[Snort-users] Yeesh...19174 is all over the place

rmkml rmkml at ...1855...
Wed Jun 8 11:04:38 EDT 2011


Hi James,
Personnaly, Im rewrite this rule on my rules set, change pcre like this:
  pcre:"/<title>(?>.*?(?!\<\/title|\<\!\[CDATA))(&lt|<)/Rsi";
Comments are welcome.
Regards
Rmkml



On Wed, 8 Jun 2011, Lay, James wrote:

> ICK...8 hits in 10 minutes.  Ironically, we don't run Vista here ;)
>
> Rule:
> alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT
> Windows Vista feed headlines cross-site scripting attack attempt";
> flow:to_client, established; content:"<rss"; content:"<channel";
> distance:0; pcre:"/<title>[^>]*?(&lt|<)/Ri"; metadata:policy
> security-ips drop; reference:bugtraq,25287; reference:cve,2007-3033;
> reference:url,www.microsoft.com/technet/security/Bulletin/MS07-048.mspx;
> classtype:web-application-attack; sid:19174; rev:2;)
>
> Hit:
> 06/08-08:15:33.340573  [**] [1:19174:2] WEB-CLIENT Windows Vista feed
> headlines cross-site scripting attack attempt [**] [Classification: Web
> Application Attack] [Priority: 1] {TCP} 64.211.162.88:80 -> int.ip:48450
>
>
> Pcap:
> 0000  00 13 72 59 7a f4 00 90 7f 3e f7 90 08 00 45 00   ..rYz....>....E.
> 0010  05 a0 8d 81 40 00 3d 06 bd 86 40 d3 a2 58 00 00   .... at ...843...=... at ...568...
> 0020  00 00 00 50 bd 42 3d c2 28 86 cd 13 f0 05 50 10   ...P.B=.(.....P.
> 0030  2e 10 7c 45 00 00 48 54 54 50 2f 31 2e 31 20 32   ..|E..HTTP/1.1 2
> 0040  30 30 20 4f 4b 0d 0a 53 65 72 76 65 72 3a 20 41   00 OK..Server: A
> 0050  70 61 63 68 65 2f 32 2e 32 2e 31 36 20 28 44 65   pache/2.2.16 (De
> 0060  62 69 61 6e 29 0d 0a 50 33 50 3a 20 43 50 3d 22   bian)..P3P: CP="
> 0070  43 41 4f 20 44 53 50 20 43 4f 52 20 43 55 52 61   CAO DSP COR CURa
> 0080  20 41 44 4d 61 20 44 45 56 61 20 4f 55 52 20 49    ADMa DEVa OUR I
> 0090  4e 44 20 50 48 59 20 4f 4e 4c 20 55 4e 49 20 43   ND PHY ONL UNI C
> 00a0  4f 4d 20 4e 41 56 20 49 4e 54 20 44 45 4d 20 50   OM NAV INT DEM P
> 00b0  52 45 22 0d 0a 4c 61 73 74 2d 4d 6f 64 69 66 69   RE"..Last-Modifi
> 00c0  65 64 3a 20 57 65 64 2c 20 30 38 20 4a 75 6e 20   ed: Wed, 08 Jun
> 00d0  32 30 31 31 20 31 33 3a 33 30 3a 34 33 20 47 4d   2011 13:30:43 GM
> 00e0  54 0d 0a 45 54 61 67 3a 20 22 37 62 63 35 63 64   T..ETag: "7bc5cd
> 00f0  2d 36 63 66 61 2d 34 61 35 33 33 35 37 64 66 32   -6cfa-4a53357df2
> 0100  36 63 30 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79   6c0"..Content-Ty
> 0110  70 65 3a 20 74 65 78 74 2f 78 6d 6c 0d 0a 44 61   pe: text/xml..Da
> 0120  74 65 3a 20 57 65 64 2c 20 30 38 20 4a 75 6e 20   te: Wed, 08 Jun
> 0130  32 30 31 31 20 31 34 3a 31 35 3a 33 33 20 47 4d   2011 14:15:33 GM
> 0140  54 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74   T..Content-Lengt
> 0150  68 3a 20 32 37 38 39 38 0d 0a 43 6f 6e 6e 65 63   h: 27898..Connec
> 0160  74 69 6f 6e 3a 20 6b 65 65 70 2d 61 6c 69 76 65   tion: keep-alive
