[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:02022] Re: snort IIS Unicode attack 　 signature

To: connect24h@xxxxxxxxxxxxx
Subject: [connect24h:02022] Re: snort IIS Unicode attack 　 signature
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Thu, 08 Mar 2001 14:57:30 +0900

kirei　　『ねぇ、見た？このサイト』
　suteki　『これでしょう！いいよね♪』
         http://www.kadan.ne.jp/bn.cgi?info02 
　kantan　『お、いいね。早速使おうっと！』
------------------------------------------------------------------------


Port139 伊原です。

On Thu, 08 Mar 2001 14:40:23 +0900
DANNA <danna@xxxxxxxxxxx> wrote:

>alert tcp $EXTERNAL_NET any -> $HOME_NET 80
>(msg:"alert detected cmd.exe on http"; content:"cmd.exe?"; nocase;)
>
>いちおう、preprocessor http_decode:をコメントアウト、-unicodeどちらでも
>検出してくれました。

あれ？うーん...やはり私の環境（Windows 2000Sp1+ Snort1.7 Win32）に問題
があるのだと思います。

結論からいけば、いずれにしても -unicode を付けた場合には cmd.exe を検知
するルールを local.rules などに追加した方がよさそうですね。
（これは UNICODE 攻撃以外でも cmd を呼び出す攻撃への検知に役に立つはずで
すけど・・・）

---
WinSyslog,EventReporter 販売中: http://adiscon.port139.co.jp/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

References:
- [connect24h:02020] Re: snort IIS Unicode attack 　 signature
  - From: Hideaki Ihara
- [connect24h:02021] Re: snort IIS Unicode attack 　 signature
  - From: DANNA

Prev by Date: [connect24h:02021] Re: snort IIS Unicode attack 　 signature
Next by Date: [connect24h:02023] Re: snort IIS Unicode attack 　 signature
Previous by thread: [connect24h:02021] Re: snort IIS Unicode attack 　 signature
Next by thread: [connect24h:02023] Re: snort IIS Unicode attack 　 signature
Index(es):
- Date
- Thread

[connect24h:02022] Re: snort IIS Unicode attack signature

[connect24h:02022] Re: snort IIS Unicode attack 　 signature