[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:02446] Re: [FYI] 怪しいドキュメント、など(Re: web server)

しかP@お呼びでしょうか?、です。

on 01.4.10 10:58 AM, DANNA at danna@xxxxxxxxxxx wrote:
> IDSはSNORT-1.7にしかPさんのUNICODEパッチを当てたものを使用して
> います。
> 
> # なかなか調子良いです>しかPさん
まだまだ誤検知0には遠いのですが、ちっとは役立っていますでしょうか?
#一部検知しないものもあるような気がしてますけど・・・・ (--;

で、件のsourceはアメリカっぽいですねぇ。ツールで思いっきりスキャンしている
だけのような気がします。(今までの報告状況から行くと)
どう見てもNT+IISをターゲットにしているようですが、どうして試しにWin+PWS用の
パターンを試してないんだろう。
そうそうPWSを使っているサイトもないだろうが、
偶然見つけるととっても「攻撃者にとって」おいしいサイトのはずなのですけど。
シグネチャからいっても(%c0%af)、kiddiesとしか思えないですね。:-)
#ぼくなら3バイトUnicodeで試すな、きっと;-P


ちょっと本筋とは離れるのですが、ついでなのでFYI連発。(^^)
BUGTRAQに、
「Reporting a public security threat ::
http://ntsec.aidasystems.com/Eyeis_unrevealed.txt」
と題した投稿がありました。(http://www.securityfocus.com/archive/1/174931)
長い英文なので、読む根性がないのですが、バックドアに関してと、
IISのUnicode-Travasal-Vuls.について書いてある、らしい。
が、その投稿に記されたURLに飛ぶと、生IPがリストに追加される、なんて
フォローが投稿されていました。
(http://www.securityfocus.com/archive/1/175037)
つーことで、上記URLからたどって行くときは注意してくださいね。

話題提供その2として、Snortをテストするためのツールが開発されています。
(http://snort.sourceforge.net/)
一番下の方に疑似攻撃ツールがダウンロードできるようになっています。
あくまでテスト用ですので、悪用厳禁、と言うことでお願いします。

話題提供その3として、
MUTATE1.1という名称のIDS検査ツール(?)が公開されました。
(http://www.securityfocus.com/archive/96/175023)
・・・だと思うんだよなぁ。
文面からIDS-JPなどで話題になったIDSすり抜け技術、ADMutateとはちと違うものの
ようです。

1と3は英文きちんと読んでないので、うそ八百かもしれないっす。
#ソーシャルエンジニアリングかもしれないしね(^^;
なので、securityfocusの該当するMLアーカイブを読んで、違ってたらつっこみを
いれてください。

2に関しては、私自身試しましたので、間違ってません。開発者はsnortのコミッター
ですので、比較的出所は信用できるかと思います。
ちなみにこのツール、DoSになるほどの大量の疑似コードを出力はしないようです。
#中身はPerlです。


長々と失礼しました。

-- 
============================
  鹿田 幸治       Koji.Shikata
   E-Mail:koji.shikata@xxxxxxxxxxxx
            :shikap@xxxxxxxxxxxx
snortパッチ公開中:http://www.yk.rim.or.jp/‾shikap/patch/
============================



------------------------------------------------------------------------
    ◆桜も良いけど爽やか季節♪ 〜お出かけどこ行く?!
 http://www.infoseek.co.jp/Playspot?pg=playspot_top.html&svx=971122