[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:02016] Re: snort IIS Unicode attack 　 signature

To: connect24h@xxxxxxxxxxxxx
Subject: [connect24h:02016] Re: snort IIS Unicode attack 　 signature
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Thu, 08 Mar 2001 13:28:16 +0900

kirei　　『ねぇ、見た？このサイト』
　suteki　『これでしょう！いいよね♪』
         http://www.kadan.ne.jp/bn.cgi?info02 
　kantan　『お、いいね。早速使おうっと！』
------------------------------------------------------------------------


Port139 いはらです。

On Thu, 08 Mar 2001 13:18:21 +0900
DANNA <danna@xxxxxxxxxxx> wrote:

>preprocessor_http_decode: -unicode
>
>をシグネチャファイルに記述してください。これで止まるはず。

自分で試せという噂もありますが...

UNICODE のアタックって web-iis.rules の以下のルールでも検知で
きるんでしたっけ？

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80
(msg:"WEB-IIS cmd? acess";flags: A+; content:".cmd?&"; nocase;) 

 -unicode した時に、UNICODE 攻撃をどう検知するかなんですけど、
基本的には cmd.exe を呼び出すはずなのでこっちでひっかければい
いのかなぁなんて個人的には考えてるんですけど、甘いっすかね？

---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [connect24h:02017] Re: snort IIS Unicode attack 　 signature
  - From: DANNA
- [connect24h:02018] Re: snort IIS Unicode attack 　 signature
  - From: Hideaki Ihara

References:
- [connect24h:02013] Re: snort IIS Unicode attack 　signature
  - From: KATOH Yasufumi
- [connect24h:02014] Re: snort IIS Unicode attack 　signature
  - From: DANNA

Prev by Date: [connect24h:02015] Re: snort IIS Unicode attack 　signature
Next by Date: [connect24h:02017] Re: snort IIS Unicode attack 　 signature
Previous by thread: [connect24h:02014] Re: snort IIS Unicode attack 　signature
Next by thread: [connect24h:02017] Re: snort IIS Unicode attack 　 signature
Index(es):
- Date
- Thread

[connect24h:02016] Re: snort IIS Unicode attack signature

[connect24h:02016] Re: snort IIS Unicode attack 　 signature