Snort mailing list archives
Yeesh...19174 is all over the place
From: "Lay, James" <james.lay () wincofoods com>
Date: Wed, 8 Jun 2011 08:19:49 -0600
ICK...8 hits in 10 minutes. Ironically, we don't run Vista here ;)
Rule:
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT
Windows Vista feed headlines cross-site scripting attack attempt";
flow:to_client, established; content:"<rss"; content:"<channel";
distance:0; pcre:"/<title>[^>]*?(<|<)/Ri"; metadata:policy
security-ips drop; reference:bugtraq,25287; reference:cve,2007-3033;
reference:url,www.microsoft.com/technet/security/Bulletin/MS07-048.mspx;
classtype:web-application-attack; sid:19174; rev:2;)
Hit:
06/08-08:15:33.340573 [**] [1:19174:2] WEB-CLIENT Windows Vista feed
headlines cross-site scripting attack attempt [**] [Classification: Web
Application Attack] [Priority: 1] {TCP} 64.211.162.88:80 -> int.ip:48450
Pcap:
0000 00 13 72 59 7a f4 00 90 7f 3e f7 90 08 00 45 00 ..rYz....>....E.
0010 05 a0 8d 81 40 00 3d 06 bd 86 40 d3 a2 58 00 00 ....@.=...@.....
0020 00 00 00 50 bd 42 3d c2 28 86 cd 13 f0 05 50 10 ...P.B=.(.....P.
0030 2e 10 7c 45 00 00 48 54 54 50 2f 31 2e 31 20 32 ..|E..HTTP/1.1 2
0040 30 30 20 4f 4b 0d 0a 53 65 72 76 65 72 3a 20 41 00 OK..Server: A
0050 70 61 63 68 65 2f 32 2e 32 2e 31 36 20 28 44 65 pache/2.2.16 (De
0060 62 69 61 6e 29 0d 0a 50 33 50 3a 20 43 50 3d 22 bian)..P3P: CP="
0070 43 41 4f 20 44 53 50 20 43 4f 52 20 43 55 52 61 CAO DSP COR CURa
0080 20 41 44 4d 61 20 44 45 56 61 20 4f 55 52 20 49 ADMa DEVa OUR I
0090 4e 44 20 50 48 59 20 4f 4e 4c 20 55 4e 49 20 43 ND PHY ONL UNI C
00a0 4f 4d 20 4e 41 56 20 49 4e 54 20 44 45 4d 20 50 OM NAV INT DEM P
00b0 52 45 22 0d 0a 4c 61 73 74 2d 4d 6f 64 69 66 69 RE"..Last-Modifi
00c0 65 64 3a 20 57 65 64 2c 20 30 38 20 4a 75 6e 20 ed: Wed, 08 Jun
00d0 32 30 31 31 20 31 33 3a 33 30 3a 34 33 20 47 4d 2011 13:30:43 GM
00e0 54 0d 0a 45 54 61 67 3a 20 22 37 62 63 35 63 64 T..ETag: "7bc5cd
00f0 2d 36 63 66 61 2d 34 61 35 33 33 35 37 64 66 32 -6cfa-4a53357df2
0100 36 63 30 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 6c0"..Content-Ty
0110 70 65 3a 20 74 65 78 74 2f 78 6d 6c 0d 0a 44 61 pe: text/xml..Da
0120 74 65 3a 20 57 65 64 2c 20 30 38 20 4a 75 6e 20 te: Wed, 08 Jun
0130 32 30 31 31 20 31 34 3a 31 35 3a 33 33 20 47 4d 2011 14:15:33 GM
0140 54 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 T..Content-Lengt
0150 68 3a 20 32 37 38 39 38 0d 0a 43 6f 6e 6e 65 63 h: 27898..Connec
0160 74 69 6f 6e 3a 20 6b 65 65 70 2d 61 6c 69 76 65 tion: keep-alive
0170 0d 0a 0d 0a 3c 3f 78 6d 6c 20 76 65 72 73 69 6f ....<?xml versio
0180 6e 3d 22 31 2e 30 22 20 65 6e 63 6f 64 69 6e 67 n="1.0" encoding
0190 3d 22 75 74 66 2d 38 22 20 3f 3e 3c 72 73 73 20 ="utf-8" ?><rss
01a0 76 65 72 73 69 6f 6e 3d 22 32 2e 30 22 20 78 6d version="2.0" xm
01b0 6c 6e 73 3a 6d 65 64 69 61 3d 22 68 74 74 70 3a lns:media="http:
01c0 2f 2f 73 65 61 72 63 68 2e 79 61 68 6f 6f 2e 63 //search.yahoo.c
01d0 6f 6d 2f 6d 72 73 73 2f 22 3e 3c 63 68 61 6e 6e om/mrss/"><chann
01e0 65 6c 3e 3c 74 69 74 6c 65 3e 6d 73 6e 62 63 2e el><title>msnbc.
