[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:01779] Re: 侵入手口について
- To: connect24h@xxxxxxxxxxxxx
- Subject: [connect24h:01779] Re: 侵入手口について
- From: DANNA <danna@xxxxxxxxxxx>
- Date: Tue, 27 Feb 2001 16:41:48 +0900
ダンナ@サポセンです。
[connect24h:01773] Re: 侵入手口について
> うむ... djbdns でしたが...
> Feb 26 21:31:50 ns snort[6597]: IDS277 - NAMED Iquery Probe: 210.95.106.129:1578
> Feb 26 21:31:50 ns snort[6597]: IDS277 - NAMED Iquery Probe: 210.95.106.129:1580
もしsnortの -d オプションを指定してれば、以下のようなダンプが残ります。
あちこちにiqueryかけに来てるので、そのうちの一つではないかと思いますが
。データグラム長に注意ですね。
例のExploitを打ったとき
[**] ALERT!! OVERFLOW-BIND-EXPLOIT!! attempt [**]
02/27-14:11:25.017811 0:D0:B7:9A:63:88 -> 0:A0:24:BE:E5:19 type:0x800 len:0x41
xxx.xxx.xxx.137:2582 -> xxx.xxx.xxx.138:53 UDP TTL:64 TOS:0x0 ID:8492 IpLen:20 DgmLen:51
Len: 31
AB CD 09 80 00 00 00 01 00 00 00 00 00 00 01 00 ................
01 20 20 20 20 02 61 . .a
観測されたヤツ その1
[**] IDS277 - NAMED Iquery Probe [**]
02/23-10:20:13.193322 0:E0:2B:9:C7:0 -> 0:50:B:F5:B4:0 type:0x800 len:0x45
209.135.101.17:2029 -> xxx.xxx.xxx.221:53 UDP TTL:48 TOS:0x0 ID:32465 IpLen:20 DgmLen:55
Len: 35
68 A0 09 80 00 00 00 01 00 00 00 00 00 00 01 00 h...............
01 00 00 7A 69 00 04 04 03 02 01 ...zi......
観測されたヤツ その2
[**] IDS277 - NAMED Iquery Probe [**]
02/27-12:32:32.177440 12.29.145.42:4970 -> xxx.xxx.xxx.89:53
UDP TTL:46 TOS:0x0 ID:13449 IpLen:20 DgmLen:493
Len: 473
19 2C 09 80 00 00 00 01 00 00 00 00 3E 41 41 41 .,..........>AAA
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA
--- 略 ---
+---------------------------------------+
+ DANNA @ SAPOSEN
+ e-mail : danna@xxxxxxxxxxx
+ web site : http://www.hawkeye.ac/micky
+---------------------------------------+