<html><head></head><body bgcolor="#FFFFFF"><div>Try version 2.9.1. <br><br>Sent from my iPhone</div><div><br>On Jul 8, 2011, at 0:55, Dheeraj Gupta <<a href="mailto:dheeraj.gupta4@...11827...">dheeraj.gupta4@...11827...</a>> wrote:<br><br></div><div></div><blockquote type="cite"><div>I read about it in one of the forums. The guy had the same problem and it resolved by specifying -P option. In my case too, if I do not set any snaplen and let snort use default value I do not get any alerts for both the attacks. But by setting snaplen, I get alerts for MS04-007 and "Shellcode Detected" alerts for Apache. Also in latter case, the number of IP4Disc packets is very less<br>
<br><div class="gmail_quote">On Thu, Jul 7, 2011 at 10:27 PM, Joel Esler <span dir="ltr"><<a href="mailto:jesler@...1935..." target="_blank"><a href="mailto:jesler@...1935...">jesler@...1935...</a></a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

<div style="word-wrap: break-word;">Why do you need to specify a snaplen?<div><br></div><div><br><div><div><div></div><div><div>On Jul 6, 2011, at 4:58 AM, Dheeraj Gupta wrote:</div><br></div></div><blockquote type="cite">

<div><div></div><div>Hi,<br>Turns out Snort was discarding packets(IP4Disc) so no alerts were logged . I set the snaplen to 3000 using -P option and now MS04-007 signature fires well....however the chunked encoding one still does not fire and the only alerts I get is about shellcode<br>


<br><div class="gmail_quote">On Mon, Jun 27, 2011 at 9:34 PM, Bhagya Bantwal <span dir="ltr"><<a href="mailto:bbantwal@...1935..." target="_blank"><a href="mailto:bbantwal@...1935...">bbantwal@...1935...</a></a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">


<br>Can you provide with a sample pcap for this issue?<br><br>-B<br><div class="gmail_quote"><div><div></div><div>On Fri, Jun 24, 2011 at 7:29 AM, Dheeraj Gupta <span dir="ltr"><<a href="mailto:dheeraj.gupta4@...11827..." target="_blank"><a href="mailto:dheeraj.gupta4@...11827...">dheeraj.gupta4@...11827...</a></a>></span> wrote:<br>



</div></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div><div></div><div>For my project, I need to generate some dummy attack traffic, so I decided to use an old Windows XP system (unpatched) and ran a few commercial/open source exploits on it. While most of the attempts were flagged by Snort, two in particular were entirely missed. Ironically, they were also successful and returned a shell to the system<br>




<br><b>Apache Chunked Encoding </b>- A very old flaw in Apache 1.3.19 (I am running that old version just for the sake of vulnerabilties). OSVDb entry - <a href="http://osvdb.org/show/osvdb/838" target="_blank"><a href="http://osvdb.org/show/osvdb/838">http://osvdb.org/show/osvdb/838</a></a><br>




My snort.conf has following entries for gzip related part <br>preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth <a href="tel:65535">65535</a> decompress_depth <a href="tel:65535">65535</a><br>preprocessor http_inspect_server: server default \<br>




    chunk_length <a href="tel:500000">500000</a> \<br>    server_flow_depth 0 \<br>    client_flow_depth 0 \<br>    post_depth <a href="tel:65495">65495</a> \<br>    oversize_dir_length 500 \<br>    max_header_length 750 \<br>    max_headers 100 \<br>    ports { <a href="tel:80%20311%20591%20593%20901%201220%201414">80 311 591 593 901 1220 1414</a> <a href="tel:1830%202301%202381%202809%203128%203702%205250">1830 2301 2381 2809 3128 3702 5250</a> <a href="tel:7001%207777%207779%208000%208008%208028%208080">7001 7777 7779 8000 8008 8028 8080</a> <a href="tel:8088%208118%208123%208180%208243%208280%208888">8088 8118 8123 8180 8243 8280 8888</a> 9090 9091 9443 9999 11371 } \<br>




    non_rfc_char { 0x00 0x01 0x02 0x03 0x04 0x05 0x06 0x07 } \<br>    enable_cookie \<br>    extended_response_inspection \<br>    <b>inspect_gzip \</b><br>    normalize_utf \<br>    unlimited_decompress \<br>    apache_whitespace no \<br>




    ascii no \<br>    bare_byte no \<br>    base36 no \<br>    directory no \<br>    double_decode no \<br>    iis_backslash no \<br>    iis_delimiter no \<br>    iis_unicode no \<br>    multi_slash no \<br>    utf_8 no \<br>




    u_encode yes \<br>    webroot no<br><br>MS04-007 - OSVDB entry - <a href="http://osvdb.org/show/osvdb/3902" target="_blank"><a href="http://osvdb.org/show/osvdb/3902">http://osvdb.org/show/osvdb/3902</a></a><br clear="all"><br>All the snort signatures that are mentioned in the OSVDB entries are enabled and I have restarted snort after enabling the signatures. However, the successful attempts are not being flagged.<br>




For apache chunked encosing I used metasploit and a commercial product while for MS04-007 I used the commercial product to attack through port 445<br><br>Any ideas<br><font color="#888888"><br>Dheeraj<br>
</font><br></div></div>------------------------------------------------------------------------------<br>
All the data continuously generated in your IT infrastructure contains a<br>
definitive record of customers, application performance, security<br>
threats, fraudulent activity and more. Splunk takes this data and makes<br>
sense of it. Business sense. IT sense. Common sense..<br>
<a href="http://p.sf.net/sfu/splunk-d2d-c1" target="_blank"><a href="http://p.sf.net/sfu/splunk-d2d-c1">http://p.sf.net/sfu/splunk-d2d-c1</a></a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank"><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a></a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank"><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank"><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></a><br>
<br>
Please see <a href="http://www.snort.org/docs" target="_blank"><a href="http://www.snort.org/docs">http://www.snort.org/docs</a></a> for documentation<br></blockquote></div><br>
</blockquote></div><br><br clear="all"><br>-- <br>To iterate is human.To recurse, divine!<br></div></div>
------------------------------------------------------------------------------<br>All of the data generated in your IT infrastructure is seriously valuable.<br>Why? It contains a definitive record of application performance, security <br>

<div>threats, fraudulent activity, and more. Splunk takes this data and makes <br></div>sense of it. IT sense. And common sense.<br><a href="http://p.sf.net/sfu/splunk-d2d-c2_______________________________________________" target="_blank"><a href="http://p.sf.net/sfu/splunk-d2d-c2_______________________________________________">http://p.sf.net/sfu/splunk-d2d-c2_______________________________________________</a></a><div>

<br>Snort-users mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net" target="_blank"><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a></a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank"><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></a><br>

Snort-users list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank"><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></a><br><br>Please see <a href="http://www.snort.org/docs" target="_blank"><a href="http://www.snort.org/docs">http://www.snort.org/docs</a></a> for documentation</div>

</blockquote></div><br></div></div></blockquote></div><br><br clear="all"><br>-- <br>To iterate is human.To recurse, divine!<br>
</div></blockquote></body></html>