<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2655.35">
<TITLE>RE: [Snort-users] MS-SQL Worm Signature</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>I downloaded the one off the snort.org page, and it works quite well.  Just make sure you don't switch it to monitor your home_net -> external_net.  I did that so I could check on machines internally and it managed to generate about 1 million+ events in my database.  This was from one host!  So not only did it cause a DoS on the network, but DoS on my IDS too :)</FONT></P>

<P><FONT SIZE=2>Checking for External_net to Home_net should be fine, but I blocked UDP port 1434 at the router on Saturday when I was up at 3am so no use in trying to detect it.</FONT></P>

<P><FONT SIZE=2>At the moment, I'm using tcpdump -nn net <home_net> and udp and port 1434.  When one pops up, you can see it real quick.</FONT></P>

<P><FONT SIZE=2>Derek</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Frank Reid [<A HREF="mailto:reid.frank@...8108....">mailto:reid.frank@...4336...</A>] </FONT>
<BR><FONT SIZE=2>Sent: Saturday, January 25, 2003 9:28 AM</FONT>
<BR><FONT SIZE=2>To: snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] MS-SQL Worm Signature</FONT>
</P>

<P><FONT SIZE=2>Snort says this rule is invalid (assumedly based on the content string?)</FONT>
<BR><FONT SIZE=2>Anyone have a working version?</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: snort-users-admin@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>[<A HREF="mailto:snort-users-admin@...973...et">mailto:snort-users-admin@lists.sourceforge.net</A>] On Behalf Of</FONT>
<BR><FONT SIZE=2>-=Quequero=-</FONT>
<BR><FONT SIZE=2>Sent: Saturday, January 25, 2003 9:16 AM</FONT>
<BR><FONT SIZE=2>To: snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] MS-SQL Worm Signature</FONT>
</P>
<BR>

<P><FONT SIZE=2>hi all, i've done a simple signature for detecting this worm, it should </FONT>
<BR><FONT SIZE=2>work (or at least, it works here :P)</FONT>
</P>

<P><FONT SIZE=2>alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"HELL-SQL Worm Scan";</FONT>
</P>

<P><FONT SIZE=2>flow:to_server,from_server; </FONT>
<BR><FONT SIZE=2>content:"|684765745466b96c6c|";classtype:attempted-admin)</FONT>
</P>

<P><FONT SIZE=2>If there are errors plz correct me, thanx a lot to all, happy fishing :)</FONT>
</P>
<BR>

<P><FONT SIZE=2>-=Quequero=-</FONT>
<BR><FONT SIZE=2>SpP/Member www.spippolatori.com</FONT>
<BR><FONT SIZE=2>UIC Founder www.quequero.tk</FONT>
<BR><FONT SIZE=2>Linux Registered User #207978 </FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This SF.NET email is sponsored by:</FONT>
<BR><FONT SIZE=2>SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 See!</FONT>
<BR><FONT SIZE=2><A HREF="http://www.vasoftware.com" TARGET="_blank">http://www.vasoftware.com</A></FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This SF.NET email is sponsored by:</FONT>
<BR><FONT SIZE=2>SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 See!</FONT>
<BR><FONT SIZE=2><A HREF="http://www.vasoftware.com" TARGET="_blank">http://www.vasoftware.com</A></FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>