> 0170  0d 0a 0d 0a 3c 3f 78 6d 6c 20 76 65 72 73 69 6f   ....<?xml versio
> 0180  6e 3d 22 31 2e 30 22 20 65 6e 63 6f 64 69 6e 67   n="1.0" encoding
> 0190  3d 22 75 74 66 2d 38 22 20 3f 3e 3c 72 73 73 20   ="utf-8" ?><rss
> 01a0  76 65 72 73 69 6f 6e 3d 22 32 2e 30 22 20 78 6d   version="2.0" xm
> 01b0  6c 6e 73 3a 6d 65 64 69 61 3d 22 68 74 74 70 3a   lns:media="http:
> 01c0  2f 2f 73 65 61 72 63 68 2e 79 61 68 6f 6f 2e 63   //search.yahoo.c
> 01d0  6f 6d 2f 6d 72 73 73 2f 22 3e 3c 63 68 61 6e 6e   om/mrss/"><chann
> 01e0  65 6c 3e 3c 74 69 74 6c 65 3e 6d 73 6e 62 63 2e   el><title>msnbc.
> 01f0  63 6f 6d 3a 20 54 6f 70 20 6d 73 6e 62 63 2e 63   com: Top msnbc.c
> 0200  6f 6d 20 68 65 61 64 6c 69 6e 65 73 3c 2f 74 69   om headlines</ti
> 0210  74 6c 65 3e 3c 6c 69 6e 6b 3e 68 74 74 70 3a 2f   tle><link>http:/
> 0220  2f 77 77 77 2e 6d 73 6e 62 63 2e 6d 73 6e 2e 63   /www.msnbc.msn.c
> 0230  6f 6d 2f 69 64 2f 33 30 35 33 34 31 35 2f 3c 2f   om/id/3053415/</
> 0240  6c 69 6e 6b 3e 3c 64 65 73 63 72 69 70 74 69 6f   link><descriptio
> 0250  6e 3e 4d 73 6e 62 63 2e 63 6f 6d 20 69 73 20 61   n>Msnbc.com is a
> 0260  20 6c 65 61 64 65 72 20 69 6e 20 62 72 65 61 6b    leader in break
> 0270  69 6e 67 20 6e 65 77 73 20 61 6e 64 20 6f 72 69   ing news and ori
> 0280  67 69 6e 61 6c 20 6a 6f 75 72 6e 61 6c 69 73 6d   ginal journalism
> 0290  2e 3c 2f 64 65 73 63 72 69 70 74 69 6f 6e 3e 3c   .</description><
> 02a0  63 6f 70 79 72 69 67 68 74 3e 43 6f 70 79 72 69   copyright>Copyri
> 02b0  67 68 74 20 32 30 31 31 20 6d 73 6e 62 63 2e 63   ght 2011 msnbc.c
> 02c0  6f 6d 3c 2f 63 6f 70 79 72 69 67 68 74 3e 3c 6c   om</copyright><l
> 02d0  61 6e 67 75 61 67 65 3e 65 6e 2d 75 73 3c 2f 6c   anguage>en-us</l
> 02e0  61 6e 67 75 61 67 65 3e 3c 69 6d 61 67 65 3e 3c   anguage><image><
> 02f0  75 72 6c 3e 68 74 74 70 3a 2f 2f 6d 73 6e 62 63   url>http://msnbc
> 0300  6d 65 64 69 61 2e 6d 73 6e 2e 63 6f 6d 2f 69 2f   media.msn.com/i/
> 0310  6d 73 6e 62 63 2f 53 69 74 65 4d 61 6e 61 67 65   msnbc/SiteManage
> 0320  6d 65 6e 74 2f 53 69 74 65 57 69 64 65 2f 49 6d   ment/SiteWide/Im
> 0330  61 67 65 73 2f 6d 73 6e 62 63 5f 6c 6f 67 6f 2e   ages/msnbc_logo.
> 0340  67 69 66 3c 2f 75 72 6c 3e 3c 74 69 74 6c 65 3e   gif</url><title>
> 0350  6d 73 6e 62 63 2e 63 6f 6d 3c 2f 74 69 74 6c 65   msnbc.com</title
> 0360  3e 3c 6c 69 6e 6b 3e 68 74 74 70 3a 2f 2f 77 77   ><link>http://ww
> 0370  77 2e 6d 73 6e 62 63 2e 6d 73 6e 2e 63 6f 6d 2f   w.msnbc.msn.com/
> 0380  3c 2f 6c 69 6e 6b 3e 3c 2f 69 6d 61 67 65 3e 3c   </link></image><
> 0390  6c 61 73 74 42 75 69 6c 64 44 61 74 65 3e 57 65   lastBuildDate>We
> 03a0  64 2c 20 30 38 20 4a 75 6e 20 32 30 31 31 20 31   d, 08 Jun 2011 1
> 03b0  33 3a 32 35 3a 31 32 20 47 4d 54 3c 2f 6c 61 73   3:25:12 GMT</las
> 03c0  74 42 75 69 6c 64 44 61 74 65 3e 3c 63 61 74 65   tBuildDate><cate
> 03d0  67 6f 72 79 3e 4e 65 77 73 3c 2f 63 61 74 65 67   gory>News</categ
