<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='color:#1F497D'>Bump…no takers on this?<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Lay, James [mailto:james.lay@...15009...] <br><b>Sent:</b> Wednesday, November 10, 2010 10:52 AM<br><b>To:</b> snort-users@lists.sourceforge.net<br><b>Subject:</b> Oddness with 16295<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>So this is weird….looking at this hit:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>11/10-10:38:18.976338  [**] [1:16295:2] WEB-CLIENT Kaspersky antivirus library heap buffer overflow - without optional fields [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 204.11.109.23:80 -> 10.21.0.16:64385<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Fairly certain it’s an fp, but…when I hit the pcap dump file, it doesn’t show….here’s consecutive hits in the alert file:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>11/10-10:37:25.096951  [**] [1:12280:2] WEB-CLIENT VML source file memory corruption [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 67.23.129.249:80 -> 10.21.0.16:64185<o:p></o:p></p><p class=MsoNormal>11/10-10:37:25.131950  [**] [1:12280:2] WEB-CLIENT VML source file memory corruption [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 67.23.129.249:80 -> 10.21.0.16:64185<o:p></o:p></p><p class=MsoNormal>11/10-10:38:18.976338  [**] [1:16295:2] WEB-CLIENT Kaspersky antivirus library heap buffer overflow - without optional fields [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 204.11.109.23:80 -> 10.21.0.16:64385<o:p></o:p></p><p class=MsoNormal>11/10-10:39:35.643464  [**] [119:14:1] (http_inspect) NON-RFC DEFINED CHAR [**] [Priority: 3] {TCP} 10.21.0.16:64686 -> 66.211.180.40:80<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>And from the pcapfile:<o:p></o:p></p><p class=MsoNormal>sudo tcpdump -n -s 1524 -r internettcpdump.pcap.1289401395<o:p></o:p></p><p class=MsoNormal>10:37:25.096951 IP 67.23.129.249.80 > 10.21.0.16.64185: Flags [.], ack 1081895485, win 4789, length 1400<o:p></o:p></p><p class=MsoNormal>10:37:25.131950 IP 67.23.129.249.80 > 10.21.0.16.64185: Flags [.], ack 1, win 4789, length 1400<o:p></o:p></p><p class=MsoNormal>10:39:35.643464 IP 10.21.0.16.64686 > 66.211.180.40.80: Flags [.], ack 2261207081, win 65535, length 536<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>So where did 16295 go?  A quick check for that IP gives nothing:<o:p></o:p></p><p class=MsoNormal>[10:48:24 jlay@...843.....15049...:~/log$] sudo tcpdump -n -s 1524 -r internettcpdump.pcap.1289401395 ip and host 204.11.109.23<o:p></o:p></p><p class=MsoNormal>reading from file internettcpdump.pcap.1289401395, link-type EN10MB (Ethernet)<o:p></o:p></p><p class=MsoNormal>[10:50:21 jlay@...15049...:~/log$]<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>James Lay<o:p></o:p></p><p class=MsoNormal>IT Security Analyst<o:p></o:p></p><p class=MsoNormal><b><i><span style='color:red'>WinCo Foods<o:p></o:p></span></i></b></p><p class=MsoNormal><span style='font-size:8.0pt'>208-672-2014 Office<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:8.0pt'>208-559-1855 Cell<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:8.0pt'>650 N Armstrong Pl.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:8.0pt'>Boise, Idaho 83704<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>