Help us enhance your Sophos Community experience. Share your thoughts in our Sophos Community survey.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 3971 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Is my astro gateway hacked

mack_guy911
i am getting lot of IPS attacks recently what worried me most is 4th root return [:(]

i have no server running just 2 computers behind astaro 

7 basics rules 

1.ftp : internal (Network) to any 
2 web browser : internal (Network) to any 
3 irc : internal (Network) to any 
4 internal ping : Internal (Network) to Internal (Address)
5 DNS internal (Network) to any 
6 ubuntu key server : internal (Network) to ubuntu key server 
7 block all incoming network 

also i disable external ping response i created a rule for internal ping 

no remote login 
no ssh everything disabled. 

also admin login through internal network only where i have just 3 family pc to connect no dhcp no vpn 

on country blocking i block lot of countries web proxy enable 

Intrusion Prevention is active with 8895 of 11204 patterns enable block everything expect servers as i am not running anyone also enable extra warnings 

ips on (internal network) 

antivirus enable 

antispyware enable 

thats all ..........


thanks in advance


This thread was automatically locked due to age.
Parents
  • 0
    Hi, you need to look at the IPS log to get more information.

    #4 might be a warning about IDENT traffic, but again, look at the log.
    Ident warnings shouldn't happen unless you're running IRC or sendmail AND have setup a DNAT for ident.

    Barry
  • 0 in reply to BarryG
    thanks guys 

    sorry to ask silly question is there easy way to block ip adress permantly 

    or do i need to create a rule for every ip address 

    also what rule needed to create to block entire range of ip this 69.208.0.0 

    example 69.208.0.0/24 is that correct or should i use 69.208.0.0/16 [[:)]] 

    i dont use p2p or P2P sites, warez and serialz sites ......etc block also never go to any one them 


    and yes i use IRC lot as well 

    thanks thanks guys for this support [[:)]])
  • 0 in reply to mack_guy911
    i have 2 recent attacks 


    2012:02:20-19:53:52 username snort[6604]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="ATTACK-RESPONSES id check returned root" group="500" srcip="217.160.51.31" dstip="182.68.35.194" proto="6" srcport="80" dstport="41148" sid="498" class="Potentially Bad Traffic" priority="2" generator="1" msgid="0" 


    2012:02:20-19:54:04 username snort[6604]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="ATTACK-RESPONSES id check returned root" group="500" srcip="74.125.236.19" dstip="182.68.35.194" proto="6" srcport="80" dstport="57572" sid="498" class="Potentially Bad Traffic" priority="2" generator="1" msgid="0"



    i tried this post 

    http://www.astaro.org/astaro-gateway-products/network-security-firewall-nat-qos-ips/41091-test-ips-snort.html#post195017

    sorry what does check returned root means ?????
  • 0 in reply to mack_guy911

    sorry what does check returned root means ?????


    I'm not sure what it means, but you can google for the SID, e.g.
    google.com/search?q=snort+sid+498

    Barry
  • 0 in reply to mack_guy911

    sorry to ask silly question is there easy way to block ip adress permantly 

    or d

    or i need to create a rule for every ip address 


    You need a Network Definition for each address OR network you want to block.
    Then, you can create a Network Group definition which includes them all.
    Then, you just need 1 PacketFilter rule to cover the group.

    also what rule needed to create to block entire range of ip this 69.208.0.0 

    example 69.208.0.0/24 is that correct or should i use 69.208.0.0/16 [:)] 


    /16 would be correct if you want to block that entire Class B network.


    and yes i use IRC lot as well 


    The SID root alert is probably just a warning about IDENT.
    You can probably change the ident username in your IRC client, but it's probably not worth worrying about.

    Barry
Reply
  • 0 in reply to mack_guy911

    sorry to ask silly question is there easy way to block ip adress permantly 

    or d

    or i need to create a rule for every ip address 


    You need a Network Definition for each address OR network you want to block.
    Then, you can create a Network Group definition which includes them all.
    Then, you just need 1 PacketFilter rule to cover the group.

    also what rule needed to create to block entire range of ip this 69.208.0.0 

    example 69.208.0.0/24 is that correct or should i use 69.208.0.0/16 [:)] 


    /16 would be correct if you want to block that entire Class B network.


    and yes i use IRC lot as well 


    The SID root alert is probably just a warning about IDENT.
    You can probably change the ident username in your IRC client, but it's probably not worth worrying about.

    Barry
Children
Unfiltered HTML