[Snort-sigs] False positive on rule 298

STEPHEN W. COREY - 5535 swc at ...2097...
Tue Dec 30 07:50:25 EST 2003


Rule:  ATTACK-RESPONSES id check returned root



--

Sid: 498


--

Summary: HTTP Traffic can trigger this



--

Impact: None



--

Detailed Information: HTTP traffic can trigger this rule, depending on
the content.



--

Affected Systems:



--

Attack Scenarios: 
--

Ease of Attack:



--

False Positives: When using a Squid proxy, traffic which included text
output from the command "id" triggered this rule.
The actual text was posted in a newsgroup, which I was browsing using
Google Groups.



--

False Negatives:



--

Corrective Action:



--

Contributors:
Stephen Corey swc at ...2097...



-- 

Additional References:
 
Data that triggered rule (Which is obviously HTML):
length = 1448



000 : 6D 61 6B 65 20 69 6E 73 74 61 6C 6C 26 71 75 6F   make install&quo

010 : 74 3B 20 49 20 67 65 74 3B 0A 3C 2F 65 6D 3E 3C   t; I get;.</em><

020 : 62 72 3E 0A 3C 65 6D 3E 26 67 74 3B 20 26 67 74   br>.<em>> &gt

030 : 3B 20 26 67 74 3B 0A 3C 2F 65 6D 3E 3C 62 72 3E   ; >.</em><br>

040 : 0A 3C 65 6D 3E 26 67 74 3B 20 26 67 74 3B 20 26   .<em>> > &

050 : 67 74 3B 20 57 41 52 4E 49 4E 47 3A 20 20 50 72   gt; WARNING:  Pr

060 : 69 76 69 6C 65 67 65 20 73 65 70 61 72 61 74 69   ivilege separati

070 : 6F 6E 20 75 73 65 72 20 5C 26 71 75 6F 74 3B 72   on user \"r

080 : 6F 6F 74 5C 26 71 75 6F 74 3B 20 64 6F 65 73 20   oot\" does 

090 : 6E 6F 74 20 65 78 69 73 74 26 71 75 6F 74 3B 0A   not exist".

0a0 : 3C 2F 65 6D 3E 3C 62 72 3E 0A 3C 65 6D 3E 26 67   </em><br>.<em>&g

0b0 : 74 3B 20 26 67 74 3B 20 26 67 74 3B 20 75 69 64   t; > > uid

0c0 : 3D 30 28 72 6F 6F 74 29 20 67 69 64 3D 31 28 6F   =0(root) gid=1(o

0d0 : 74 68 65 72 29 0A 3C 2F 65 6D 3E 3C 62 72 3E 0A   ther).</em><br>.

