Pantek Library
Hosting Provided By
CybrHost
High Speed Hosting
Mailing Lists: securityfocus.com > incidents > 03 > 030810.html (Request Expert securityfocus.com Support)

Re: [Snort-sigs] Snort Signatures for LSD-PL.NET Exploit

From: Michael Scheidell <scheidell(at)secnap.net>
Date: Tue Mar 11 2003 - 08:20:27 EST


>
> We agree with the views of Mike Poor. We do considder the use of depth

Kinda wondering if we can't get different sids for offical snort sigs and yours.

Even though it looks like this was triggered by the official snort rules, it would also have triggered yours..
(so, even the snort sigs with distance and depth and additional checks in it seemed to trigger this one, but I am at a loss as to why)

> +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++


#(2 - 72921) [2003-03-10 22:16:35] [snort/2087] SMTP From comment overflow IPv4: 61.166.111.106 -> 0.0.0.0

      hlen=5 TOS=0 dlen=1500 ID=10391 flags=2 offset=0 TTL=47 chksum=25777 TCP: port=58448 -> dport: 25 flags=***A**** seq=2384370835

      ack=2005365732 off=8 res=0 win=6432 urp=0 chksum=42532 Payload: length = 1448 

000 : 52 65 63 65 69 76 65 64 3A 20 66 72 6F 6D 20 74   Received: from t
010 : 61 69 70 65 69 6C 69 6E 6B 2E 6E 65 74 20 28 64   aipeilink.net (d
020 : 6F 63 73 69 73 31 33 30 2D 37 2E 6D 65 6E 74 61   ocsis130-7.menta
030 : 2E 6E 65 74 20 5B 36 32 2E 35 37 2E 31 33 30 2E   .net [62.57.130.
040 : 37 5D 29 0D 0A 09 62 79 20 6C 6F 63 61 6C 68 6F   7])...by localho
050 : 73 74 2E 6C 6F 63 61 6C 64 6F 6D 61 69 6E 20 28   st.localdomain (
060 : 38 2E 39 2E 33 2F 38 2E 38 2E 37 29 20 77 69 74   8.9.3/8.8.7) wit
070 : 68 20 45 53 4D 54 50 20 69 64 20 47 41 41 30 31   h ESMTP id GAA01
080 : 32 33 33 3B 0D 0A 09 54 75 65 2C 20 31 31 20 4D   233;...Tue, 11 M
090 : 61 72 20 32 30 30 33 20 30 36 3A 30 32 3A 35 37   ar 2003 06:02:57
0a0 : 20 2B 30 38 30 30 0D 0A 4D 65 73 73 61 67 65 2D    +0800..Message-
0b0 : 49 44 3A 20 3C 30 30 30 30 34 31 36 36 34 36 37   ID: <00004166467
0c0 : 30 24 30 30 30 30 31 31 62 64 24 30 30 30 30 35   0$000011bd$00005
0d0 : 66 34 33 40 6D 31 2E 64 6E 73 69 78 2E 63 6F 6D   f43@m1.dnsix.com
0e0 : 3E 0D 0A 54 6F 3A 20 3C 6A 6B 6E 69 67 68 74 40   >..To: , , ,..        ..
150 : 46 72 6F 6D 3A 20 22 70 61 75 6C 61 22 20 3C 70   From: "paula" 
..Subject: Has

