[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:01771] Re: 侵入手口について
- To: connect24h@xxxxxxxxxxxxx
- Subject: [connect24h:01771] Re: 侵入手口について
- From: DANNA <danna@xxxxxxxxxxx>
- Date: Tue, 27 Feb 2001 15:10:09 +0900
ダンナ@サポセンです。
訂正です。
> alert udp any any -> any 53 (msg:"ALERT!! BIND-EXPLOIT ATTEMPT ";
> content:"|abcd 0980 0000 0001 0000|";)
こちらはIDS277のDNS IQUERYと重複してます。
http://whitehats.com/IDS/277
このシグネチャは例のexploitコードが送信される直前に行われる
行為にマッチします。ということで snort で IDS277 が検出され
た時は注意してください。
ちなみにNFRなら以下のように検出されます。
Time: 27-Feb-2001 12:32:39
Source IP: xxx.xxx.xxx.137
Source Port: 2579
Dest. IP: xxx.xxx.xxx.138
Dest Port: 53
Protocol: UDP
Query Name:
Reason: Iquery request
Data: \xab\xcd\x09\x80\x00\x00\x00\x01\x00\x00
\x00\x00\x00\x00\x01\x00\x01\x02a
+---------------------------------------+
+ DANNA @ SAPOSEN
+ e-mail : danna@xxxxxxxxxxx
+ web site : http://www.hawkeye.ac/micky
+---------------------------------------+