<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">


<meta name=ProgId content=Word.Document>
<meta name=Generator content="Microsoft Word 10">
<meta name=Originator content="Microsoft Word 10">
<link rel=File-List href="cid:filelist.xml@...3472...">
<title>RE: [Snort-users] Code Red attacks</title>
<!--[if gte mso 9]><xml>
 <o:OfficeDocumentSettings>
  <o:DoNotRelyOnCSS/>
 </o:OfficeDocumentSettings>
</xml><![endif]--><!--[if gte mso 9]><xml>
 <w:WordDocument>
  <w:SpellingState>Clean</w:SpellingState>
  <w:GrammarState>Clean</w:GrammarState>
  <w:DocumentKind>DocumentEmail</w:DocumentKind>
  <w:EnvelopeVis/>
  <w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel>
 </w:WordDocument>
</xml><![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;
        mso-font-charset:0;
        mso-generic-font-family:swiss;
        mso-font-pitch:variable;
        mso-font-signature:553679495 -2147483648 8 0 66047 0;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {mso-style-parent:"";
        margin:0in;
        margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:12.0pt;
        font-family:"Times New Roman";
        mso-fareast-font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;
        text-underline:single;}
a:visited, span.MsoHyperlinkFollowed
        {color:blue;
        text-decoration:underline;
        text-underline:single;}
p
        {mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        mso-pagination:widow-orphan;
        font-size:12.0pt;
        font-family:"Times New Roman";
        mso-fareast-font-family:"Times New Roman";}
span.EmailStyle18
        {mso-style-type:personal;
        mso-style-noshow:yes;
        mso-ansi-font-size:10.0pt;
        mso-bidi-font-size:10.0pt;
        font-family:Arial;
        mso-ascii-font-family:Arial;
        mso-hansi-font-family:Arial;
        mso-bidi-font-family:Arial;
        color:navy;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        mso-style-noshow:yes;
        mso-ansi-font-size:10.0pt;
        mso-bidi-font-size:10.0pt;
        font-family:Arial;
        mso-ascii-font-family:Arial;
        mso-hansi-font-family:Arial;
        mso-bidi-font-family:Arial;
        color:navy;}
span.GramE
        {mso-style-name:"";
        mso-gram-e:yes;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;
        mso-header-margin:.5in;
        mso-footer-margin:.5in;
        mso-paper-source:0;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 10]>
<style>
 /* Style Definitions */ 
 table.MsoNormalTable
        {mso-style-name:"Table Normal";
        mso-tstyle-rowband-size:0;
        mso-tstyle-colband-size:0;
        mso-style-noshow:yes;
        mso-style-parent:"";
        mso-padding-alt:0in 5.4pt 0in 5.4pt;
        mso-para-margin:0in;
        mso-para-margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:10.0pt;
        font-family:"Times New Roman";}
</style>
<![endif]-->
</head>

<body lang=EN-US link=blue vlink=blue style='tab-interval:.5in'>

<div class=Section1>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>I think we should write that.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>The world will be a better place.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>So the question now is how can we upload
the patch?<br>
<br>
WE know that there will most likely be <span class=GramE>a cmd shell</span>
living in c, which has been shared out thru IIS and has been given execute
permissions by Code Red’s infection process.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>I guess we would have to send a carefully
crafted <span class=GramE>url</span> response back, passing parameters back to
cmd.exe to invoke the <a href="ftp://ftp.exe/">ftp.exe</a>???<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>- Jason<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=2 face=Tahoma><span
style='font-size:10.0pt;font-family:Tahoma'>-----Original Message-----<br>
<b><span style='font-weight:bold'>From:</span></b>
snort-users-admin@lists.sourceforge.net
[mailto:snort-users-admin@lists.sourceforge.net] <b><span style='font-weight:
bold'>On Behalf Of </span></b>Jason Withrow<br>
<b><span style='font-weight:bold'>Sent:</span></b> Monday, September 17, 2001
8:23 PM<br>
<b><span style='font-weight:bold'>To:</span></b> 'Greg Wright'<br>
<b><span style='font-weight:bold'>Cc:</span></b>
snort-users@lists.sourceforge.net<br>
<b><span style='font-weight:bold'>Subject:</span></b> RE: [Snort-users] Code
Red attacks</span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=2 color=navy face=Arial><span
style='font-size:10.0pt;font-family:Arial;color:navy'>I like it.<o:p></o:p></span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=2 color=navy face=Arial><span
style='font-size:10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=2 color=navy face=Arial><span
style='font-size:10.0pt;font-family:Arial;color:navy'>It makes complete sense
to me.<o:p></o:p></span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=2 color=navy face=Arial><span
style='font-size:10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=2 color=navy face=Arial><span
style='font-size:10.0pt;font-family:Arial;color:navy'>- Jason<o:p></o:p></span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=2 color=navy face=Arial><span
style='font-size:10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=2 color=navy face=Arial><span
style='font-size:10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal style='margin-left:1.0in'><font size=2 face=Tahoma><span
style='font-size:10.0pt;font-family:Tahoma'>-----Original Message-----<br>
<b><span style='font-weight:bold'>From:</span></b>
snort-users-admin@lists.sourceforge.net
[mailto:snort-users-admin@lists.sourceforge.net] <b><span style='font-weight:
bold'>On Behalf Of </span></b>Greg Wright<br>
<b><span style='font-weight:bold'>Sent:</span></b> Monday, September 17, 2001
7:56 PM<br>
<b><span style='font-weight:bold'>To:</span></b>
'snort-users@lists.sourceforge.net'<br>
<b><span style='font-weight:bold'>Subject:</span></b> RE: [Snort-users] Code
Red attacks</span></font><o:p></o:p></p>