Do you need help?X

180 : 20 59 6F 75 72 20 49 64 65 6E 74 69 74 79 20 42    Your Identity B
190 : 65 65 6E 20 53 74 6F 6C 65 6E 20 20 20 28 73 6E   een Stolen   (sn
1a0 : 64 73 6B 6E 29 0D 0A 44 61 74 65 3A 20 53 75 6E   dskn)..Date: Sun
1b0 : 2C 20 31 34 20 4A 75 6C 20 32 30 30 32 20 30 36   , 14 Jul 2002 06
1c0 : 3A 32 33 3A 34 34 20 2D 31 39 30 30 0D 0A 4D 49   :23:44 -1900..MI
1d0 : 4D 45 2D 56 65 72 73 69 6F 6E 3A 20 31 2E 30 0D   ME-Version: 1.0.
1e0 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
1f0 : 65 78 74 2F 70 6C 61 69 6E 3B 0D 0A 09 63 68 61   ext/plain;...cha
200 : 72 73 65 74 3D 22 57 69 6E 64 6F 77 73 2D 31 32   rset="Windows-12
210 : 35 32 22 0D 0A 43 6F 6E 74 65 6E 74 2D 54 72 61   52"..Content-Tra
220 : 6E 73 66 65 72 2D 45 6E 63 6F 64 69 6E 67 3A 20   nsfer-Encoding: 
230 : 37 62 69 74 0D 0A 52 65 70 6C 79 2D 54 6F 3A 20   7bit..Reply-To: 
240 : 66 75 68 72 6D 61 6E 6E 40 6C 69 62 65 72 6F 6D   fuhrmann@liberom
250 : 61 69 6C 2E 63 6F 6D 0D 0A 58 2D 4D 61 69 6C 65   ail.com..X-Maile
260 : 72 3A 20 41 4F 4C 20 35 2E 30 20 66 6F 72 20 57   r: AOL 5.0 for W
270 : 69 6E 64 6F 77 73 20 73 75 62 20 31 33 38 0D 0A   indows sub 138..
280 : 0D 0A 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E   ..<><><><><><><>
290 : 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E   <><><><><><><><>
2a0 : 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E   <><><><><><><><>
2b0 : 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 0D 0A   <><><><><><><>..
2c0 : 42 72 61 6E 64 2D 4E 65 77 20 56 45 52 53 49 4F   Brand-New VERSIO
2d0 : 4E 20 38 2E 32 20 4A 75 73 74 20 52 65 6C 65 61   N 8.2 Just Relea
2e0 : 73 65 64 3A 0D 0A 41 73 74 6F 75 6E 64 69 6E 67   sed:..Astounding
2f0 : 20 4E 65 77 20 53 6F 66 74 77 61 72 65 20 4C 65    New Software Le

Do you need more help?X

300 : 74 73 20 59 6F 75 20 46 69 6E 64 0D 0A 4F 75 74   ts You Find..Out
310 : 20 41 6C 6D 6F 73 74 20 41 4E 59 54 48 49 4E 47    Almost ANYTHING
320 : 20 61 62 6F 75 74 20 41 4E 59 4F 4E 45 2E 2E 2E    about ANYONE...
330 : 0D 0A 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E   ..<><><><><><><>
340 : 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E   <><><><><><><><>
350 : 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E   <><><><><><><><>
360 : 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 3C 3E 0D 0A   <><><><><><><>..
370 : 0D 0A 44 6F 77 6E 6C 6F 61 64 20 69 74 20 72 69   ..Download it ri
380 : 67 68 74 20 6E 6F 77 20 28 6E 6F 20 63 68 61 72   ght now (no char
390 : 67 65 20 63 61 72 64 20 6E 65 65 64 65 64 29 3A   ge card needed):
3a0 : 0D 0A 0D 0A 2A 20 46 6F 72 20 74 68 65 20 62 72   ....* For the br
3b0 : 61 6E 64 2D 6E 65 77 20 56 45 52 53 49 4F 4E 20   and-new VERSION 
3c0 : 38 2E 32 2C 20 77 69 74 68 20 61 63 63 65 73 73   8.2, with access
3d0 : 20 74 6F 20 2A 2A 20 0D 0A 2A 2A 2A 20 32 30 30    to ** ..*** 200
3e0 : 2B 20 6D 69 6C 6C 69 6F 6E 20 72 65 63 6F 72 64   + million record
3f0 : 73 20 6F 6E 20 55 2E 53 2E 20 63 69 74 69 7A 65   s on U.S. citize
400 : 6E 73 20 61 6C 6F 6E 65 2C 20 2A 2A 2A 2A 20 0D   ns alone, **** .
410 : 0A 2A 20 63 6C 69 63 6B 20 68 65 72 65 3A 20 2A   .* click here: *
420 : 2A 20 0D 0A 0D 0A 3C 61 20 68 72 65 66 3D 22 68   * ......http:/
460 : 2F 32 30 30 2E 31 36 30 2E 32 35 33 2E 32 34 35   /200.160.253.245
470 : 2F 66 72 65 65 68 74 2F 6C 76 32 78 2E 68 74 6D   /freeht/lv2x.htm