> 03e0  6f 72 79 3e 3c 74 74 6c 3e 36 30 3c 2f 74 74 6c   ory><ttl>60</ttl
> 03f0  3e 3c 69 74 65 6d 3e 3c 74 69 74 6c 65 3e 41 72   ><item><title>Ar
> 0400  69 7a 2e 20 77 69 6c 64 66 69 72 65 20 27 6e 6f   iz. wildfire 'no
> 0410  74 20 6d 6f 76 69 6e 67 20 61 73 20 66 61 73 74   t moving as fast
> 0420  27 3c 2f 74 69 74 6c 65 3e 3c 64 65 73 63 72 69   '</title><descri
> 0430  70 74 69 6f 6e 3e 4f 66 66 69 63 69 61 6c 73 20   ption>Officials
> 0440  61 72 65 20 68 6f 70 69 6e 67 20 74 68 65 69 72   are hoping their
> 0450  20 65 66 66 6f 72 74 73 20 6f 76 65 72 6e 69 67    efforts overnig
> 0460  68 74 20 77 69 6c 6c 20 6b 65 65 70 20 61 20 6d   ht will keep a m
> 0470  61 6d 6d 6f 74 68 20 66 6f 72 65 73 74 20 66 69   ammoth forest fi
> 0480  72 65 20 66 72 6f 6d 20 63 72 65 73 74 69 6e 67   re from cresting
> 0490  20 61 20 72 69 64 67 65 20 61 6e 64 20 72 61 63    a ridge and rac
> 04a0  69 6e 67 20 69 6e 74 6f 20 74 77 6f 20 65 61 73   ing into two eas
> 04b0  74 65 72 6e 20 41 72 69 7a 6f 6e 61 20 74 6f 77   tern Arizona tow
> 04c0  6e 73 2e 3c 2f 64 65 73 63 72 69 70 74 69 6f 6e   ns.</description
> 04d0  3e 3c 6c 69 6e 6b 3e 68 74 74 70 3a 2f 2f 77 77   ><link>http://ww
> 04e0  77 2e 6d 73 6e 62 63 2e 6d 73 6e 2e 63 6f 6d 2f   w.msnbc.msn.com/
> 04f0  69 64 2f 34 33 33 32 32 31 32 36 2f 6e 73 2f 77   id/43322126/ns/w
> 0500  65 61 74 68 65 72 2f 3c 2f 6c 69 6e 6b 3e 3c 70   eather/</link><p
> 0510  75 62 44 61 74 65 3e 57 65 64 2c 20 38 20 4a 75   ubDate>Wed, 8 Ju
> 0520  6e 20 32 30 31 31 20 31 31 3a 35 37 3a 32 35 20   n 2011 11:57:25
> 0530  47 4d 54 3c 2f 70 75 62 44 61 74 65 3e 3c 63 61   GMT</pubDate><ca
> 0540  74 65 67 6f 72 79 3e 4e 65 77 73 3c 2f 63 61 74   tegory>News</cat
> 0550  65 67 6f 72 79 3e 3c 67 75 69 64 20 69 73 50 65   egory><guid isPe
> 0560  72 6d 61 4c 69 6e 6b 3d 22 74 72 75 65 22 3e 68   rmaLink="true">h
> 0570  74 74 70 3a 2f 2f 77 77 77 2e 6d 73 6e 62 63 2e   ttp://www.msnbc.
> 0580  6d 73 6e 2e 63 6f 6d 2f 69 64 2f 34 33 33 32 32   msn.com/id/43322
> 0590  31 32 36 2f 6e 73 2f 77 65 61 74 68 65 72 2f 3c   126/ns/weather/<
> 05a0  2f 67 75 69 64 3e 3c 2f 69 74 65 6d 3e 3c         /guid></item><
>
> James
>
>
> ------------------------------------------------------------------------------
> EditLive Enterprise is the world's most technically advanced content
> authoring tool. Experience the power of Track Changes, Inline Image
> Editing and ensure content is compliant with Accessibility Checking.
> http://p.sf.net/sfu/ephox-dev2dev
> _______________________________________________
> Snort-users mailing list
> Snort-users at lists.sourceforge.net
> Go to this URL to change user options or unsubscribe:
> https://lists.sourceforge.net/lists/listinfo/snort-users
> Snort-users list archive:
> http://www.geocrawler.com/redir-sf.php3?list=snort-users
>




More information about the Snort-users mailing list