Hello Guys,<div><br></div><div>I wrote FreeBSD FTPD remote root exploit signature for snort.</div><div><br></div><div>alert tcp any any -> any 21 (msg:"ProFTPD FreeBSD FTPD remote root exploit"; pcre:"/(RMD.+etc|RMD.+lib|STOR\s+.*nss_compat.so.1|cron|inetd|syslogd|sendmail)/smi"; reference:<a href="http://cehturkiye.com">cehturkiye.com</a>,<a href="http://bga.com.tr">bga.com.tr</a>; reference:packetstormsecurity,7350; classtype:attempted-admin; sid:19731; rev:1; )</div>
<div><br></div><div>I tested it,</div><div><br></div><div><div>[**] [1:19731:1] ProFTPD FreeBSD FTPD remote root exploit [**]</div><div>[Classification: Attempted Administrator Privilege Gain] [Priority: 1] </div><div>12/04-00:44:51.395511 <a href="http://6.6.6.101:48788">6.6.6.101:48788</a> -> <a href="http://6.6.6.154:21">6.6.6.154:21</a></div>
<div>TCP TTL:64 TOS:0x0 ID:2498 IpLen:20 DgmLen:61 DF</div><div>***AP*** Seq: 0x83C45F55  Ack: 0xCF825A28  Win: 0xE5  TcpLen: 32</div><div>TCP Options (3) => NOP NOP TS: 2185084 29606930 </div><div>[Xref => packetstormsecurity 7350][Xref => <a href="http://cehturkiye.com">cehturkiye.com</a> <a href="http://bga.com.tr">bga.com.tr</a>]</div>
<div><br></div><div><br></div>----<div><a href="http://www.cehturkiye.com" target="_blank">www.cehturkiye.com</a></div><br>
</div>