[Snort-sigs] False Positive - SID 1882

Gustavo Gomes gustavo at ...2600...
Wed Jun 30 05:58:08 EDT 2004


 alert ip $HOME_NET any -> $EXTERNAL_NET any (msg:"ATTACK-RESPONSES id check returned userid"; content:"uid="; byte_test:5,<,65537,0,relative,string; content:" gid="; within:15; byte_test:5,<,65537,0,relative,string; classtype:bad-unknown; sid:1882; rev:10;) 

This error occurred when a server running smtp service sent a message to a Mail server out of the company network, that was running smtp and pop service. The message was:


 
length = 866

000 : 72 6F 72 20 69 6E 66 6F 72 6D 61 74 69 6F 6E 20   ror information 
010 : 73 75 63 68 20 61 73 20 0D 0A 75 69 64 20 61 6E   such as ..uid an
020 : 64 20 67 69 64 20 69 6E 66 6F 72 6D 61 74 69 6F   d gid informatio
030 : 6E 2E 20 54 68 65 20 71 6D 61 69 6C 20 4D 54 41   n. The qmail MTA
040 : 2C 20 66 6F 72 20 65 78 61 6D 70 6C 65 2C 20 6D   , for example, m
050 : 69 67 68 74 20 73 65 6E 64 20 62 6F 75 6E 63 65   ight send bounce
060 : 20 0D 0A 6D 61 69 6C 20 6D 65 73 73 61 67 65 73    ..mail messages
070 : 20 73 65 6E 74 20 77 69 74 68 20 65 72 72 6F 72    sent with error
080 : 73 20 74 68 61 74 20 6D 69 67 68 74 20 69 6E 63   s that might inc
090 : 6C 75 64 65 20 75 69 64 2F 67 69 64 20 69 6E 66   lude uid/gid inf
0a0 : 6F 72 6D 61 74 69 6F 6E 3A 0D 0A 0D 0A 65 78 65   ormation:....exe
0b0 : 63 75 74 69 6E 67 20 27 71 6D 61 69 6C 2D 6C 6F   cuting 'qmail-lo
0c0 : 63 61 6C 20 2D 2D 20 61 6C 69 61 73 20 2F 76 61   cal -- alias /va
0d0 : 72 2F 71 6D 61 69 6C 2F 61 6C 69 61 73 20 63 79   r/qmail/alias cy
0e0 : 72 6F 31 20 2D 20 63 79 72 78 78 20 78 78 78 78   ro1 - cyrxx xxxx
0f0 : 78 20 0D 0A 78 78 78 78 78 20 2E 2F 4D 61 69 6C   x ..xxxxx ./Mail
100 : 64 69 72 2F 27 20 75 6E 64 65 72 20 75 69 64 3D   dir/' under uid=
110 : 31 30 33 2C 20 67 69 64 3D 31 30 31 20 53 6F 72   103, gid=101 Sor
120 : 72 79 2C 20 6E 6F 20 6D 61 69 6C 62 6F 78 20 68   ry, no mailbox h
130 : 65 72 65 20 62 79 20 0D 0A 74 68 61 74 20 6E 61   ere by ..that na
140 : 6D 65 2E 20 28 23 35 2E 31 2E 31 29 0D 0A 0D 0A   me. (#5.1.1)....
150 : 0D 0A 2D 2D 0D 0A 43 6F 6E 74 72 69 62 75 74 6F   ..--..Contributo
160 : 72 73 3A 0D 0A 0D 0A 4A 61 76 69 65 72 20 46 65   rs:....Javier Fe
170 : 72 6E E1 6E 64 65 7A 2D 53 61 6E 67 75 69 6E 6F   rn.ndez-Sanguino
180 : 0D 0A 0D 0A 0D 0A 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D   ......----------
190 : 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D   ----------------
1a0 : 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D   ----------------
1b0 : 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 0D 0A 54   -------------..T
1c0 : 68 69 73 20 53 46 2E 4E 65 74 20 65 6D 61 69 6C   his SF.Net email
1d0 : 20 73 70 6F 6E 73 6F 72 65 64 20 62 79 20 42 6C    sponsored by Bl
1e0 : 61 63 6B 20 48 61 74 20 42 72 69 65 66 69 6E 67   ack Hat Briefing
1f0 : 73 20 26 20 54 72 61 69 6E 69 6E 67 2E 0D 0A 41   s & Training...A
200 : 74 74 65 6E 64 20 42 6C 61 63 6B 20 48 61 74 20   ttend Black Hat 
210 : 42 72 69 65 66 69 6E 67 73 20 26 20 54 72 61 69   Briefings & Trai
220 : 6E 69 6E 67 2C 20 4C 61 73 20 56 65 67 61 73 20   ning, Las Vegas 
230 : 4A 75 6C 79 20 32 34 2D 32 39 20 2D 20 0D 0A 64   July 24-29 - ..d
240 : 69 67 69 74 61 6C 20 73 65 6C 66 20 64 65 66 65   igital self defe
250 : 6E 73 65 2C 20 74 6F 70 20 74 65 63 68 6E 69 63   nse, top technic
260 : 61 6C 20 65 78 70 65 72 74 73 2C 20 6E 6F 20 76   al experts, no v
270 : 65 6E 64 6F 72 20 70 69 74 63 68 65 73 2C 20 0D   endor pitches, .
280 : 0A 75 6E 6D 61 74 63 68 65 64 20 6E 65 74 77 6F   .unmatched netwo
290 : 72 6B 69 6E 67 20 6F 70 70 6F 72 74 75 6E 69 74   rking opportunit
2a0 : 69 65 73 2E 20 56 69 73 69 74 20 77 77 77 2E 62   ies. Visit www.b
2b0 : 6C 61 63 6B 68 61 74 2E 63 6F 6D 0D 0A 5F 5F 5F   lackhat.com..___
2c0 : 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F   ________________
2d0 : 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F   ________________
2e0 : 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 0D 0A 53 6E   ____________..Sn
2f0 : 6F 72 74 2D 73 69 67 73 20 6D 61 69 6C 69 6E 67   ort-sigs mailing
300 : 20 6C 69 73 74 0D 0A 53 6E 6F 72 74 2D 73 69 67    list..Snort-sig
310 : 73 40 6C 69 73 74 73 2E 73 6F 75 72 63 65 66 6F   s at ...2601...
320 : 72 67 65 2E 6E 65 74 0D 0A 68 74 74 70 73 3A 2F   rge.net..https:/
330 : 2F 6C 69 73 74 73 2E 73 6F 75 72 63 65 66 6F 72   /lists.sourcefor
340 : 67 65 2E 6E 65 74 2F 6C 69 73 74 73 2F 6C 69 73   ge.net/lists/lis
350 : 74 69 6E 66 6F 2F 73 6E 6F 72 74 2D 73 69 67 73   tinfo/snort-sigs
360 : 0D 0A                                             ..
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.snort.org/pipermail/snort-sigs/attachments/20040630/d0c34287/attachment.html>


More information about the Snort-sigs mailing list