[Snort-sigs] False positive - sid:2435

Paul Schmehl pauls at ...1311...
Fri Mar 18 13:15:10 EST 2005


/usr/local/share/snort/web-client.rules:alert tcp $HOME_NET any -> 
$EXTERNAL_NET $HTTP_PORTS (msg:"WEB-CLIENT Microsoft emf metafile access"; 
flow:from_client,established; uricontent:".emf"; reference:bugtraq,10120; 
reference:bugtraq,9707; reference:cve,2003-0906; classtype:attempted-user; 
sid:2435; rev:4;)

Payload follows:

 length = 424

000 : 47 45 54 20 2F 69 6D 61 67 65 73 3F 71 3D 74 62   GET /images?q=tb
010 : 6E 3A 51 6A 63 41 6A 70 4D 4C 7A 6D 6B 4A 3A 77   n:QjcAjpMLzmkJ:w
020 : 77 77 2E 65 6D 66 2E 6E 65 74 2F 7E 65 73 74 65   ww.emf.net/~este
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
030 : 70 68 65 6E 2F 63 74 68 75 6C 68 75 2E 67 69 66   phen/cthulhu.gif
040 : 20 48 54 54 50 2F 31 2E 31 0D 0A 41 63 63 65 70    HTTP/1.1..Accep
050 : 74 3A 20 2A 2F 2A 0D 0A 52 65 66 65 72 65 72 3A   t: */*..Referer:
060 : 20 68 74 74 70 3A 2F 2F 69 6D 61 67 65 73 2E 67    http://images.g
070 : 6F 6F 67 6C 65 2E 63 6F 6D 2F 69 6D 61 67 65 73   oogle.com/images
080 : 3F 68 6C 3D 65 6E 26 6C 72 3D 26 71 3D 6D 75 73   ?hl=en&lr=&q=mus
090 : 69 63 0D 0A 41 63 63 65 70 74 2D 4C 61 6E 67 75   ic..Accept-Langu
0a0 : 61 67 65 3A 20 65 6E 2D 75 73 0D 0A 41 63 63 65   age: en-us..Acce
0b0 : 70 74 2D 45 6E 63 6F 64 69 6E 67 3A 20 67 7A 69   pt-Encoding: gzi
0c0 : 70 2C 20 64 65 66 6C 61 74 65 0D 0A 55 73 65 72   p, deflate..User
0d0 : 2D 41 67 65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61 2F   -Agent: Mozilla/
0e0 : 34 2E 30 20 28 63 6F 6D 70 61 74 69 62 6C 65 3B   4.0 (compatible;
0f0 : 20 4D 53 49 45 20 36 2E 30 3B 20 57 69 6E 64 6F    MSIE 6.0; Windo
100 : 77 73 20 4E 54 20 35 2E 31 3B 20 2E 4E 45 54 20   ws NT 5.1; .NET
110 : 43 4C 52 20 31 2E 30 2E 33 37 30 35 29 0D 0A 48   CLR 1.0.3705)..H
120 : 6F 73 74 3A 20 69 6D 61 67 65 73 2E 67 6F 6F 67   ost: images.goog
130 : 6C 65 2E 63 6F 6D 0D 0A 43 6F 6E 6E 65 63 74 69   le.com..Connecti
140 : 6F 6E 3A 20 4B 65 65 70 2D 41 6C 69 76 65 0D 0A   on: Keep-Alive..
150 : 43 6F 6F 6B 69 65 3A 20 50 52 45 46 3D 49 44 3D   Cookie: PREF=ID=
160 : 62 39 63 30 33 37 33 64 38 37 31 35 32 63 32 61   b9c0373d87152c2a
170 : 3A 54 4D 3D 31 31 30 35 39 38 39 39 34 38 3A 4C   :TM=1105989948:L
180 : 4D 3D 31 31 30 36 30 38 36 32 34 36 3A 54 42 3D   M=1106086246:TB=
190 : 32 3A 53 3D 6B 45 67 71 43 58 73 52 6F 67 4C 74   2:S=kEgqCXsRogLt
1a0 : 46 32 57 2D 0D 0A 0D 0A                           F2W-....

Paul Schmehl (pauls at ...1311...)
Adjunct Information Security Officer
The University of Texas at Dallas
AVIEN Founding Member
http://www.utdallas.edu




More information about the Snort-sigs mailing list