Snort mailing list archives
RE: looks false-positive
From: "Ronneil Camara" <ronneilc () remingtonltd com>
Date: Thu, 11 Apr 2002 08:58:41 -0500
Get rid of this guys, I just learned that Chameleon is an SMTP server. Anyways, it might help guys out there that are using Chameleon SMTP server. So is it a legitimate overflow. I've read the rule and it's because of the content string "HELP ". Hope this helps....
-----Original Message----- From: Ronneil Camara Sent: Thursday, April 11, 2002 8:29 AM To: snort-users () lists sourceforge net Subject: [Snort-users] looks false-positive I've got an SMTP chameleon overflow. And below is the payload. Looks like it's a legitimate mail. What do you think guys? Btw, source is n14.grp.scd.yahoo.com and dest is our mail server. Thanks. Neil 000 : 68 65 6C 70 20 6E 65 65 64 65 64 0D 0A 0D 0A 0D help needed..... 010 : 0A 57 69 6E 64 6F 77 73 20 32 30 30 30 20 47 72 .Windows 2000 Gr 020 : 6F 75 70 20 50 6F 6C 69 63 79 27 73 20 63 61 6E oup Policy's can 030 : 20 62 65 20 75 73 65 64 20 74 6F 20 64 69 73 61 be used to disa 040 : 62 6C 65 20 75 73 65 72 20 61 63 63 65 73 73 20 ble user access 050 : 74 6F 20 6E 65 74 77 6F 72 6B 0D 0A 6E 65 69 67 to network..neig 060 : 68 62 6F 72 68 6F 6F 64 2C 20 6F 6E 63 65 20 73 hborhood, once s 070 : 65 74 2C 20 74 68 69 73 20 69 6E 63 6C 75 64 65 et, this include 080 : 73 20 4F 66 66 69 63 65 20 58 50 27 73 20 27 6F s Office XP's 'o 090 : 70 65 6E 2F 73 61 76 65 27 20 6D 65 6E 75 20 62 pen/save' menu b 0a0 : 6F 78 2E 0D 0A 0D 0A 57 68 65 72 65 20 69 73 20 ox.....Where is 0b0 : 74 68 61 74 20 70 6F 6C 69 63 79 20 73 61 74 3F that policy sat? 0c0 : 0D 0A 0D 0A 44 69 73 61 62 6C 65 69 6E 67 20 74 ....Disableing t 0d0 : 68 65 20 64 65 66 61 75 6C 74 20 63 6F 6E 74 65 he default conte 0e0 : 78 74 20 6D 65 6E 75 20 76 69 61 20 70 6F 6C 69 xt menu via poli 0f0 : 63 79 20 77 69 6C 6C 20 73 74 6F 70 20 74 68 65 cy will stop the 100 : 20 72 69 67 68 74 20 63 6C 69 63 6B 0D 0A 61 63 right click..ac 110 : 63 65 73 73 20 6F 6E 20 74 68 65 20 73 74 61 72 cess on the star 120 : 74 20 6D 65 6E 75 2E 0D 0A 0D 0A 54 68 61 6E 6B t menu.....Thank 130 : 73 0D 0A 0D 0A 0D 0A 49 20 61 6C 73 6F 20 71 75 s......I also qu 140 : 65 73 74 69 6F 6E 20 74 68 65 20 6E 65 65 64 20 estion the need 150 : 66 6F 72 20 61 20 63 6F 6D 6D 61 6E 64 20 70 72 for a command pr 160 : 6F 6D 70 74 20 66 6F 72 20 75 73 65 72 73 2C 20 ompt for users, 170 : 68 6F 77 65 76 65 72 20 69 66 20 74 68 65 79 0D however if they. 180 : 0A 6E 65 65 64 20 69 74 2C 20 74 68 65 79 20 6E .need it, they n 190 : 65 65 64 20 69 74 2E 20 44 69 73 61 62 6C 65 69 eed it. Disablei 1a0 : 6E 67 20 61 63 63 65 73 73 20 74 6F 20 74 68 65 