<DIV>
<DIV>Um... no..... I'm not the snort expert by any means..... So, with the -o option, do the rules then have to be in any particular order (i.e. do the pass rules have to be above the logs rules, or vise-versa?)</DIV>
<DIV> </DIV>
<DIV>I added the -o but I'm still getting all the PUSH/ACKs...just don't get it, it should be passing all PA without content HTTP/1.1... grrrrrr....<BR><BR><B><I>Paul Schmehl <pauls@...1311...></I></B> wrote:</DIV>
<BLOCKQUOTE class=replbq style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #1010ff 2px solid"><BR><BR>--On Tuesday, February 17, 2004 10:19 AM -0600 JMMel <JMELVIN1@...2236...><BR>wrote:<BR><BR>> Anyone tried to tackle this yet, thanks!<BR><BR>John you obviously know what you're doing, so I expect the answer to this <BR>to be "of course", but you *are* starting snort with the -o switch so pass <BR>rules will be parsed first, right?<BR><BR>><BR>> John<BR>><BR>> -----Original Message-----<BR>> From: JMMel [mailto:jmelvin1@...480...]<BR>> Sent: Monday, February 16, 2004 12:00 PM<BR>> To: 'snort-sigs@lists.sourceforge.net'<BR>> Subject: Trying to capture web traffic<BR>><BR>> All,<BR>><BR>> Brief synopsis: A rootkit is installed that initiates a reverse shell<BR>> back to attacker when triggered by a crafted packet aimed at any port the<BR>> victim has open. The reverse shell is TCP with a full handshake<BR>> (although it's
 encrypted) so, I know the IP that is triggering the<BR>> reverse shell. However, the IP changes daily (either dynamically, or RAS,<BR>> or multiple owned systems, etc) so I can't set rules up to log by IP.<BR>> Also, the victim is a public web server and they don't log every<BR>> connection. When looking at the logs I have from FW's and victim I can't<BR>> see what the trigger packet is that wakes up the reverse shell. The big<BR>> issue is their IDS and FW only log web traffic that fits a particular<BR>> signature string, otherwise port 80 inbound is dropped cause there is<BR>> just so much of it.<BR>><BR>> Problem: I figure the trigger packet is coming inbound to port 80 and<BR>> hiding among tons of legit traffic, probably an HTTP continuation packet<BR>> to try and spoof proxies and such.... it could be a GET or POST or HEAD or<BR>> anything like that too, just don't know since the logs are not capturing<BR>> this. Right now, I just
 don't see the precursor for when the victim<BR>> imitates the reverse shell....<BR>><BR>> So...I want to be able to log all data sent to the server to port 80, try<BR>> to capture some server replies, but pass everything else on port 80. For<BR>> this purpose 10.1.1.50 will be the server (victim):<BR>><BR>># This should capture almost all GETs, POSTs and HEADs, etc I would think<BR>> log tcp any any -> 10.1.1.50 80 (flags: PA;)<BR>> log tcp any any -> 10.1.1.50 80 (flags: SP;)<BR>># This should capture any data sent, odd but allowed per RFC<BR>> log tcp any any -> 10.1.1.50 80 (flags: S; dsize: >1;)<BR>> log tcp any any -> 10.1.1.50 90 (flags: A: dsize: >1;)<BR>>#<BR>> ....<BR>> My BIG issue is this: How can I log some server replies but pass<BR>> everything else. For instance, if I want to capture PUSH/ACKs with HTTP<BR>> status code, BUT pass all other PA's how can I do it????<BR>><BR>># This doesn't seem
 to work, I would think ANY PUSH/ACK without the content<BR>> of HTTP/1.1 within the first 20 bytes of data would be passed.<BR>> pass tcp 10.1.1.50 80 -> any any (flags: AP; content: !"HTTP/1.1 "; depth:<BR>> 20;)<BR>># The below rules I added to discard all other replies:<BR>> pass tcp 10.1.1.50 80 -> any any (flags: A;)<BR>> pass tcp 10.1.1.50 80 -> any any (flags: RA;)<BR>> pass tcp 10.1.1.50 80 -> any any (flags: FA;)<BR>> ....etc.... all other flag combos.....<BR>>#<BR>># the final rules are to capture everything<BR>> log tcp any any <> 10.1.1.50 any<BR>> log udp any any <> 10.1.1.50 any<BR>> log icmp any any <> 10.1.1.50 any<BR>><BR>> So, the problem is I not only capture all the server HTTP status code<BR>> replies but all PUSH/ACKs from the server. I tried making the<BR>> pass tcp 10.1.1.50 80 -> any any (flags: AP; content: !"HTTP/1.1 "; depth:<BR>> 20;)<BR>> into a log statement
 instead and getting rid of the "!" identifier, then<BR>> adding a pass statement:<BR>> pass tcp 10.1.1.50 80 > any any (flags: AP;) below it, but then I don't<BR>> get any packets with a PUSH/ACK.<BR>><BR>> Does this have something to do with the order of the rules. I'm assuming<BR>> if you put a pass statement in that would override a log statement above<BR>> that the pass statement would apply? If so, why doesn't my pass<BR>> statement saying all PUSH/ACKs without content HTTP/1.1 work, why am I<BR>> still seeing ALL PUSH/ACKs? This is beyond me, can't figure it out....<BR>> help<BR>><BR>> John<BR>><BR>><BR>> ---<BR>> Outgoing mail is certified Virus Free.<BR>> Checked by AVG anti-virus system (http://www.grisoft.com).<BR>> Version: 6.0.552 / Virus Database: 344 - Release Date: 12/15/2003<BR>><BR>><BR>> ---<BR>> Outgoing mail is certified Virus Free.<BR>> Checked by AVG anti-virus system
 (http://www.grisoft.com).<BR>> Version: 6.0.552 / Virus Database: 344 - Release Date: 12/15/2003<BR>><BR>><BR>><BR>><BR>> -------------------------------------------------------<BR>> SF.Net is sponsored by: Speed Start Your Linux Apps Now.<BR>> Build and deploy apps & Web services for Linux with<BR>> a free DVD software kit from IBM. Click Now!<BR>> http://ads.osdn.com/?ad_id=1356&alloc_id=3438&op=click<BR>> _______________________________________________<BR>> Snort-sigs mailing list<BR>> Snort-sigs@lists.sourceforge.net<BR>> https://lists.sourceforge.net/lists/listinfo/snort-sigs<BR><BR><BR><BR>Paul Schmehl (pauls@...1311...)<BR>Adjunct Information Security Officer<BR>The University of Texas at Dallas<BR>AVIEN Founding Member<BR>http://www.utdallas.edu<BR><BR><BR>-------------------------------------------------------<BR>SF.Net is sponsored by: Speed Start Your Linux Apps Now.<BR>Build and deploy apps & Web services for
 Linux with<BR>a free DVD software kit from IBM. Click Now!<BR>http://ads.osdn.com/?ad_id=1356&alloc_id=3438&op=click<BR>_______________________________________________<BR>Snort-sigs mailing list<BR>Snort-sigs@lists.sourceforge.net<BR>https://lists.sourceforge.net/lists/listinfo/snort-sigs</BLOCKQUOTE></DIV><p><hr SIZE=1>
Do you Yahoo!?<br>
Yahoo! Finance: <a href="http://us.rd.yahoo.com/evt=22055/*http://taxes.yahoo.com/filing.html">Get your refund fast by filing online</a>