Can you please send a PCAP? Having one would make debugging this much easier.<br><br><div class="gmail_quote">On Tue, Dec 1, 2009 at 3:34 PM, Bill Scherr IV <span dir="ltr"><<a href="mailto:bschnzl@...3374...">bschnzl@...3374...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Folks...<br>
<br>
   Snort has a sig that should fire on these packets (IMHO).  The packet indicates the distance of the<br>
username (offset 0x0066) from the TDS Login data of the packet (beginning at offset 0x003e).  There<br>
are lots of length indicators, but they all start from 0x003e.  The byte_jump starts from the beginning of<br>
data (offset 0x0036), if I read right.  I am thinking /content:"s|00|a|00|"; within:8; distance:8;/<br>
<br>
   I am using the reference @ <a href="http://www.freetds.org/tds.html#login7" target="_blank">http://www.freetds.org/tds.html#login7</a><br>
<br>
   The threshold was met, several times over, but nothing fired!  Am I on track here?<br>
<br>
-------  Data  -------<br>
<br>
Original Sig (False Neg?)<br>
<br>
alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 1433 (msg:"SQL SA brute force login attempt TDS<br>
v7/8"; flow:to_server,established; content:"|10|"; depth:1; content:"|00 00|"; depth:2; offset:34;<br>
content:"|00 00 00 00|"; depth:4; offset:64; pcre:"/^.{12}(\x00|\x01)\x00\x00(\x70|\x71)/smi";<br>
byte_jump:2,48,little,from_beginning; content:"s|00|a|00|"; within:4; distance:8; nocase; threshold:type<br>
threshold, track by_src, count 5, seconds 2; reference:bugtraq,4797; reference:cve,2000-1209;<br>
reference:nessus,10673; classtype:suspicious-login; sid:3543; rev:4;)<br>
<br>
Typical Packet (82 each, this event):<br>
<br>
0000  00 14 bf 52 fe 40 00 d0  2b 77 75 01 08 00 45 20   ...R.@...3428...... +wu...E<br>
0010  00 bc 1e 56 40 00 6c 06  xx xx 79 0b 50 ce xx xx   ...V@...3429...... xxy.P.xx<br>
0020  xx 7a 08 2b 05 99 a4 51  cc 4d b1 be 2b 43 50 18   xz.+...Q .M..+CP.<br>
0030  ff ff 3d 81 00 00 10 01  00 94 00 00 01 00 8c 00   ..=..... ........<br>
0040  00 00 01 00 00 71 00 00  00 00 00 00 00 07 d0 19   .....q.. ........<br>
0050  00 00 00 00 00 00 e0 03  00 00 20 fe ff ff 04 08   ........ .. .....<br>
0060  00 00 56 00 06 00 62 00  02 00 66 00 01 00 68 00   ..V...b. ..f...h.<br>
0070  00 00 68 00 0e 00 00 00  00 00 84 00 04 00 8c 00   ..h..... ........<br>
0080  00 00 8c 00 00 00 00 1c  25 5b 6f ff 00 00 00 00   ........ %[o.....<br>
0090  8c 00 00 00 44 00 57 00  44 00 57 00 34 00 44 00   ....D.W. D.W.4.D.<br>
00a0  73 00 61 00 b3 a5 xx 00  xx 00 2e 00 xx 00 xx 00   s.a...x. x...x.x.<br>
00b0  xx 00 2e 00 xx 00 xx 00  xx 00 2e 00 31 00 32 00   x...x.x. x...1.2.<br>
00c0  32 00 4f 00 44 00 42 00  43 00                     2.O.D.B. C.<br>
<br>
-------  End Data  -------<br>
<br>
<br>
Bill Scherr IV, GSEC, GCIA<br>
Principal Security Engineer<br>
EWA Information and Infrastructure Technologies<br>
<a href="mailto:bscherr@...3384...">bscherr@...3384...</a><br>
<a href="mailto:bscherr@...3385...">bscherr@...3385...</a><br>
703-478-7608<br>
<br>
<br>
------------------------------------------------------------------------------<br>
Join us December 9, 2009 for the Red Hat Virtual Experience,<br>
a free event focused on virtualization and cloud computing.<br>
Attend in-depth sessions from your desk. Your couch. Anywhere.<br>
<a href="http://p.sf.net/sfu/redhat-sfdev2dev" target="_blank">http://p.sf.net/sfu/redhat-sfdev2dev</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
</blockquote></div><br><br clear="all"><br>-- <br>Alex Kirk<br>AEGIS Program Lead<br>Sourcefire Vulnerability Research Team<br>+1-410-423-1937<br><a href="mailto:alex.kirk@...435...">alex.kirk@...435...</a><br>