01f0 63 6f 6d 3a 20 54 6f 70 20 6d 73 6e 62 63 2e 63 com: Top msnbc.c
0200 6f 6d 20 68 65 61 64 6c 69 6e 65 73 3c 2f 74 69 om headlines</ti
0210 74 6c 65 3e 3c 6c 69 6e 6b 3e 68 74 74 70 3a 2f tle><link>http:/
0220 2f 77 77 77 2e 6d 73 6e 62 63 2e 6d 73 6e 2e 63 /www.msnbc.msn.c
0230 6f 6d 2f 69 64 2f 33 30 35 33 34 31 35 2f 3c 2f om/id/3053415/</
0240 6c 69 6e 6b 3e 3c 64 65 73 63 72 69 70 74 69 6f link><descriptio
0250 6e 3e 4d 73 6e 62 63 2e 63 6f 6d 20 69 73 20 61 n>Msnbc.com is a
0260 20 6c 65 61 64 65 72 20 69 6e 20 62 72 65 61 6b leader in break
0270 69 6e 67 20 6e 65 77 73 20 61 6e 64 20 6f 72 69 ing news and ori
0280 67 69 6e 61 6c 20 6a 6f 75 72 6e 61 6c 69 73 6d ginal journalism
0290 2e 3c 2f 64 65 73 63 72 69 70 74 69 6f 6e 3e 3c .</description><
02a0 63 6f 70 79 72 69 67 68 74 3e 43 6f 70 79 72 69 copyright>Copyri
02b0 67 68 74 20 32 30 31 31 20 6d 73 6e 62 63 2e 63 ght 2011 msnbc.c
02c0 6f 6d 3c 2f 63 6f 70 79 72 69 67 68 74 3e 3c 6c om</copyright><l
02d0 61 6e 67 75 61 67 65 3e 65 6e 2d 75 73 3c 2f 6c anguage>en-us</l
02e0 61 6e 67 75 61 67 65 3e 3c 69 6d 61 67 65 3e 3c anguage><image><
02f0 75 72 6c 3e 68 74 74 70 3a 2f 2f 6d 73 6e 62 63 url>http://msnbc
0300 6d 65 64 69 61 2e 6d 73 6e 2e 63 6f 6d 2f 69 2f media.msn.com/i/
0310 6d 73 6e 62 63 2f 53 69 74 65 4d 61 6e 61 67 65 msnbc/SiteManage
0320 6d 65 6e 74 2f 53 69 74 65 57 69 64 65 2f 49 6d ment/SiteWide/Im
0330 61 67 65 73 2f 6d 73 6e 62 63 5f 6c 6f 67 6f 2e ages/msnbc_logo.
