[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:02021] Re: snort IIS Unicode attack 　 signature

To: connect24h@xxxxxxxxxxxxx
Subject: [connect24h:02021] Re: snort IIS Unicode attack 　 signature
From: DANNA <danna@xxxxxxxxxxx>
Date: Thu, 08 Mar 2001 14:40:23 +0900

　　皆様へ　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　いつもお仕事ご苦労さまですね。でも時にはちょっと一息。
  そんな時、心温まる一時をお贈りします。　
　大切なあの人にも、オススメです。
         http://www.kadan.ne.jp/bn.cgi?info01 
------------------------------------------------------------------------


ダンナ＠サポセンです。

[connect24h:02020] Re: snort IIS Unicode attack 
> -unicode した場合、UNICODE 攻撃で呼び出される cmd.exe を snort が
> 検知できないようなんですけど、私のところだけでしょうか？
> 
> 例えば、以下のルールを記述しておきます。
> 
> alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80
>  (msg:"WEB-IIS cmd.exe acess";flags: A+; content:"cmd.exe"; nocase; )

ボクも以下のシグネチャを作って、確認を取ったところです。

alert tcp $EXTERNAL_NET any -> $HOME_NET 80
(msg:"alert detected cmd.exe on http"; content:"cmd.exe?"; nocase;)

いちおう、preprocessor http_decode:をコメントアウト、-unicodeどちらでも
検出してくれました。

+---------------------------------------+
+    DANNA @ SAPOSEN
+  e-mail : danna@xxxxxxxxxxx
+  web site : http://www.hawkeye.ac/micky
+---------------------------------------+

Follow-Ups:
- [connect24h:02022] Re: snort IIS Unicode attack 　 signature
  - From: Hideaki Ihara

References:
- [connect24h:02017] Re: snort IIS Unicode attack 　 signature
  - From: DANNA
- [connect24h:02020] Re: snort IIS Unicode attack 　 signature
  - From: Hideaki Ihara

Prev by Date: [connect24h:02020] Re: snort IIS Unicode attack 　 signature
Next by Date: [connect24h:02022] Re: snort IIS Unicode attack 　 signature
Previous by thread: [connect24h:02020] Re: snort IIS Unicode attack 　 signature
Next by thread: [connect24h:02022] Re: snort IIS Unicode attack 　 signature
Index(es):
- Date
- Thread

[connect24h:02021] Re: snort IIS Unicode attack signature

[connect24h:02021] Re: snort IIS Unicode attack 　 signature