Jump to content

schultzITsolutions

Members
  • Content Count

    25
  • Joined

  • Last visited

About schultzITsolutions

  • Rank
    Candidate
  1. This issue can be closed! Since September 13, the named PORT 143 (IMAP) connections are no longer treated as "attacs". I am not sure, why this is - maybe due to a KES software update. thank you for your assistence. Kind regards Ruediger Schultz
  2. of course... Mercury/32 Mail Transport System for Microsoft Windows Mercury/32, v4.80.149, Aug 18 2015
  3. Sorry, it took a while to return focus on that issue (it is still an issue). I did put together (hopefully) all the requested reporting files in <link> (can you remove this link from the post please, once you have downloaded the file!) as mentioned before, the IP address that the "false positive network attack" originates from, is known to me as "legal" Hope you can find anything in the logs... kind regards Ruediger Schultz
  4. great, here we go... http://service.schultz.ch/_downloads/KES.1...xx.log.enc1.zip
  5. I got some logfiles, but am not sure which one you might wanna investigate... as a ZIP file, they are 3000 KB, so to big to upload them here... kind regards Ruediger Schultz
  6. Will do, but it will take some time (because this is a productive system, and I cannot reactivate the funcionaltity in question and block our users from email during the day).
  7. Finetuning the "Network attack protection" reference: https://forum.kaspersky.com/index.php?showtopic=351331 I lately ran into the following problem (only brief description): We are running a email server (for many years without problems), with KES10 as firewall/virusprotection included. Starting this weekend, suddenly various users (including me as the administrator) were blocked from accessing their email accouts through IMAP, POP3, SMTP. In my case, I was also blocked from connecting to the server by RDP to troubleshoot the issue! After a lot of research, I found that KES10 "network attack protection" blocked us due to a "Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit" as a "false positive" Shortterm solution was to "deactivate" the "network attack protection", but I like to reactivate this protection of course, but the "finetuning" of that functionality seems to be targeted only at "allowing certain IP addresses". I would rather prefer to exclude the "Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit" on the relevant port, as we cannot predict wherefrom (in terms of IP adresses) legimit users like to connect to the mailserver.
  8. Thanks for your suggestion, I will submit that "feature request" in the named forum topic. As per your questions: yes I am 100% certain that these are legitim actions, I know every single IP address and the user behind it. So the blockings are defenitly "false positives". the "roughly one hour" could be due to KES10 default 60 minutes ban of IP addresses, where it dedects such a "network attack". So my guess is: KES10 is blocking the IP for 60 minutes, and once this timespan is through, the client can again connect to the IMAP server, where he will be blocked for another period of 60 minutes.
  9. Thank you for your response - I thought that would be the case. For the moment, this is OK. What puzzles me, is that this issue surfaced only now (over the last few days). You may therefore wish to transfer this issue to the software development, just in case there is a larger issue here (or maybe implement some kind of "finetuning" for this functionality) ... so I give you a little more background info. Mail server: KES10 version 10.2.4.674 (mr2) Involved mail clients: Outlook 2013, Outlook 2010, Outlook 2007, Thunderbird Network attack : https://www.exploit-db.com/exploits/19849/ , dated from april 2000 (!) KES Report (excerpt): 17.05.2016 10:09:42 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 17.05.2016 09:07:52 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 17.05.2016 08:00:54 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 17.05.2016 06:43:13 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143 17.05.2016 05:43:09 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143 17.05.2016 04:39:51 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143 17.05.2016 03:38:03 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143 17.05.2016 02:38:02 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143 17.05.2016 01:29:57 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143 17.05.2016 00:28:07 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143 16.05.2016 23:24:56 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143 16.05.2016 22:23:04 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143 16.05.2016 21:23:03 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143 16.05.2016 20:23:02 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143 16.05.2016 19:13:08 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143 16.05.2016 18:06:52 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143 16.05.2016 17:04:03 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.10.67 auf lokalen Port 143 16.05.2016 15:44:56 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 16.05.2016 14:43:08 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 16.05.2016 13:42:49 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 16.05.2016 13:41:38 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 16.05.2016 13:41:37 