Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 1 subscriber
  • Views 46325 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

utm 9.3 causing website login invalid response error

RaveNet
After upgrading to 9.3 and 9.3.01 I have found a courrier website that sophos busts the login for

eTrac

doesn't matter if you type the username and password correct or not, either way it gives an error of 'invalid response'

so far creating a web proxy exception has had no effect on this.

14:11:19-09:45:05 fw httpproxy[6075]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="POST" srcip="192.168.69.135" dstip="204.193.149.161" user="" ad_domain="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2629" request="0xe3b53000" url="apps.etrac.net/.../33.0" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size"


This thread was automatically locked due to age.
  • 0
    My son is getting the same thing on a different site:


    2014:11:21-19:56:35 httpproxy[28219]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x12902000" function="parse_status_line" file="response.c" line="1439" message="invalid status code: 0"
    2014:11:21-19:56:35 httpproxy[28219]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x12902000" function="read_response_headers" file="response.c" line="280" message="invalid response line on handler 102"
    2014:11:21-19:56:35 httpproxy[28219]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="10.66.78.178" dstip="213.163.65.117" user="" ad_domain="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="2618" request="0x12902000" url="mywatchlist.animesub.tv/.../537.36" exceptions="" overridecategory="1" overridereputation="1" country="Netherlands"


    I should also mention that this only started after updating to 9.301-2. It worked previously on 9.209-8.
  • 0
    For the time being, skip the proxy for those sites.  I think we got a bad AV/Snort pattern at about the same time.  This might work itself out, so undo the skip in early December to see if the issue is resolved.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    For the time being, skip the proxy for those sites.  I think we got a bad AV/Snort pattern at about the same time.  This might work itself out, so undo the skip in early December to see if the issue is resolved.


    Tried adding the site to both the default content policy as an exception under "Allow these websites", as well as under Filtering Options->Exceptions and neither seem to bypass the proxy. The only way I could get that site to work was to add the affected PC to the "Skip transparent mode source.." list, which isn't ideal.

    EDIT: Just as a test, I replaced the httpproxy binary in /var/chroot-http/usr/bin with the one from 9.209-8 and the site works fine again. I don't recommend doing this long-term, as the old binary isn't compatible with any of the scanner plugins from the newer 9.301 package.
  • 0
    If you have paid license, please make sure you log a ticket with Support.  Or at a minimum post in the beta forum.  Bug reports from this forum are not officially received by Sophos.
  • 0
    Updated to 9.302-2 and now the site works. I noticed the update included a newer ep-httpproxy package, so I'm hoping whatever the issue was is now resolved.
  • 0
    I'm seeing the same issue on mine with only started when upgrading to 9.3.  Here are some logs:


    2014:11:14-08:50:45 utm httpproxy[5576]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x27c0e800" function="parse_status_line" file="response.c" line="1439" message="invalid status code: 0"

    2014:11:14-08:50:45 utm httpproxy[5576]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x27c0e800" function="read_response_headers" file="response.c" line="280" message="invalid response line on handler 134"

    2014:11:14-08:50:45 utm httpproxy[5576]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.69.1" dstip="205.196.120.8" user="" ad_domain="" statuscode="502" cached="0" profile="REF_HttProContaInterNetwo2 (Euphrates Web Filter Profile)" filteraction="REF_HttCffEuphrWebFilte (Euphrates Web Filter Action)" size="2528" request="0x27c0e800" url="http://www. {see edit note}/download/u20q655h4yjq962/RT-N66U_3.0.0.4_376.48_1.zip" referer="" error="Invalid response" authtime="0" dnstime="271" cattime="59" avscantime="0" fullreqtime="200329" device="0" auth="0" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0" exceptions="" category="170" reputation="trusted" categoryname="Personal Network Storage" application="mediafre" app-id="287"


    I updated to 9.302-2 last night to see if it fixed it and it has not.  Just checked (currently on pattern number 71069) and it is still not working.

    Another user appears to be having the same problem here:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/82/t/65880
  • 0 in reply to Euphrates_01
    I'm seeing the same issue on mine with only started when upgrading to 9.3.  Here are some logs:


    2014:11:14-08:50:45 utm httpproxy[5576]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x27c0e800" function="parse_status_line" file="response.c" line="1439" message="invalid status code: 0"

    2014:11:14-08:50:45 utm httpproxy[5576]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x27c0e800" function="read_response_headers" file="response.c" line="280" message="invalid response line on handler 134"

    2014:11:14-08:50:45 utm httpproxy[5576]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.69.1" dstip="205.196.120.8" user="" ad_domain="" statuscode="502" cached="0" profile="REF_HttProContaInterNetwo2 (Euphrates Web Filter Profile)" filteraction="REF_HttCffEuphrWebFilte (Euphrates Web Filter Action)" size="2528" request="0x27c0e800" url="http://www.{see edit note}/download/u20q655h4yjq962/RT-N66U_3.0.0.4_376.48_1.zip" referer="" error="Invalid response" authtime="0" dnstime="271" cattime="59" avscantime="0" fullreqtime="200329" device="0" auth="0" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0" exceptions="" category="170" reputation="trusted" categoryname="Personal Network Storage" application="mediafre" app-id="287"


    I updated to 9.302-2 last night to see if it fixed it and it has not.  Just checked (currently on pattern number 71069) and it is still not working.

    Another user appears to be having the same problem here:

    https://www.astaro.org/beta-versions/utm-9-3-beta/54631-utm-9-301-invalid-response-error-when-downloading-files.html


    Yep, that URL still fails on mine with 9.302-2 and patterns 71120. I put the 9.209-8 binary back and the URL works. I still think the problem is related specifically to the httpproxy binary and not the patterns, but that's just based on my testing. 

    If a moderator could move this thread to the Beta sub it would probably get more attention.
  • 0
    I'm removing 'mediafire.com' in the above posts as I got the fail, and also a warning that that site has had malware.  By the way, I always open links posted here in a sandbox. [:)]

    I had no trouble reaching 'apps.etrac.net/.../Login.asp' under 9.302 with ipsbundle 9.172.

    Cheers - Bob
    PS Check that you have that level or higher with rpm -qa | grep ipsbundle
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Performed update and running the following:

    Firmware version: 9.303-2
    Pattern version: 71479

    Same issue.
  • 0 in reply to Euphrates_01
    Hi All.

    I have same issue.

    Firmware version: 9.303-2
    Pattern version: 71722

    Problem does not occur only when I disable Web Filtering or add IP/machine to "Transparent mode skiplist".

    Any ideas how to fix it?
Unfiltered HTML