[Snort-sigs] False positive?

Steve Moran steve.moran at ...2540...
Wed Jun 9 12:48:34 EDT 2004


I'm not expert enough to tell you if this is a false positive or not,
but I sure think so.  I don't know how to describe the "false positive"
statement adequately, but I'm going to include the packet decode from
acid so you guys can tell better.  Hope that this helps.



# Rule: -- Sid: -- 221306/05-12:18:28.585461  [**] [1:2123:1]
ATTACK-RESPONSES Microsoft cmd.exe banner [**] [Classification:
Successful Administrator Privilege Gain] [Priority: 1] {TCP}
65.170.101.14:110 -> 208.54.54.101:22771

length = 952

000 : 3A 20 4A 65 66 66 20 42 6F 68 6E 3D 32 30 0D 0A   : Jeff Bohn=20..
010 : 53 65 6E 74 3A 20 54 75 65 73 64 61 79 2C 20 4A   Sent: Tuesday, J
020 : 75 6E 65 20 30 31 2C 20 32 30 30 34 20 32 3A 34   une 01, 2004 2:4
030 : 38 20 50 4D 0D 0A 54 6F 3A 20 4C 6F 75 20 48 61   8 PM..To: Lou Ha
040 : 79 65 6B 0D 0A 53 75 62 6A 65 63 74 3A 20 52 45   yek..Subject: RE
050 : 3A 20 43 61 6E 20 77 65 20 69 6E 73 74 61 6C 6C   : Can we install
060 : 20 74 68 65 20 6E 65 77 20 74 73 20 62 6F 78 20    the new ts box 
070 : 74 6F 64 61 79 3F 0D 0A 0D 0A 0D 0A 49 73 20 4A   today?......Is J
080 : 65 66 66 62 57 20 73 77 69 74 63 68 65 64 20 6F   effbW switched o
090 : 6E 3F 20 20 49 20 63 61 6E 6E 6F 74 20 70 69 6E   n?  I cannot pin
0a0 : 67 20 6F 72 20 74 65 72 6D 69 6E 61 6C 20 69 6E   g or terminal in
0b0 : 74 6F 20 69 74 2E 20 20 54 68 61 6E 6B 20 79 6F   to it.  Thank yo
0c0 : 75 2E 0D 0A 0D 0A 2D 2D 2D 2D 2D 4F 72 69 67 69   u.....-----Origi
0d0 : 6E 61 6C 20 4D 65 73 73 61 67 65 2D 2D 2D 2D 2D   nal Message-----
0e0 : 0D 0A 46 72 6F 6D 3A 20 4A 65 66 66 20 42 6F 68   ..From: Jeff Boh
0f0 : 6E 3D 32 30 0D 0A 53 65 6E 74 3A 20 54 68 75 72   n=20..Sent: Thur
100 : 73 64 61 79 2C 20 4D 61 79 20 32 30 2C 20 32 30   sday, May 20, 20
110 : 30 34 20 35 3A 35 35 20 50 4D 0D 0A 54 6F 3A 20   04 5:55 PM..To: 
120 : 4C 6F 75 20 48 61 79 65 6B 0D 0A 53 75 62 6A 65   Lou Hayek..Subje
130 : 63 74 3A 20 52 45 3A 20 43 61 6E 20 77 65 20 69   ct: RE: Can we i
140 : 6E 73 74 61 6C 6C 20 74 68 65 20 6E 65 77 20 74   nstall the new t
150 : 73 20 62 6F 78 20 74 6F 64 61 79 3F 0D 0A 0D 0A   s box today?....
160 : 0D 0A 6E 6F 70 65 2C 20 73 74 69 6C 6C 20 63 61   ..nope, still ca
170 : 6E 6E 6F 74 20 67 65 74 20 74 6F 20 69 74 2E 0D   nnot get to it..
180 : 0A 0D 0A 2D 2D 2D 2D 2D 4F 72 69 67 69 6E 61 6C   ...-----Original
190 : 20 4D 65 73 73 61 67 65 2D 2D 2D 2D 2D 0D 0A 46    Message-----..F
1a0 : 72 6F 6D 3A 20 4C 6F 75 20 48 61 79 65 6B 3D 32   rom: Lou Hayek=2
1b0 : 30 0D 0A 53 65 6E 74 3A 20 54 68 75 72 73 64 61   0..Sent: Thursda