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 16.05.2016 13:41:37 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 16.05.2016 12:57:16 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 16.05.2016 12:20:38 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 16.05.2016 11:18:49 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 16.05.2016 10:18:03 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 16.05.2016 09:07:00 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 16.05.2016 07:11:05 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143 16.05.2016 06:03:15 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143 16.05.2016 04:59:11 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143 16.05.2016 03:47:13 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143 16.05.2016 02:45:20 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143 16.05.2016 01:43:28 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143 16.05.2016 00:41:37 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143 15.05.2016 23:39:49 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143 15.05.2016 22:38:01 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143 15.05.2016 21:34:22 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143 15.05.2016 20:33:00 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.130.249.3 auf lokalen Port 143 03.05.2016 11:48:19 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt MyServername\xxxxxxxxxx Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.109.124.144 auf lokalen Port 143 03.05.2016 08:46:36 Netzwerkangriff wurde erkannt. Schutz vor Netzwerkangriffen Unbekannt NT AUTHORITY\SYSTEM Verboten: Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit TCP von xxx.47.157.20 auf lokalen Port 143
  10. Hello Support, I lately ran into the following problem (only brief description): We are running a email server (for many years without problems), with KES10 as firewall/virusprotection included. Starting this weekend, suddenly various users (including me as the administrator) were blocked from accessing their email accouts through IMAP, POP3, SMTP In my case, I was also blocked from connecting to the server by RDP to troubleshoot the issue! After a lot of research, I found that KES10 "network attack protection" blocked us due to a "Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit" Shortterm solution was to "deactivate" the "network attack protection", but I like to reactivate this protection of course, but the "finetuning" of that functionality seems to be targeted only at "allowing certain IP addresses". I would rather prefer to exclude the "Intrusion.Generic.IMAP.COPY.buffer-overflow.exploit" on the relevant port, as we cannot predict wherefrom (in terms of IP adresses) legimit users like to connect to the mailserver. Is there a possibility to configure this? kind regards Ruediger Schultz Schultz IT Solutions
  11. I now (again) removed the "old" server from the "managed computers" group, and also from the "not assigned computers" group. so the "old" server is no longer "restricted" by a "global policy", and the update of the virus databases again works ... and of course as expected, it reappeared in the "not assigned computers" group after a few minutes. As long as it stays there, the "old KSC licence key" is not visible in the (new) administration server (e.g. the "key usage report"). In the (new) KSC, I only see the current licence key (in the properties of the administration server) , which I should not remove I guess... So my guess is: although I did fully uninstall KSC from the old server, the licence key "somehow" survived. And as soon as the (new) KSC controls the old server, this old licence key gets in the way and blocks the updates...
  12. Hello, I moved my KSC administration server from one hardware (let us call it the "old server") to another, (actually uninstalled on OLD server, new-installed on NEW server). So far, everything works nicely, except one issue: The "old" server has now only the KES-Adminclient and KES-10 installed, the license info in KES-10 shows the correct (current) license. However, in the administration server (on the "new server"), I also see the "old" server having the "old" security-center administration server license, which of course is expired. This (expired license), I guess, is the reason why the "old" server is no longer able to receive database-updates. I already tried to "do the refresh license key report", including remove-the-server-from-any-groups. But as soon as the server reappeared, the problem reappeared as well... How can I "force" the old server to drop that license information (the administration server software is no longer installed)? Thank you for your ideas... Kind regards Ruediger Schultz
  13. Das mit dem "Dienste neu starten" war eine gute Idee. Unmittelbar nach dem Neustart (aller KASPERSKY Dienste) konnte ich zwar immer noch nicht verbinden, aber eine Minute später ging es dann doch... Das Eventlog "KASPERSKY" meldet auch keine diesbezüglichen Errors mehr... Aus meiner Sicht ist das Problem damit wohl gelöst - Danke für Deine Hilfe Liebe Grüsse aus Wien Rüdiger Schultz
  14. Console auf meinem lokalen Rechner: eigentlich lieber nicht, da ich dazu diverse Firewalls konfigurieren müsste. Was würdest Du damit herausfinden wollen? Vielleicht kann ich die entsprechenden Infos ja vom Server selbst "beschaffen"
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.