[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:01305] Re: [FYI] Apache Chunked-Encoding

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:01305] Re: [FYI] Apache Chunked-Encoding
From: Minoru Hagiyama <hagiyama@xxxxxxxxxx>
Date: Wed, 03 Jul 2002 21:18:53 +0900

------------------------- infoseek ML Sponsor --------------------------
◆◇◆◇◆◇◆◇◆◇◆◇◆　アットローン劇場　◆◇◆◇◆◇◆◇◆◇◆◇◆
　Ａ君 ： そういえば、ほしがってたあの服買ったの！？
　Ｂ君 ： うーん、それが今月ちょっとピンチでさ・・・。　♪アッとその時♪
　Ａ君 ： なんだよ～！そういう時は便利な【アレ】があるじゃん？
★ 【アレ】？⇒　http://www.rakuten.co.jp/at-loan/457228/
------------------------------------------------------------------------


はぎやまです。

On 7/3/2002 10:52 AM, MICKY wrote:
> 
> ども。犬のみっきーです。
> 
> はぎやまさん
> 
>>誤検知かも知れませんが、今朝snortがポーランドのとある大学から
>>のChunked-Encodingを検知しました。
>>http://www.arsp.ne.jp/gw2/security/snort/150/254/5/src150.254.5.1.html
> 
> このアラートのTCPペイロードのダンプってお持ちではありませんか？

iplogは採っていないので、ルータ、httpd、snortのログを時間軸
で整理してみました。

Jul  3 07:30:40　<- 1回目のTCP/80スキャン
Jul  3 07:30:43　<- 2回目

150.254.5.1 - - [03/Jul/2002:07:30:46 +0900] "GET / HTTP/1.1" 400 307

[Wed Jul  3 07:30:46 2002] [error] [client 150.254.5.1] client sent HTTP/1.1
request without hostname (see RFC2616 section 14.23): /

150.254.5.1 - - [03/Jul/2002:07:30:48 +0900] "POST / HTTP/1.1" 400 215

[**] WEB-MISC Transfer-Encoding: chunked [**]
07/03-07:30:48.111449 0:A0:DE:D:E7:3D -> 0:30:48:10:98:EE type:0x800 len:0x86
150.254.5.1:42832 -> 218.44.180.194:80 TCP TTL:37 TOS:0x0 ID:56036 IpLen:20
DgmLen:120 DF
***AP*** Seq: 0x7292A2F4  Ack: 0x5502C4ED  Win: 0x16D0  TcpLen: 32
TCP Options (3) => NOP NOP TS: 93519577 91022394
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0D 0A 54 72 61 6E 73 66 65 72 2D 45 6E 63 6F 64  ..Transfer-Encod
69 6E 67 3A 20 63 68 75 6E 6B 65 64 0D 0A 0D 0A  ing: chunked....
35 0D 0A 42 42 42 42 42 0D 0A 66 66 66 66 66 66  5..BBBBB..ffffff
36 65 0D 0A                                      6e..

Jul  3 07:30:49　<- 3回目のTCP/80スキャン
Jul  3 07:31:01　<- 4回目
Jul  3 07:31:25　<- 5回目

snortはhttpサーバ上で動いていますが、ルータの時刻は1日に1回
サーバと時刻同期を取っているものの、数秒のずれが生じているか
もしれません。

-- 
                                            　　　     萩 山  実
                                             hagiyama@xxxxxxxxxx
                                      http://www.arsp.ne.jp/gw2/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　 ★なにぃーっ！　すでに７名に当たってる！？
　　   　　 http://yomutoku.infoseek.co.jp/?sv=RO&svx=971122

References:
- [stalk:01300] [FYI] Apache Chunked-Encoding
  - From: Minoru Hagiyama
- [stalk:01302] Re: [FYI] Apache Chunked-Encoding
  - From: MICKY

Prev by Date: [stalk:01304] Re: [FYI] Apache Chunked-Encoding
Next by Date: [stalk:01306] Re: [FYI] Apache Chunked-Encoding
Previous by thread: [stalk:01304] Re: [FYI] Apache Chunked-Encoding
Next by thread: [stalk:01306] Re: [FYI] Apache Chunked-Encoding
Index(es):
- Date
- Thread