Re: code red ii e altre sturie

Ma perchè non utilizzare un bello string matching nei nostri simpaticissimi
fairoull (iptables o ipfilter).

io ho risolto con iptables, snort 1.8 e hogwash

hogwash è molto carino, perchè interagisce con snort, però al posto di
chiudere porte, permette di matchare stringhe e non accettarle + :)

http://hogwash.sourceforge.net/

buona giornata :-)

----- Original Message -----
From: "scai" <scai@freemail.it>
To: <ml@sikurezza.org>
Sent: Wednesday, August 08, 2001 7:17 PM
Subject: code red ii e altre sturie


> che rottura sto code-red ...
> Come in molti avranno gia visto oltre al code-red worm originale e alla
sua
> variante random-seed , esiste un code-red v.II , che in realta' e'
parecchio
> diverso... exploita la stessa vunerabilita' ma trojana la macchina con
> root.exe etc.. ed e' in realta funzionante solo su w2k
> ( cosi come da advisory e analisy degli eeye...
> http://www.eeye.com/html/Research/Advisories/AL20010804.html )
>
> Tra la pletora di msg e doc che sono usciti (che ho letto solo in minima
> parte... :)  ho trovato parecchio interessante questo :
> http://iponeverything.net/CodeRed.html
> Fondamentalmente quello che fa anche snort.. (filtra sulla base del
> contenuto le sessioni http bastarde) ma fatto sui CISCO , usando ACL
> estese..
> Richiede almeno uno IOS 12.1(5)T ...   qualcuno ha provato / usato tali
> feature?
> (uffa io non posso testare... IOS troppo vecchi )
>
>
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List