ng access to the 1b0 : 20 43 3A 20 69 73 20 61 20 62 69 74 20 68 61 72 C: is a bit har 1c0 : 64 65 72 20 68 6F 77 65 76 65 72 2E 0D 0A 54 68 der however...Th 1d0 : 65 73 65 20 74 68 6F 75 67 68 74 73 20 6D 69 67 ese thoughts mig 1e0 : 68 74 20 68 65 6C 70 3A 0D 0A 0D 0A 09 31 29 20 ht help:.....1) 1f0 : 75 73 65 20 67 72 6F 75 70 20 70 6F 6C 69 63 79 use group policy 200 : 20 74 6F 20 27 68 69 64 65 20 74 68 65 20 43 20 to 'hide the C 210 : 64 72 69 76 65 20 66 72 6F 6D 20 75 73 65 72 73 drive from users 220 : 27 0D 0A 09 32 29 20 73 65 74 20 61 6C 6C 20 6F '...2) set all o 230 : 66 20 74 68 65 20 66 6F 6C 64 65 72 73 20 74 68 f the folders th 240 : 61 74 20 79 6F 75 20 64 6F 6E 27 74 20 77 61 6E at you don't wan 250 : 74 20 75 73 65 72 73 20 74 6F 20 73 65 65 20 6F t users to see o 260 : 6E 20 74 68 65 20 43 3A 0D 0A 74 6F 20 68 69 64 n the C:..to hid 270 : 64 65 6E 2E 20 4D 61 6B 65 20 73 75 72 65 20 75 den. Make sure u 280 : 73 65 72 73 20 64 6F 20 6E 6F 74 20 68 61 76 65 sers do not have 290 : 20 74 68 65 20 6F 70 74 69 6F 6E 20 74 6F 20 27 the option to ' 2a0 : 76 69 65 77 20 68 69 64 64 65 6E 20 66 69 6C 65 view hidden file 2b0 : 73 27 20 76 69 61 0D 0A 70 6F 6C 69 63 79 2E 0D s' via..policy.. 2c0 : 0A 09 33 29 20 43 68 61 6E 67 65 20 74 68 65 20 ..3) Change the 2d0 : 4E 54 46 53 20 70 65 72 6D 69 73 73 69 6F 6E 73 NTFS permissions 2e0 : 20 6F 6E 20 74 68 65 20 66 6F 6C 64 65 72 73 20 on the folders 2f0 : 6F 6E 20 74 68 65 20 43 3A 20 64 72 69 76 65 20 on the C: drive 300 : 74 6F 0D 0A 6C 69 6D 69 74 20 75 73 65 72 20 61 to..limit user a 310 : 63 63 65 73 73 20 74 6F 20 66 6F 6C 64 65 72 73 ccess to folders 320 : 2E 0D 0A 0D 0A 54 68 65 20 6C 61 73 74 20 63 61 .....The last ca 330 : 6E 20 62 65 20 72 61 74 68 65 72 20 74 72 69 63 n be rather tric 340 : 6B 79 2C 20 6D 61 6B 65 20 73 75 72 65 20 79 6F ky, make sure yo 350 : 75 27 76 65 20 67 6F 74 20 61 20 67 6F 6F 64 20 u've got a good 360 : 62 61 63 6B 20 62 65 66 6F 72 65 20 6A 75 73 74 back before just 370 : 0D 0A 63 68 61 6E 67 69 6E 67 20 61 6C 6C 20 70 ..changing all p 380 : 65 72 6D 69 73 73 69 6F 6E 73 2E 20 4C 6F 6F 6B ermissions. Look 390 : 20 74 68 72 6F 75 67 68 20 74 68 65 74 68 69 6E through thethin 3a0 : 2E 6E 65 74 20 66 6F 72 75 6D 73 20 66 6F 72 20 .net forums for 3b0 : 6D 6F 72 65 20 69 6E 66 6F 20 6F 6E 0D 0A 77 68 more info on..wh 3c0 : 61 74 20 4E 54 46 53 20 70 65 72 6D 69 73 73 6F at NTFS permisso 3d0 : 6E 73 20 63 61 6E 20 62 65 20 63 68 61 6E 67 65 ns can be change 3e0 : 64 20 73 61 66 65 6C 79 2C 20 74 6F 20 72 65 73 d safely, to res 3f0 : 74 72 69 63 74 20 61 63 63 65 73 73 20 62 75 74 trict access but 400 : 20 73 74 69 6C 6C 0D 0A 61 6C 6C 6F 77 20 66 75 still..allow fu 410 : 6E 63 74 69 6F 6E 61 6C 69 74 79 2E 0D 0A 0D 0A nctionality..... 