0e0 : 3C 65 6D 3E 26 67 74 3B 20 26 67 74 3B 20 26 67   <em>> > &g

0f0 : 74 3B 0A 3C 2F 65 6D 3E 3C 62 72 3E 0A 3C 65 6D   t;.</em><br>.<em

100 : 3E 26 67 74 3B 20 26 67 74 3B 20 26 67 74 3B 20   >> > > 

110 : 49 20 68 61 64 20 70 72 65 76 69 6F 75 73 6C 79   I had previously

120 : 20 64 6F 6E 65 20 74 68 65 20 2E 2F 63 6F 6E 66    done the ./conf

130 : 69 67 75 72 65 20 77 69 74 68 6F 75 74 0A 3C 2F   igure without.</

140 : 65 6D 3E 3C 62 72 3E 0A 3C 65 6D 3E 26 67 74 3B   em><br>.<em>>

150 : 20 74 68 65 20 2D 2D 77 69 74 68 2D 70 72 69 76    the --with-priv

160 : 73 65 70 2D 75 73 65 72 3D 72 6F 6F 74 0A 3C 2F   sep-user=root.</

170 : 65 6D 3E 3C 62 72 3E 0A 3C 65 6D 3E 26 67 74 3B   em><br>.<em>>

180 : 20 26 67 74 3B 20 26 67 74 3B 20 74 6F 20 73 70    > > to sp

190 : 65 63 69 66 79 20 74 68 65 20 72 6F 6F 74 20 75   ecify the root u

1a0 : 73 65 72 2C 20 68 6F 77 65 76 65 72 20 49 20 67   ser, however I g

1b0 : 6F 74 20 74 68 65 20 73 61 6D 65 20 65 72 72 6F   ot the same erro

1c0 : 72 20 6D 65 73 73 61 67 65 2E 0A 3C 2F 65 6D 3E   r message..</em>

1d0 : 3C 62 72 3E 0A 3C 65 6D 3E 26 67 74 3B 20 26 67   <br>.<em>> &g

1e0 : 74 3B 20 26 67 74 3B 0A 3C 2F 65 6D 3E 3C 62 72   t; >.</em><br

1f0 : 3E 0A 3C 65 6D 3E 26 67 74 3B 20 26 67 74 3B 20   >.<em>> > 

200 : 26 67 74 3B 20 49 20 74 72 69 65 64 20 63 72 65   > I tried cre

210 : 61 74 69 6E 67 20 61 6E 20 73 73 68 64 20 75 73   ating an sshd us

220 : 65 72 20 61 6E 64 20 6E 6F 74 20 75 73 69 6E 67   er and not using

230 : 20 74 68 65 20 73 77 69 74 63 68 20 62 75 74 20    the switch but 

240 : 67 6F 74 20 74 68 65 0A 3C 2F 65 6D 3E 3C 62 72   got the.</em><br

250 : 3E 0A 73 61 6D 65 0A 3C 62 72 3E 0A 3C 65 6D 3E   >.same.<br>.<em>

260 : 26 67 74 3B 20 26 67 74 3B 20 26 67 74 3B 20 6D   > > > m

270 : 65 73 73 61 67 65 2E 0A 3C 2F 65 6D 3E 3C 62 72   essage..</em><br

280 : 3E 0A 3C 65 6D 3E 26 67 74 3B 20 26 67 74 3B 20   >.<em>> > 

290 : 26 67 74 3B 0A 3C 2F 65 6D 3E 3C 62 72 3E 0A 3C   >.</em><br>.<

2a0 : 65 6D 3E 26 67 74 3B 20 26 67 74 3B 20 26 67 74   em>> > &gt

2b0 : 3B 20 49 20 74 72 69 65 64 20 75 73 69 6E 67 20   ; I tried using 

2c0 : 74 68 65 20 73 77 69 74 63 68 20 61 6E 64 20 73   the switch and s

2d0 : 70 65 63 69 66 79 69 6E 67 20 74 68 65 20 6E 6F   pecifying the no

2e0 : 62 6F 64 79 20 75 73 65 72 2C 20 62 75 74 20 67   body user, but g

2f0 : 6F 74 20 74 68 65 0A 3C 2F 65 6D 3E 3C 62 72 3E   ot the.</em><br>

300 : 0A 3C 65 6D 3E 26 67 74 3B 20 73 61 6D 65 0A 3C   .<em>> same.<

310 : 2F 65 6D 3E 3C 62 72 3E 0A 3C 65 6D 3E 26 67 74   /em><br>.<em>&gt

320 : 3B 20 26 67 74 3B 20 26 67 74 3B 20 6D 65 73 73   ; > > mess

330 : 61 67 65 2E 0A 3C 2F 65 6D 3E 3C 62 72 3E 0A 3C   age..</em><br>.<

340 : 65 6D 3E 26 67 74 3B 20 26 67 74 3B 20 26 67 74   em>> > &gt

350 : 3B 0A 3C 2F 65 6D 3E 3C 62 72 3E 0A 3C 65 6D 3E   ;.</em><br>.<em>