0340 67 69 66 3c 2f 75 72 6c 3e 3c 74 69 74 6c 65 3e gif</url><title>
0350 6d 73 6e 62 63 2e 63 6f 6d 3c 2f 74 69 74 6c 65 msnbc.com</title
0360 3e 3c 6c 69 6e 6b 3e 68 74 74 70 3a 2f 2f 77 77 ><link>http://ww
0370 77 2e 6d 73 6e 62 63 2e 6d 73 6e 2e 63 6f 6d 2f w.msnbc.msn.com/
0380 3c 2f 6c 69 6e 6b 3e 3c 2f 69 6d 61 67 65 3e 3c </link></image><
0390 6c 61 73 74 42 75 69 6c 64 44 61 74 65 3e 57 65 lastBuildDate>We
03a0 64 2c 20 30 38 20 4a 75 6e 20 32 30 31 31 20 31 d, 08 Jun 2011 1
03b0 33 3a 32 35 3a 31 32 20 47 4d 54 3c 2f 6c 61 73 3:25:12 GMT</las
03c0 74 42 75 69 6c 64 44 61 74 65 3e 3c 63 61 74 65 tBuildDate><cate
03d0 67 6f 72 79 3e 4e 65 77 73 3c 2f 63 61 74 65 67 gory>News</categ
03e0 6f 72 79 3e 3c 74 74 6c 3e 36 30 3c 2f 74 74 6c ory><ttl>60</ttl
03f0 3e 3c 69 74 65 6d 3e 3c 74 69 74 6c 65 3e 41 72 ><item><title>Ar
0400 69 7a 2e 20 77 69 6c 64 66 69 72 65 20 27 6e 6f iz. wildfire 'no
0410 74 20 6d 6f 76 69 6e 67 20 61 73 20 66 61 73 74 t moving as fast
0420 27 3c 2f 74 69 74 6c 65 3e 3c 64 65 73 63 72 69 '</title><descri
0430 70 74 69 6f 6e 3e 4f 66 66 69 63 69 61 6c 73 20 ption>Officials
0440 61 72 65 20 68 6f 70 69 6e 67 20 74 68 65 69 72 are hoping their
0450 20 65 66 66 6f 72 74 73 20 6f 76 65 72 6e 69 67 efforts overnig
0460 68 74 20 77 69 6c 6c 20 6b 65 65 70 20 61 20 6d ht will keep a m
0470 61 6d 6d 6f 74 68 20 66 6f 72 65 73 74 20 66 69 ammoth forest fi
0480 72 65 20 66 72 6f 6d 20 63 72 65 73 74 69 6e 67 re from cresting
0490 20 61 20 72 69 64 67 65 20 61 6e 64 20 72 61 63 a ridge and rac
04a0 69 6e 67 20 69 6e 74 6f 20 74 77 6f 20 65 61 73 ing into two eas
04b0 74 65 72 6e 20 41 72 69 7a 6f 6e 61 20 74 6f 77 tern Arizona tow
04c0 6e 73 2e 3c 2f 64 65 73 63 72 69 70 74 69 6f 6e ns.</description
04d0 3e 3c 6c 69 6e 6b 3e 68 74 74 70 3a 2f 2f 77 77 ><link>http://ww
04e0 77 2e 6d 73 6e 62 63 2e 6d 73 6e 2e 63 6f 6d 2f w.msnbc.msn.com/
04f0 69 64 2f 34 33 33 32 32 31 32 36 2f 6e 73 2f 77 id/43322126/ns/w
0500 65 61 74 68 65 72 2f 3c 2f 6c 69 6e 6b 3e 3c 70 eather/</link><p
0510 75 62 44 61 74 65 3e 57 65 64 2c 20 38 20 4a 75 ubDate>Wed, 8 Ju
0520 6e 20 32 30 31 31 20 31 31 3a 35 37 3a 32 35 20 n 2011 11:57:25
0530 47 4d 54 3c 2f 70 75 62 44 61 74 65 3e 3c 63 61 GMT</pubDate><ca
0540 74 65 67 6f 72 79 3e 4e 65 77 73 3c 2f 63 61 74 tegory>News</cat
0550 65 67 6f 72 79 3e 3c 67 75 69 64 20 69 73 50 65 egory><guid isPe
0560 72 6d 61 4c 69 6e 6b 3d 22 74 72 75 65 22 3e 68 rmaLink="true">h
0570 74 74 70 3a 2f 2f 77 77 77 2e 6d 73 6e 62 63 2e ttp://www.msnbc.
0580 6d 73 6e 2e 63 6f 6d 2f 69 64 2f 34 33 33 32 32 msn.com/id/43322
0590 31 32 36 2f 6e 73 2f 77 65 61 74 68 65 72 2f 3c 126/ns/weather/<
05a0 2f 67 75 69 64 3e 3c 2f 69 74 65 6d 3e 3c /guid></item><
James
------------------------------------------------------------------------------
EditLive Enterprise is the world's most technically advanced content
authoring tool. Experience the power of Track Changes, Inline Image
Editing and ensure content is compliant with Accessibility Checking.
http://p.sf.net/sfu/ephox-dev2dev
_______________________________________________
Snort-users mailing list
Snort-users () lists sourceforge net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://www.geocrawler.com/redir-sf.php3?list=snort-users
Current thread:
- Yeesh...19174 is all over the place Lay, James (Jun 08)
- Re: Yeesh...19174 is all over the place rmkml (Jun 08)