1c0 : 79 2C 20 4D 61 79 20 32 30 2C 20 32 30 30 34 20   y, May 20, 2004 
1d0 : 35 3A 33 36 20 50 4D 0D 0A 54 6F 3A 20 4A 65 66   5:36 PM..To: Jef
1e0 : 66 20 42 6F 68 6E 0D 0A 53 75 62 6A 65 63 74 3A   f Bohn..Subject:
1f0 : 20 52 45 3A 20 43 61 6E 20 77 65 20 69 6E 73 74    RE: Can we inst
200 : 61 6C 6C 20 74 68 65 20 6E 65 77 20 74 73 20 62   all the new ts b
210 : 6F 78 20 74 6F 64 61 79 3F 0D 0A 0D 0A 0D 0A 0D   ox today?.......
220 : 0A 59 6F 75 20 73 68 6F 75 6C 64 20 62 65 20 6F   .You should be o
230 : 6B 20 6E 6F 77 2E 0D 0A 0D 0A 3D 32 30 0D 0A 0D   k now.....=20...
240 : 0A 0D 0A 20 20 5F 5F 5F 5F 5F 20 3D 32 30 0D 0A   ...  _____ =20..
250 : 0D 0A 0D 0A 46 72 6F 6D 3A 20 4A 65 66 66 20 42   ....From: Jeff B
260 : 6F 68 6E 3D 32 30 0D 0A 53 65 6E 74 3A 20 54 68   ohn=20..Sent: Th
270 : 75 72 73 64 61 79 2C 20 4D 61 79 20 32 30 2C 20   ursday, May 20, 
280 : 32 30 30 34 20 31 32 3A 32 35 20 50 4D 0D 0A 54   2004 12:25 PM..T
290 : 6F 3A 20 4C 6F 75 20 48 61 79 65 6B 0D 0A 53 75   o: Lou Hayek..Su
2a0 : 62 6A 65 63 74 3A 20 52 45 3A 20 43 61 6E 20 77   bject: RE: Can w
2b0 : 65 20 69 6E 73 74 61 6C 6C 20 74 68 65 20 6E 65   e install the ne
2c0 : 77 20 74 73 20 62 6F 78 20 74 6F 64 61 79 3F 0D   w ts box today?.
2d0 : 0A 49 6D 70 6F 72 74 61 6E 63 65 3A 20 4C 6F 77   .Importance: Low
2e0 : 0D 0A 0D 0A 3D 32 30 0D 0A 0D 0A 53 74 69 6C 6C   ....=20....Still
2f0 : 20 63 61 6E 6E 6F 74 20 67 65 74 20 74 6F 20 74    cannot get to t
300 : 68 65 20 6E 65 77 20 6A 65 66 66 62 77 20 6D 61   he new jeffbw ma
310 : 63 68 69 6E 65 20 77 69 74 68 20 72 65 6D 6F 74   chine with remot
320 : 65 20 64 65 73 6B 74 6F 70 20 6F 72 20 70 69 6E   e desktop or pin
330 : 67 2E 0D 0A 0D 0A 3D 32 30 0D 0A 0D 0A 2D 2D 2D   g.....=20....---
340 : 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D   ----------------
350 : 2D 0D 0A 0D 0A 3D 32 30 0D 0A 0D 0A 4D 69 63 72   -....=20....Micr
360 : 6F 73 6F 66 74 20 57 69 6E 64 6F 77 73 20 58 50   osoft Windows XP
370 : 20 5B 56 65 72 73 69 6F 6E 20 35 2E 31 2E 32 36    [Version 5.1.26
380 : 30 30 5D 0D 0A 28 43 29 20 43 6F 70 79 72 69 67   00]..(C) Copyrig
390 : 68 74 20 31 39 38 35 2D 32 30 30 31 20 4D 69 63   ht 1985-2001 Mic
3a0 : 72 6F 73 6F 66 74 20 43 6F 72 70 2E 0D 0A 0D 0A   rosoft Corp.....
3b0 : 3D 32 30 0D 0A 2E 0D 0A                           =20.....



Steve Moran 
Manager, Digital Security 
(303) 876-1684 (direct) 
(303) 876-1500 (work) 
(720) 933-1028 (cell) 
www.csssoftware.com <http://www.csssoftware.com/>  
steve.moran at ...2540...

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.snort.org/pipermail/snort-sigs/attachments/20040609/7c5e18b9/attachment.html>


More information about the Snort-sigs mailing list