Executable code was detected

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2002 ml@sikurezza.org
Soggetto: Executable code was detected
Mittente: Igor Falcomata'
Data: 6 Nov 2002 02:25:07 -0000

A meno che il tuo server non abbia un servizio sulla porta 1344 (e che l'ora
non tradisca la mia capacita' di comprensione), e' probabile che si tratti
di un qualcosa che il tuo sistema stava scaricando (update os/antivirus o
simile, oppure e' un proxy, etc.?) e che contiene appunto un pattern che si
trova facilmente negli shellcode degli exploit.

Uno dei (vari) grossi limiti di snort (e di altri ids) e' che non segue il
flow del traffico, si limita ad analizzare i singoli pacchetti, per cui
questo genere di (probabili) falsi positivi e' piuttosto comune, soprattutto
quando scarichi eseguibili/binari/archivi compressi & co.

ps: se cerchi su goole SHELLCODE x86 inc ebx NOOP trovi vari msg su varie
mailing list (e sono convinto che ci sia anche nelle faq di snort, anche se
e' troppo tardi per andare a controllare)
tipo:
http://www.der-keiler.de/Mailing-Lists/securityfocus/focus-ids/2002-04/0046.html
http://www.sikurezza.org/ml/07_02/msg00138.html
etc.

bye
Koba (moderatore)

--- Enclosed, please find the posted message.
From: "Salvatore Basso" <sasab<at>pixteam.com>
Subject: Executable code was detected
Date: Tue, 5 Nov 2002 14:11:04 +0100

Ciao a tutti, su una macchina con IIS5 e con Snort come IDS, ho trovato il
seguente messaggio:

[**] [1:1390:2] SHELLCODE x86 inc ebx NOOP [**]
[Classification: Executable code was detected] [Priority: 1]
11/05-12:14:41.445291 xxx.xxx.xxx.xxx:80 -> xxx.xxx.xxx.xxx:1344
TCP TTL:54 TOS:0x0 ID:25154 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0xF880B32  Ack: 0xC9F1F3BA  Win: 0x7D78  TcpLen: 20

ho cercato un p? di documentazione ma senza successo, a cosa ? riconducibile
questa warning ? ho controllato le porte aperte e non ve ne sono di
anomale...
Grazie.

                 - Salvatore

* nota per il moderatore
* ho cercato all'interno della lista ed ho trovato alcuni riferimenti che
per? non sono serviti a
*capire la natura del problema

----- End forwarded message -----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Executable code was detected, Fabio Panigatti

Data:
- precedente: Re: Bandwith manager, Igor Falcomata'
- successivo: Re: Richiesta Info [log analysis, correlation & co], Paolo Fornasari
- indice

Argomento:
- precedente: flood tcp?, Igor Falcomata'
- successivo: Re: Executable code was detected, Fabio Panigatti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005