<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2650.12">
<TITLE>RE: Snort not catching /bin/sh</TITLE>
</HEAD>
<BODY>
<BR>

<P><FONT SIZE=2 FACE="Courier New">That is not the case. My other IDS will show the entire packet payload that triggered the alert and the exploit definitely contains both strings of content. It is just that the other IDS picks up on /bin/sh and Snort picks up on _RLD only.</FONT></P>

<P><FONT SIZE=2 FACE="Courier New">Ross</FONT>
</P>
<BR>

<P><FONT SIZE=2 FACE="Courier New">might be a silly question but are you sure both contents</FONT>
<BR><FONT SIZE=2 FACE="Courier New">where in the same packet when you tested - if they where</FONT>
<BR><FONT SIZE=2 FACE="Courier New">split across two packets then this rule would not match</FONT>
<BR><FONT SIZE=2 FACE="Courier New">them.</FONT>
<BR><FONT SIZE=2 FACE="Courier New"> </FONT>
<BR><FONT SIZE=2 FACE="Courier New">    Tom</FONT>
</P>

<P><FONT SIZE=2 FACE="Courier New">-----Original Message-----</FONT>
<BR><FONT SIZE=2 FACE="Courier New">From: Barnes, Ross P ERDC-ITL-MS Contractor</FONT>
<BR><FONT SIZE=2 FACE="Courier New">[<A HREF="mailto:Ross.P.Barnes@...846....3768...">mailto:Ross.P.Barnes@...3768...</A>]</FONT>
<BR><FONT SIZE=2 FACE="Courier New">Sent: 10 October 2001 22:26</FONT>
<BR><FONT SIZE=2 FACE="Courier New">To: 'snort-users@...3783...net'</FONT>
<BR><FONT SIZE=2 FACE="Courier New">Subject: [Snort-users] Snort not catching /bin/sh</FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2 FACE="Courier New">Hello all, </FONT>
</P>

<P><FONT SIZE=2 FACE="Courier New">        I am running Snort 1.8 on a box with another IDS to</FONT>
<BR><FONT SIZE=2 FACE="Courier New">monitor traffic(no packet loss on either IDS). We have been</FONT>
<BR><FONT SIZE=2 FACE="Courier New">catching some telnetd buffer overflow attempts on the other</FONT>
<BR><FONT SIZE=2 FACE="Courier New">IDS with the signature content being /bin/sh, but not on</FONT>
<BR><FONT SIZE=2 FACE="Courier New">Snort. Both IDS are on the same box seeing the same traffic.</FONT>
<BR><FONT SIZE=2 FACE="Courier New">In the telnet.rules file, the corresponding rule that should</FONT>
<BR><FONT SIZE=2 FACE="Courier New">pick it up is</FONT>
</P>

<P><FONT SIZE=2 FACE="Courier New">alert tcp $EXTERNAL_NET any -> $HOME_NET 23 (msg:"TELNET SGI</FONT>
<BR><FONT SIZE=2 FACE="Courier New">telnetd format bug" </FONT>
<BR><FONT SIZE=2 FACE="Courier New">; flags: A+; content:"_RLD";</FONT>
<BR><FONT SIZE=2 FACE="Courier New">content:"/bin/sh";reference:arachnids,304;) </FONT>
</P>

<P><FONT SIZE=2 FACE="Courier New">        Immediately, I thought that looked odd to have two</FONT>
<BR><FONT SIZE=2 FACE="Courier New">contents. I took out the content:"_RLD" and it still did not</FONT>
<BR><FONT SIZE=2 FACE="Courier New">show up as I attempted to hack a system while the other IDS</FONT>
<BR><FONT SIZE=2 FACE="Courier New">caught it. I then took out the content:"/bin/sh" and it</FONT>
<BR><FONT SIZE=2 FACE="Courier New">worked off the "_RLD" content. Now, both strings are in the</FONT>
<BR><FONT SIZE=2 FACE="Courier New">packet payload so why is Snort not picking up something as</FONT>
<BR><FONT SIZE=2 FACE="Courier New">clear as /bin/sh? Any help is greatly appreciated.</FONT>
</P>

</BODY>
</HTML>