Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

Hallo DP Board-Team,

unsere Firmenfirewall's (Sophos UTM) liefern seit einiger Zeit Warnmeldungen (und blockieren) beim Zugriff auf einzelne Beitäge.

Beispiel:
http://www.delphipraxis.net/189253-f...-new-post.html

liefert:
2016:05:23-19:09:34 ber-astaro snort[14980]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT-KIT Angler exploit kit outbound uri structure" group="500" srcip="192.168.224.94" dstip="138.201.18.17" proto="6" srcport="54280" dstport="80" sid="38440" class="A Network Trojan was Detected" priority="1" generator="1" msgid="0"

Da wir in der Vergangenheit lernen mussten, dass die Warnungen häufig echte Gründe hatten möchten wir nicht einfach eine Ausnahmeregel erstellen.
Vielleicht könnt Ihr ja was auf Eurem Webserver finden.

Wir würden uns über eine kurze Rückinfo freuen. :)

AW: Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

Hallo,
da es sich bei der SOPHOS-Warnung um einen drive-by download handelt,
könnte einer der Admins hier ja mal den Download-Link hinter
Immer eine gute Referenz findest du hier.
entfernen.

Zum Test.

AW: Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

aaaa.
Eine Sekunde nicht aufgepasst und den Beitrag nicht ausgeblendet, sondern tatsächlich gelöscht. Das tut mir leid - mein Fehler.
Sofern die Warnmeldung mit den Link zutun hatte, müsste der Thread dort jetzt sauber sein.
Dafür müsste dieser Beitrag nun eine Meldung provozieren:

AW: Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

Hallo Daniel,

hat leider nichts geändert. :( Der angegebene Link ist sauber und wird ohne Meldung geladen.
Ich habe mal alle Themen der letzten Tage versucht anzuzeigen. Folgende Link's werden mit identischer Meldung geblockt:
http://www.delphipraxis.net/189266-d...-new-post.html
http://www.delphipraxis.net/189243-l...-new-post.html
http://www.delphipraxis.net/189247-f...-new-post.html
http://www.delphipraxis.net/189250-o...-new-post.html
http://www.delphipraxis.net/189241-m...-new-post.html
http://www.delphipraxis.net/171223-d...-new-post.html

PS: Das Verhalten ist an mehreren Standorten mit unterschiedlichen Internetverbindungen und Providern reproduzierbar.

AW: Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

Könnten es allgemein die externen Links sein? Auch die in den Signaturen?

AW: Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

Hi,

ich schließe mich hier mal an: das selbe Problem schon seit einiger Zeit (kann es nicht genauer sagen) - ich sitze hier auch hier einer Sophos UTM - wobei die hatte ich jetzt echt nicht in Verdacht...

AW: Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

So ich glaube den Grund gefunden zu haben.
Es scheint ein externer Link zu sein.
Ich möchte das hier jedoch nicht öffentlich machen,
da es scheinbar um ein Versäumnis (Update WordPress) beim Betreiber/Provider handelt.
An wen von der DP soll ich eine PN senden?

AW: Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

Du machst sicher nichts verkehrt wenn du das an Daniel sendest.
Wenn das eine Seite von einem Mitglied ist, sollte es auch nichts schaden, dem eine PM zu schicken.

AW: Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

Sende es mir per PN oder an daniel@delphipraxis.net.
Auf diesem Server gibt es nur eine WordPress-Installation, die aktuell keine Besonderheiten aufweist.

AW: Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

Hi ,

gibt es hier schon Neuigkeiten? Eine zeitlang lief alles gut, aktuell scheint es, dass wieder vermehrt Beiträge nicht zugreifbar sind...

z.B.
http://www.delphipraxis.net/189328-d...-abbrevia.html

AW: Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

Ich habe keine Rückmeldung mehr erhalten.
Eventuell waren es Links in Signaturen.
Wenn Du magst, dann gehe doch bitte mal in Dein Benutzerkonto und deaktiviere dort die Anzeige von Signaturen anderer Mitglieder.
http://www.delphipraxis.net/profile.php?do=editoptions

//edit: Hm - nein, der genannte Thread hat ja (bisher) keine Signaturen. Kannst Du mir mal die Warnung nennen? Ich wüsste nicht, was an o.g. Thread unsauber wäre.

AW: Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

Hi,

Signaturen habe ich mal ausgeblendet (ebenso Grafiken und Benutzerbilder) keine Auswirkung. Ich habe DelphiPraxis jetzt mal als Ausnahme bei der UTM hinzu gefügt, damit klappt der Zugriff.

Die Meldungen der UTM habe ich dir zugeschickt.

AW: Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

Meine Sophos meldet übrigens nichts zur DP... Sollte mich das jetzt nachdenklich stimmen?

Sherlock

AW: Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

hm. Bleiben wir doch mal bei o.g. Thread, denn der ist ja zum Glück nicht so sonderlich umfangreich.
Was exakt wird denn bemängelt? Mit fehlt aktuell noch der konkrete Ansatzpunkt.
vBulletin kann die Prüfsummen seiner Dateien ermitteln und da passt alles. Wie sieht es denn im Bereich Firewalls mit Fehlalarmen aus, wie wir sie von Virenscannern kennen?

AW: Firewall-Warnmeldung beim Zugriff auf einzelne Beiträge von www.delphipraxis.net
 

sorry, ich kann dir da leider auch nicht mehr helfen. ich habe schon im Internet nach der Meldung gesucht, aber dazu leider auch nichts konkretes gefunden.
Interessant ist lediglich, dass teilweise Threads die ich über die "Aktuelle THemen" nicht aufrufen konnte, dann über das Forum ganz normal aufrufen konnte.
Ich werde mal versuchen in ein, zwei Tagen die Ausnahme für DP wieder bei mir zu deaktivieren und zwischenzeitlich die Themen übers Forum aufzurufen und die Box links liegen zu lassen...