhat) (SELinux enable) which i use default most of time...............and windows i use about once in 3 months or so i guess i am getting because of extra warning enable
  • 0
    Nr.1 (TMG...) is most likely a false positive, have seen this a lot, also on my own ASG. The Rest doesn't mean, that a host of yours is compromised, but I would expect, that you probably surfed some risky sites? I also have seen similar alerts on home ASGs, where I know that some guys surf a lot problematic sites as dubious download portals, P2P sites, warez and serialz sites and so on. these alerts also mean, that some potential attack was detected while surfing such sites, which not nececssarily also means, that your client got compromised.

    Watch in the ips log, to which dst IPs these attacks was recognized, and to which dstports (80, 443 ?)

    Regards Sascha

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.
  • 0
    Hi, you need to look at the IPS log to get more information.

    #4 might be a warning about IDENT traffic, but again, look at the log.
    Ident warnings shouldn't happen unless you're running IRC or sendmail AND have setup a DNAT for ident.

    Barry
  • 0 in reply to BarryG
    thanks guys 

    sorry to ask silly question is there easy way to block ip adress permantly 

    or do i need to create a rule for every ip address 

    also what rule needed to create to block entire range of ip this 69.208.0.0 

    example 69.208.0.0/24 is that correct or should i use 69.208.0.0/16 [[:)]] 

    i dont use p2p or P2P sites, warez and serialz sites ......etc block also never go to any one them 


    and yes i use IRC lot as well 

    thanks thanks guys for this support [[:)]])
  • 0 in reply to mack_guy911
    i have 2 recent attacks 


    2012:02:20-19:53:52 username snort[6604]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="ATTACK-RESPONSES id check returned root" group="500" srcip="217.160.51.31" dstip="182.68.35.194" proto="6" srcport="80" dstport="41148" sid="498" class="Potentially Bad Traffic" priority="2" generator="1" msgid="0" 


    2012:02:20-19:54:04 username snort[6604]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="ATTACK-RESPONSES id check returned root" group="500" srcip="74.125.236.19" dstip="182.68.35.194" proto="6" srcport="80" dstport="57572" sid="498" class="Potentially Bad Traffic" priority="2" generator="1" msgid="0"



    i tried this post 

    http://www.astaro.org/astaro-gateway-products/network-security-firewall-nat-qos-ips/41091-test-ips-snort.html#post195017

    sorry what does check returned root means ?????
  • 0 in reply to mack_guy911

    sorry what does check returned root means ?????


    I'm not sure what it means, but you can google for the SID, e.g.
    google.com/search?q=snort+sid+498

    Barry
  • 0 in reply to mack_guy911

    sorry to ask silly question is there easy way to block ip adress permantly 

    or d

    or i need to create a rule for every ip address 


    You need a Network Definition for each address OR network you want to block.
    Then, you can create a Network Group definition which includes them all.
    Then, you just need 1 PacketFilter rule to cover the group.

    also what rule needed to create to block entire range of ip this 69.208.0.0 

    example 69.208.0.0/24 is that correct or should i use 69.208.0.0/16 [:)] 


    /16 would be correct if you want to block that entire Class B network.


    and yes i use IRC lot as well 


    The SID root alert is probably just a warning about IDENT.
    You can probably change the ident username in your IRC client, but it's probably not worth worrying about.

    Barry
  • 0 in reply to BarryG
    thanks very much BarryG 

    sorry for delay post reinstalling the linux SL [:)]
Unfiltered HTML