[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:01429] Re: snort の D オプション
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:01429] Re: snort の D オプション
- From: KATOH Yasufumi <karma@xxxxxxxxxxxxxxx>
- Date: Thu, 05 Dec 2002 09:41:12 +0900
加藤泰文です.
>>> On Wed, 04 Dec 2002 21:13:46 +0900
in message "[stalk:01424] snort の D オプション"
犬のみっきー-san wrote:
> debian linux 2.2,3.0上で1.9.0をソースからmakeしてます.
Plamo 2.1 上で 1.9.0 をソース上から make しています.
> 以下のようなルールにおいて,-Dオプションを指定してsnortを起動した場合
> に,1番目のcontentオプションへのマッチのみでアラートが上がってしまい
> ます.-Dオプションを外せば正常に1,2番目のcontentオプションどおりに
> 検出してくるようです.
> alert tcp any any -> any 110 ( msg: "POP3 USER overflow attempt";
> content: "USER "; content: !"|0a|";)
> どなたかこの現象について対処方法をご存知の方,または同様の現象を確認
> できた方など,情報をお願いします.
きちんと確認できていないのですが,上記と同じ現象になっているような気が
します.ちょっと今 POP でアクセスできる環境にないので,テスト出来ない
んですが...
普通の POP3 ないし APOP のアクセスなのに,やたら上記と
alert tcp $EXTERNAL_NET any -> $HOME_NET 110 (msg:"POP3 APOP overflow
attempt"; flow:to_server,established; content:"APOP "; nocase;
content:!"|0a|"; within:256; reference:cve,CAN-2000-0841;
reference:bugtraq,1652; reference:nessus,10559;
classtype:attempted-admin; sid:1635; rev:5;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 110 (msg:"POP3 PASS overflow
attempt"; flow:to_server,established; content:"PASS "; nocase;
content:!"|0a|"; within:50; reference:cve,CAN-1999-1511;
reference:nessus,10325; classtype:attempted-admin; sid:1634; rev:5;)
あたりのルールに引っ掛かるなと思ってました (pop3.rules ですね).
# 思っていたのに深く追求してなかったのがアレですが... (意味ないやん
# ^^;)
ちょっとしばらく観察してみます.
--
==============================================
(((( 加藤泰文
○-○ karma @ prog.club.ne.jp
==============================================
(Web Page) http://www.ae.wakwak.com/%7Ekarma/
==============================================
東欧の音楽のページを更新(November 12)
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
今までは IEだけで ゴメンナサイ
http://www.infoseek.co.jp/Sidebar?pg=sbar_install.html&svx=971122