[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:02020] Re: snort IIS Unicode attack signature
- To: connect24h@xxxxxxxxxxxxx
- Subject: [connect24h:02020] Re: snort IIS Unicode attack signature
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Thu, 08 Mar 2001 14:24:37 +0900
kirei 『ねぇ、見た?このサイト』
suteki 『これでしょう!いいよね♪』
http://www.kadan.ne.jp/bn.cgi?info02
kantan 『お、いいね。早速使おうっと!』
------------------------------------------------------------------------
Port139 伊原です。
On Thu, 08 Mar 2001 13:57:52 +0900
DANNA <danna@xxxxxxxxxxx> wrote:
>[connect24h:02016] Re: snort IIS Unicode attack
>> alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80
>> (msg:"WEB-IIS cmd? acess";flags: A+; content:".cmd?&"; nocase;
>
>これでcmd.exeは検出できそうです。できれば大文字でCMD.EXEって書か
>れたのも欲しいな。
-unicode した場合、UNICODE 攻撃で呼び出される cmd.exe を snort が
検知できないようなんですけど、私のところだけでしょうか?
例えば、以下のルールを記述しておきます。
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80
(msg:"WEB-IIS cmd.exe acess";flags: A+; content:"cmd.exe"; nocase; )
実際に /scripts/cmd.exe などを呼び出すと上記ルールに検知されますが、
本来の /scripts/..%c0%af../winnt/system32/cmd.exe?/ などを呼び出し
てもひっかからない気がしています。(パターンを含むパケットが届いて
いるのはキャプチャして確認してます)
むむむ...あ、いかん仕事仕事...
---
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/