Can we help you?X

480 : 6C 20 3C 2F 61 3E 0D 0A 0D 0A 44 69 73 63 6F 76   l ....Discov
490 : 65 72 20 45 56 45 52 59 54 48 49 4E 47 20 79 6F   er EVERYTHING yo
4a0 : 75 20 65 76 65 72 20 77 61 6E 74 65 64 20 74 6F   u ever wanted to
4b0 : 20 6B 6E 6F 77 20 61 62 6F 75 74 3A 0D 0A 0D 0A    know about:....
4c0 : 2A 20 79 6F 75 72 20 66 72 69 65 6E 64 73 0D 0A   * your friends..
4d0 : 2A 2A 20 79 6F 75 72 20 66 61 6D 69 6C 79 0D 0A   ** your family..
4e0 : 2A 2A 2A 20 79 6F 75 72 20 65 6E 65 6D 69 65 73   *** your enemies
4f0 : 0D 0A 2A 20 79 6F 75 72 20 65 6D 70 6C 6F 79 65   ..* your employe
500 : 65 73 0D 0A 2A 2A 20 79 6F 75 72 73 65 6C 66 20   es..** yourself 
510 : 2D 20 49 73 20 53 6F 6D 65 6F 6E 65 20 55 73 69   - Is Someone Usi
520 : 6E 67 20 59 6F 75 72 20 49 64 65 6E 74 69 74 79   ng Your Identity
530 : 3F 0D 0A 2A 2A 2A 20 65 76 65 6E 20 79 6F 75 72   ?..*** even your
540 : 20 62 6F 73 73 21 0D 0A 0D 0A 7E 20 20 44 49 44    boss!....~  DID
550 : 20 59 4F 55 20 4B 4E 4F 57 20 79 6F 75 20 63 61    YOU KNOW you ca
560 : 6E 20 73 65 61 72 63 68 20 66 6F 72 20 41 4E 59   n search for ANY
570 : 4F 4E 45 2C 20 41 4E 59 54 49 4D 45 2C 0D 0A 41   ONE, ANYTIME,..A
580 : 4E 59 57 48 45 52 45 2C 20 72 69 67 68 74 20 6F   NYWHERE, right o
590 : 6E 20 74 68 65 20 49 6E 74 65 72 6E 65 74 3F 20   n the Internet? 
5a0 : 7E 7E 0D 0A 0D 0A 44 6F                           ~~....Do

-- 
Michael Scheidell, CEO
SECNAP Network Security, LLC 
Sales: 866-SECNAPNET / (1-866-732-6276)
Main: 561-368-9561 / www.secnap.net
Looking for a career in Internet security?
http://www.secnap.net/employment/

----------------------------------------------------------------------------


Lose another weekend managing your IDS?

Can't find what you're looking for?X

Take back your personal time.
15-day free trial of StillSecure Border Guard.

http://www.securityfocus.com/stillsecure"> 
http://www.securityfocus.com/stillsecure
Received on Tue Mar 11 12:46:19 2003

This archive was generated by hypermail 2.1.8 : Wed Aug 23 2006 - 14:01:59 EDT

Contact Us  Legal Notices  Order Services Online 
Pantek Home  Privacy Policy  IT news  Site Map  Pantek Library