<p class=MsoNormal style='margin-left:1.0in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'><o:p> </o:p></span></font></p>

<p style='margin-left:1.0in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>I liked the idea of configuring the server to return
data to an exploited system that will patch the hole, however the potential
legality issues frighten me, however I wonder...</span></font><o:p></o:p></p>

<p style='margin-left:1.0in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>Isn't it possibly a little convoluted in that the
exploited system that you are 'putting' data on is actually requesting
*something* from your server initially. The action of 'putting data' is the
serving of a request initiated by the infected system.</span></font><o:p></o:p></p>

<p style='margin-left:1.0in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>If you were to put data on your web server system that
stops CodeRed, and an affected box attempted to scan for and pass a request to
your server, then the data that it passes back was not sent directly, but sent
in response to a request.</span></font><o:p></o:p></p>

<p style='margin-left:1.0in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>What is the general opinion on this?</span></font> <o:p></o:p></p>

<p style='margin-left:1.0in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>Regards,</span></font> <br>
<font size=2><span style='font-size:10.0pt'>Greg Wright</span></font> <o:p></o:p></p>

<p style='margin-left:1.0in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>-----Original Message-----</span></font> <br>
<font size=2><span style='font-size:10.0pt'>From: Erek Adams [<a
href="mailto:erek@...577...">mailto:erek@...577...</a>] </span></font><br>
<font size=2><span style='font-size:10.0pt'>Sent: Tuesday, 18 September 2001
8:22 AM</span></font> <br>
<font size=2><span style='font-size:10.0pt'>To: Jason Withrow</span></font> <br>
<font size=2><span style='font-size:10.0pt'>Cc: 'Gordon Ewasiuk';
snort-users@lists.sourceforge.net</span></font> <br>
<font size=2><span style='font-size:10.0pt'>Subject: RE: [Snort-users] Code Red
attacks</span></font> <o:p></o:p></p>

<p style='margin-left:1.0in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>On Mon, 17 Sep 2001, Jason Withrow wrote:</span></font>
<o:p></o:p></p>

<p style='margin-left:1.0in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>> What is the legal issue, it is a purely defensive
mechanism.</span></font> <o:p></o:p></p>

<p style='margin-left:1.0in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>Well...  I'm not a lawyer, but:  You're
doing _something_ to someone elses</span></font> <br>
<font size=2><span style='font-size:10.0pt'>machine--Uninvited.  That in
and of itself can put you in a lot of legal</span></font> <br>
<font size=2><span style='font-size:10.0pt'>hotwater, depending on the remote
sites security policy.  Now, I'm not arguing</span></font> <br>
<font size=2><span style='font-size:10.0pt'>the morality of what you're doing,
or what you intend to do, but the act of</span></font> <br>
<font size=2><span style='font-size:10.0pt'>accessing someone elses stuff
without consent puts you into the same class as</span></font> <br>
<font size=2><span style='font-size:10.0pt'>a 'hacker' in a lot of corportate
security policy eyes.</span></font> <o:p></o:p></p>

<p style='margin-left:1.0in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>Instead, "Do the Right Thing". 
:)  Anyone from your local subnets, give them</span></font> <br>
<font size=2><span style='font-size:10.0pt'>a call.  Most of the
CR{I,II,III} tend to target the local subnets over remote</span></font> <br>
<font size=2><span style='font-size:10.0pt'>ones.  A quick use of whois
and traceroute will usually give you a fair idea</span></font> <br>
<font size=2><span style='font-size:10.0pt'>of where someone is at physically.</span></font>
<o:p></o:p></p>

<p style='margin-left:1.0in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>Or simpler, block them at the router.  ;-)</span></font>
<o:p></o:p></p>

<p style='margin-left:1.0in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>-----</span></font> <br>
<font size=2><span style='font-size:10.0pt'>Erek Adams</span></font> <br>
<font size=2><span style='font-size:10.0pt'>Nifty-Type-Guy</span></font> <br>
<font size=2><span style='font-size:10.0pt'>TheAdamsFamily.Net</span></font> <o:p></o:p></p>

<p class=MsoNormal style='margin-left:1.0in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'><o:p> </o:p></span></font></p>

<p style='margin-left:1.0in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>_______________________________________________</span></font>
<br>
<font size=2><span style='font-size:10.0pt'>Snort-users mailing list</span></font>
<br>
<font size=2><span style='font-size:10.0pt'>Snort-users@...3471...ge.net</span></font>
<br>
<font size=2><span style='font-size:10.0pt'>Go to this URL to change user
options or unsubscribe:</span></font> <br>
<font size=2><span style='font-size:10.0pt'><a
href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a></span></font>
<br>
<font size=2><span style='font-size:10.0pt'>Snort-users list archive:</span></font>
<br>
<font size=2><span style='font-size:10.0pt'><a
href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></span></font>
<o:p></o:p></p>

</div>

</body>

</html>