Did you run Snort in -T and see if it chokes on it?<div><br></div><div>J<br><br><div class="gmail_quote">On Wed, Jan 13, 2010 at 1:02 PM, Paul Schmehl <span dir="ltr"><<a href="mailto:pschmehl_lists@...3425...">pschmehl_lists@...3425...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Doh.  Wonder why snort didn't choke on that and throw an error?<div><div></div><div class="h5"><br>
<br>
--On Wednesday, January 13, 2010 11:13:03 -0600 Joel Esler <<a href="mailto:jesler@...435..." target="_blank">jesler@...435...</a>> wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
You didn't escape the colon in "X-Powered-By:" ?<br>
<br>
At first glance.<br>
<br>
J<br>
<br>
On Jan 13, 2010, at 11:29 AM, Paul Schmehl wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I wrote a rule to see what a certain host was up to:<br>
<br>
alert tcp 95.211.27.211 any -> $HOME_NET any (msg:"Up to no good?";<br>
classtype:web-application-activity; sid:1000174; re<br>
v:1;)<br>
<br>
That produced (among others) this packet:<br>
<br>
000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.<br>
010 : 0A 53 65 72 76 65 72 3A 20 67 77 73 0D 0A 44 61   .Server: gws..Da<br>
020 : 74 65 3A 20 54 75 65 2C 20 31 32 20 4A 61 6E 20   te: Tue, 12 Jan<br>
030 : 32 30 31 30 20 30 36 3A 34 35 3A 30 38 20 47 4D   2010 06:45:08 GM<br>
040 : 54 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A   T..Content-Type:<br>
050 : 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 43 6F 6E 6E    text/html..Conn<br>
060 : 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 58   ection: close..X<br>
070 : 2D 50 6F 77 65 72 65 64 2D 42 79 3A 20 50 48 50   -Powered-By: PHP<br>
080 : 2F 35 2E 32 2E 36 2D 31 2B 6C 65 6E 6E 79 34 0D   /5.2.6-1+lenny4.<br>
090 : 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A   .Content-Length:<br>
0a0 : 20 31 32 30 0D 0A 0D 0A 33 43 33 45 37 41 36 45    120....3C3E7A6E<br>
0b0 : 36 38 32 35 37 30 36 32 37 41 37 41 36 33 36 34   682570627A7A6364<br>
0c0 : 36 32 33 30 32 43 33 45 33 45 32 31 33 30 33 33   62302C3E3E213033<br>
0d0 : 37 31 37 42 37 35 37 38 37 43 37 30 37 34 37 43   717B75787C70747C<br>
0e0 : 32 31 33 46 36 42 36 42 34 36 30 43 31 41 30 31   213F6B6B460C1A01<br>
0f0 : 31 42 31 42 32 43 31 42 35 30 34 34 34 36 34 46   1B1B2C1B5044464F<br>
100 : 34 44 35 39 34 46 31 31 33 41 30 44 31 44 34 42   4D594F113A0D1D4B<br>
110 : 35 39 35 39 35 32 35 36 34 43 35 38 30 34 33 31   595952564C580431<br>
<br>
Source address is 95.211.27.211.  Source port is 80.<br>
<br>
So I wrote this rule:<br>
<br>
alert tcp $EXTERNAL_NET 80 -> $HOME_NET any (msg:"Bredolab server ack";<br>
flow:from_server,established; content:"Server: gws"; content:"X-Powered-By: P<br>
HP"; content:"+lenny4"; classtype:trojan-activity; sid:1000172; rev:1;)<br>
<br>
But it never triggered (even though the first rule continues to).  So I<br>
altered it thus:<br>
<br>
alert tcp $EXTERNAL_NET 80 -> $HOME_NET any (msg:"Bredolab server ack";<br>
flow:from_server,established; uricontent:"Server: gws";<br>
uricontent:"X-Powered-By: P<br>
HP"; uricontent:"+lenny4"; classtype:trojan-activity; sid:1000172; rev:2;)<br>
<br>
But it still didn't trigger, so I altered it again:<br>
<br>
alert tcp $EXTERNAL_NET 80 -> $HOME_NET any (msg:"Bredolab server ack";<br>
uricontent:"Server: gws"; uricontent:"X-Powered-By: PHP";<br>
uricontent:"+lenny4"; classtype:trojan-activity; sid:1000172; rev:3;)<br>
<br>
But it still didn't trigger, so I altered it yet again:<br>
<br>
alert tcp $EXTERNAL_NET 80 -> $HOME_NET any (msg:"Bredolab server ack";<br>
content:"Server: gws"; content:"X-Powered-By: PHP"; content:"+lenny4";<br>
classtype:trojan-activity; sid:1000172; rev:4;)<br>
<br>
It still doesn't trigger.<br>
<br>
Someone please enlighten me.  What am I missing?<br>
<br>
--<br>
Paul Schmehl, Senior Infosec Analyst<br>
As if it wasn't already obvious, my opinions<br>
are my own and not those of my employer.<br>
*******************************************<br>
"It is as useless to argue with those who have<br>
renounced the use of reason as to administer<br>
medication to the dead." Thomas Jefferson<br>
<br>
<br>
----------------------------------------------------------------------------<br>
-- This SF.Net email is sponsored by the Verizon Developer Community<br>
Take advantage of Verizon's best-in-class app development support<br>
A streamlined, 14 day to market process makes app distribution fast and easy<br>
Join now and get one step closer to millions of Verizon customers<br>
<a href="http://p.sf.net/sfu/verizon-dev2dev" target="_blank">http://p.sf.net/sfu/verizon-dev2dev</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net" target="_blank">Snort-sigs@lists.sourceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
</blockquote></blockquote>
<br>
<br>
<br>
-- <br>
Paul Schmehl, Senior Infosec Analyst<br>
As if it wasn't already obvious, my opinions<br>
are my own and not those of my employer.<br>
*******************************************<br>
"It is as useless to argue with those who have<br>
renounced the use of reason as to administer<br>
medication to the dead." Thomas Jefferson<br>
<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Joel Esler <br>
</div>