spinnt den der snort ?

Post Reply
Message
Author
Sellmi

spinnt den der snort ?

#1 Post by Sellmi »

hi leute ich habe immunix aufgesetzt , und mich damit sicher gefühlt bis ich dann festgestellt habe das es ein test 7350wurm.c
exploit gibt das den double free flaw in wuftpd 2.6.1 ausnützt, habe ich mal getestet un zack die bohne war ich root auf dem immunix rechner.
jetzt habe ich gerade snort darauf installiert mit den neuersten rulesets und zu testet ob snort alarm gibt, wenn ich meine "box r00t3 " ;=)
aber fast nix seht euch das an
TCP Options (3) => NOP NOP TS: 94978 190501283
[Xref => http://www.securityfocus.com/bid/3581]

[**] [1:1378:4] FTP wu-ftp file completion attempt { [**]
[Classification: Misc Attack] [Priority: 2]
05/18-18:59:41.878822 192.168.0.113:32867 -> 192.168.0.99:21
TCP TTL:64 TOS:0x0 ID:11573 IpLen:20 DgmLen:59 DF
***AP*** Seq: 0x49D56270 Ack: 0xE30AFA02 Win: 0x1920 TcpLen: 32
TCP Options (3) => NOP NOP TS: 94979 190501284
[Xref => http://www.securityfocus.com/bid/3581]

[**] [1:498:2] ATTACK RESPONSES id check returned root [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
05/18-18:59:41.935426 192.168.0.99:21 -> 192.168.0.113:32867
TCP TTL:64 TOS:0x10 ID:49517 IpLen:20 DgmLen:91 DF
***AP*** Seq: 0xE30AFA06 Ack: 0x49D562DB Win: 0x7D78 TcpLen: 32
TCP Options (3) => NOP NOP TS: 190501289 94980

[**] [1:1378:4] FTP wu-ftp file completion attempt { [**]
[Classification: Misc Attack] [Priority: 2]
05/18-19:02:04.188939 192.168.0.113:32869 -> 192.168.0.99:21
TCP TTL:64 TOS:0x0 ID:63572 IpLen:20 DgmLen:68 DF
***AP*** Seq: 0x532B5659 Ack: 0xEC0172E9 Win: 0x1920 TcpLen: 32
TCP Options (3) => NOP NOP TS: 109209 190515514
[Xref => http://www.securityfocus.com/bid/3581]

[**] [1:1378:4] FTP wu-ftp file completion attempt { [**]
[Classification: Misc Attack] [Priority: 2]
05/18-19:02:04.195660 192.168.0.113:32869 -> 192.168.0.99:21
TCP TTL:64 TOS:0x0 ID:63580 IpLen:20 DgmLen:59 DF
***AP*** Seq: 0x532B56C1 Ack: 0xEC017420 Win: 0x1920 TcpLen: 32
TCP Options (3) => NOP NOP TS: 109210 190515515
[Xref => http://www.securityfocus.com/bid/3581]


wiso bloss priority 2 ist das da angebracht bei einen remote root exploit ?

wie lässt sich das erklären ?

Post Reply