[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:01771] Re: 侵入手口について



ダンナ@サポセンです。

訂正です。

> alert udp any any -> any 53 (msg:"ALERT!! BIND-EXPLOIT ATTEMPT ";
> content:"|abcd 0980 0000 0001 0000|";)

こちらはIDS277のDNS IQUERYと重複してます。
http://whitehats.com/IDS/277

このシグネチャは例のexploitコードが送信される直前に行われる
行為にマッチします。ということで snort で IDS277 が検出され
た時は注意してください。

ちなみにNFRなら以下のように検出されます。

Time:               27-Feb-2001 12:32:39
Source IP:          xxx.xxx.xxx.137
Source Port:        2579
Dest. IP:           xxx.xxx.xxx.138
Dest Port:          53
Protocol:           UDP
Query Name:         
Reason:             Iquery request
Data:               \xab\xcd\x09\x80\x00\x00\x00\x01\x00\x00
                    \x00\x00\x00\x00\x01\x00\x01\x02a


+---------------------------------------+
+    DANNA @ SAPOSEN
+  e-mail : danna@xxxxxxxxxxx
+  web site : http://www.hawkeye.ac/micky
+---------------------------------------+