360 : 26 67 74 3B 20 26 67 74 3B 20 26 67 74 3B 20 54   > > > T

370 : 68 69 73 20 64 69 64 6E 74 20 68 61 70 70 65 6E   his didnt happen

380 : 20 62 65 66 6F 72 65 20 77 69 74 68 20 74 68 65    before with the

390 : 20 70 72 65 76 69 6F 75 73 20 76 65 72 73 69 6F    previous versio

3a0 : 6E 20 6F 66 20 4F 70 65 6E 53 53 48 20 49 20 77   n of OpenSSH I w

3b0 : 61 73 0A 3C 2F 65 6D 3E 3C 62 72 3E 0A 3C 65 6D   as.</em><br>.<em

3c0 : 3E 26 67 74 3B 20 26 67 74 3B 20 72 75 6E 6E 69   >> > runni

3d0 : 6E 67 2E 0A 3C 2F 65 6D 3E 3C 62 72 3E 0A 3C 65   ng..</em><br>.<e

3e0 : 6D 3E 26 67 74 3B 20 26 67 74 3B 20 26 67 74 3B   m>> > >

3f0 : 0A 3C 2F 65 6D 3E 3C 62 72 3E 0A 3C 65 6D 3E 26   .</em><br>.<em>&

400 : 67 74 3B 20 26 67 74 3B 20 26 67 74 3B 20 49 27   gt; > > I'

410 : 6D 20 72 75 6E 6E 69 6E 67 20 6F 6E 20 53 6F 6C   m running on Sol

420 : 61 72 69 73 20 38 2E 20 57 68 61 74 27 73 20 69   aris 8. What's i

430 : 73 20 67 6F 69 6E 67 20 6F 6E 2C 20 49 20 6A 75   s going on, I ju

440 : 73 74 20 77 61 6E 74 20 69 74 20 74 6F 0A 3C 2F   st want it to.</

450 : 65 6D 3E 3C 62 72 3E 0A 63 6F 6D 70 69 6C 65 0A   em><br>.compile.

460 : 3C 62 72 3E 0A 3C 65 6D 3E 26 67 74 3B 20 26 67   <br>.<em>> &g

470 : 74 3B 20 61 6E 64 0A 3C 2F 65 6D 3E 3C 62 72 3E   t; and.</em><br>

480 : 0A 3C 65 6D 3E 26 67 74 3B 20 26 67 74 3B 20 26   .<em>> > &

490 : 67 74 3B 20 77 6F 72 6B 21 0A 3C 2F 65 6D 3E 3C   gt; work!.</em><

4a0 : 62 72 3E 0A 3C 65 6D 3E 26 67 74 3B 20 26 67 74   br>.<em>> &gt

4b0 : 3B 20 26 67 74 3B 0A 3C 2F 65 6D 3E 3C 62 72 3E   ; >.</em><br>

4c0 : 0A 3C 65 6D 3E 26 67 74 3B 20 26 67 74 3B 20 26   .<em>> > &

4d0 : 67 74 3B 20 50 6C 65 61 73 65 20 68 65 6C 70 20   gt; Please help 

4e0 : 6D 65 21 21 20 54 68 61 6E 6B 73 2C 20 4A 73 0A   me!! Thanks, Js.

4f0 : 3C 2F 65 6D 3E 3C 62 72 3E 0A 3C 65 6D 3E 26 67   </em><br>.<em>&g

500 : 74 3B 20 26 67 74 3B 20 26 67 74 3B 0A 3C 2F 65   t; > >.</e

510 : 6D 3E 3C 62 72 3E 0A 3C 65 6D 3E 26 67 74 3B 20   m><br>.<em>> 

520 : 26 67 74 3B 20 26 67 74 3B 0A 3C 2F 65 6D 3E 3C   > >.</em><

530 : 62 72 3E 0A 3C 65 6D 3E 26 67 74 3B 20 26 67 74   br>.<em>> &gt

540 : 3B 0A 3C 2F 65 6D 3E 3C 62 72 3E 0A 3C 65 6D 3E   ;.</em><br>.<em>

550 : 26 67 74 3B 20 26 67 74 3B 0A 3C 2F 65 6D 3E 3C   > >.</em><

560 : 62 72 3E 0A 3C 65 6D 3E 26 67 74 3B 0A 3C 2F 65   br>.<em>>.</e

570 : 6D 3E 3C 62 72 3E 0A 3C 65 6D 3E 26 67 74 3B 0A   m><br>.<em>>.

580 : 3C 2F 65 6D 3E 3C 62 72 3E 0A 3C 70 3E 3C 70 3E   </em><br>.<p><p>

590 : 66 75 63 6B 69 6E 20 65 6C 6C 2C 20 31 2C 20 77   fuckin ell, 1, w

5a0 : 68 79 20 64 69 64 20 79                           hy did y
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.snort.org/pipermail/snort-sigs/attachments/20031230/6dcc25a0/attachment.html>


More information about the Snort-sigs mailing list