420 : 4A 0D 0A 0D 0A 0D 0A 2D 2D 2D 2D 2D 4F 72 69 67 J......-----Orig 430 : 69 6E 61 6C 20 4D 65 73 73 61 67 65 2D 2D 2D 2D inal Message---- 440 : 2D 0D 0A 46 72 6F 6D 3A 20 6A 61 73 6F 6E 2E 77 -..From: jason.w 450 : 65 65 6D 73 40 63 69 74 69 63 6F 72 70 2E 63 6F eems () citicorp co 460 : 6D 20 5B 6D 61 69 6C 74 6F 3A 6A 61 73 6F 6E 2E m
[mailto:abcde. 470 : 77 65 65 6D 73 40 63 69 74 69 63 6F 72 70 2E 63 weems@citicorp.c 480 : 6F 6D 5D 0D 0A 53 65 6E 74 3A 20 54 68 75 72 73 om]..Sent: Thurs 490 : 64 61 79 2C 20 41 70 72 69 6C 20 31 31 2C 20 32 day, April 11, 2 4a0 : 30 30 32 20 35 3A 33 36 20 41 4D 0D 0A 54 6F 3A 002 5:36 AM..To: 4b0 : 20 74 68 69 6E 40 79 61 68 6F 6F 67 72 6F 75 70 thin@yahoogroup 4c0 : 73 2E 63 6F 6D 0D 0A 53 75 62 6A 65 63 74 3A 20 s.com..Subject: 4d0 : 52 45 3A 20 5B 54 48 49 4E 5D 20 55 72 67 65 6E RE: [THIN] Urgen 4e0 : 74 20 68 65 6C 70 20 6E 65 65 64 65 64 0D 0A 0D t help needed... 4f0 : 0A 0D 0A 57 68 79 20 64 6F 20 74 68 65 79 20 6E ...Why do they n 500 : 65 65 64 20 61 20 63 6F 6D 6D 61 6E 64 20 70 72 eed a command pr 510 : 6F 6D 70 74 20 69 6E 20 74 68 65 20 66 69 72 73 ompt in the firs 520 : 74 20 70 6C 61 63 65 3F 0D 0A 0D 0A 0D 0A 0D 0A t place?........ 530 : 2D 2D 2D 2D 2D 4F 72 69 67 69 6E 61 6C 20 4D 65 -----Original Me 540 : 73 73 61 67 65 2D 2D 2D 2D 2D 0D 0A 46 72 6F 6D ssage-----..From 550 : 3A 20 4D 69 6B 61 65 6C 20 4A 6F 68 6E 73 65 6E : Mikael Johnsen 560 : 20 5B 6D 61 69 6C 74 6F 3A 6D 6A 6F 40 70 62 6A [mailto:abc@pbj 570 : 2E 64 6B 5D 20 0D 0A 53 65 6E 74 3A 20 54 68 75 .dk] ..Sent: Thu 580 : 72 73 64 61 79 2C 20 41 70 72 69 6C 20 31 31 2C rsday, April 11, 590 : 20 32 30 30 32 20 36 3A 33 39 20 41 4D 0D 0A 54 2002 6:39 AM..T 5a0 : 6F 3A 20 27 74 68 69 6E o: 'thin _______________________________________________ Snort-users mailing list Snort-users () lists sourceforge net Go to this URL to change user options or unsubscribe: https://lists.sourceforge.net/lists/listinfo/snort-users Snort-users list archive: http://www.geocrawler.com/redir-sf.php3?list=ort-users _______________________________________________ Snort-users mailing list Snort-users () lists sourceforge net Go to this URL to change user options or unsubscribe: https://lists.sourceforge.net/lists/listinfo/snort-users Snort-users list archive: http://www.geocrawler.com/redir-sf.php3?list=snort-users
Current thread:
- looks false-positive Ronneil Camara (Apr 11)
- looks false-positive David Bianco (Apr 11)
- <Possible follow-ups>
- RE: looks false-positive Ronneil Camara (Apr 11)
- RE: looks false-positive Ronneil Camara (Apr 11)