[vox-tech] IDS alert
Nick Donnelly
vox-tech@lists.lugod.org
Thu, 11 Jul 2002 18:20:30 -0700
Pete said I might try forwarding this along--does anyone else's
pacbell dsl identify itself like Pete's does (i.e.
*.dsl.scrm01.pacbell.net)? Anyone have a guess as to why only Pete's
setup sets off snort?
-Nick
>Hi Pete,
>Your emails keep triggering snort, my so-called Intrusion Detection
>System, with a "Virus - Possible scr Worm" alert. The text that
>triggers the alarm is the ".scr" that appears in
>"dsl-64-164-47-8.dsl.scrm01.pacbell.net [64.164.7.8]" below . This
>is obviously a domain name, and not evidence of a virus, but I
>thought I'd let you know anyways, for fun.
>
>Also,I guess I am wondering why only your pacbell DSL addy has
>".scr" in it--don't a lot of other people on the list use the same
>service?
>
>The snort rule is:
>
>alert tcp any 110 -> any any (msg:"Virus - Possible scr Worm";
>content: ".scr"; nocase; sid:729; classtype:misc-activity; rev:3;)
>
>An example of a packet that triggers the rule is:
>
>
>length = 1412
>
> 000 : 2B 4F 4B 20 33 35 33 36 20 6F 63 74 65 74 73 0D
>+OK 3536 octets.
> 010 : 0A 52 65 74 75 72 6E 2D 70 61 74 68 3A 20 3C 76
>.Return-path: <v
> 020 : 6F 78 2D 74 65 63 68 2D 61 64 6D 69 6E 40 6C 69
>ox-tech-admin@li
> 030 : 73 74 73 2E 6C 75 67 6F 64 2E 6F 72 67 3E 0D 0A
>sts.lugod.org>..
> 040 : 45 6E 76 65 6C 6F 70 65 2D 74 6F 3A 20 6E 69 63
>Envelope-to: nic
> 050 : 6B 5F 64 6F 6E 6E 65 6C 6C 79 40 64 69 61 67 65
>k_donnelly@diage
> 060 : 6E 63 65 2E 63 6F 6D 0D 0A 44 65 6C 69 76 65 72
>nce.com..Deliver
> 070 : 79 2D 64 61 74 65 3A 20 54 75 65 2C 20 30 39 20
>y-date: Tue, 09
> 080 : 4A 75 6C 20 32 30 30 32 20 31 35 3A 33 34 3A 35
>Jul 2002 15:34:5
> 090 : 35 20 2D 30 34 30 30 0D 0A 52 65 63 65 69 76 65 5
>-0400..Receive
> 0a0 : 64 3A 20 66 72 6F 6D 20 5B 31 36 38 2E 31 35 30
>d: from [168.150
> 0b0 : 2E 32 35 31 2E 31 31 5D 20 28 68 65 6C 6F 3D 77
>.251.11] (helo=w
> 0c0 : 77 77 2E 6C 69 76 65 70 65 6E 67 75 69 6E 2E 63
>ww.livepenguin.c
> 0d0 : 6F 6D 29 0D 0A 09 62 79 20 74 68 6F 72 2E 64 6E
>om)...by thor.dn
> 0e0 : 73 68 6F 74 65 6C 2E 63 6F 6D 20 77 69 74 68 20
>shotel.com with
> 0f0 : 65 73 6D 74 70 20 28 45 78 69 6D 20 33 2E 33 35
>esmtp (Exim 3.35
> 100 : 20 23 31 29 0D 0A 09 69 64 20 31 37 53 30 6C 44
>#1)...id 17S0lD
> 110 : 2D 30 30 30 36 51 6E 2D 30 30 0D 0A 09 66 6F 72
>-0006Qn-00...for
> 120 : 20 6E 69 63 6B 5F 64 6F 6E 6E 65 6C 6C 79 40 64
>nick_donnelly@d
> 130 : 69 61 67 65 6E 63 65 2E 63 6F 6D 3B 20 54 75 65
>iagence.com; Tue
> 140 : 2C 20 30 39 20 4A 75 6C 20 32 30 30 32 20 31 35 ,
>09 Jul 2002 15
> 150 : 3A 33 34 3A 35 35 20 2D 30 34 30 30 0D 0A 52 65
>:34:55 -0400..Re
> 160 : 63 65 69 76 65 64 3A 20 66 72 6F 6D 20 77 77 77
>ceived: from www
> 170 : 2E 6C 69 76 65 70 65 6E 67 75 69 6E 2E 63 6F 6D
>.livepenguin.com
> 180 : 20 28 6C 69 76 65 70 65 6E 67 75 69 6E 20 5B 31
>(livepenguin [1
> 190 : 32 37 2E 30 2E 30 2E 31 5D 29 0D 0A 09 62 79 20
>27.0.0.1])...by
> 1a0 : 77 77 77 2E 6C 69 76 65 70 65 6E 67 75 69 6E 2E
>www.livepenguin.
> 1b0 : 63 6F 6D 20 28 50 6F 73 74 66 69 78 29 20 77 69
>com (Postfix) wi
> 1c0 : 74 68 20 45 53 4D 54 50 0D 0A 09 69 64 20 38 35
>th ESMTP...id 85
> 1d0 : 34 30 43 36 36 31 43 41 3B 20 54 75 65 2C 20 20
>40C661CA; Tue,
> 1e0 : 39 20 4A 75 6C 20 32 30 30 32 20 31 32 3A 33 36 9
>Jul 2002 12:36
> 1f0 : 3A 30 31 20 2D 30 37 30 30 20 28 50 44 54 29 0D
>:01 -0700 (PDT).
> 200 : 0A 44 65 6C 69 76 65 72 65 64 2D 54 6F 3A 20 76
>.Delivered-To: v
> 210 : 6F 78 2D 74 65 63 68 40 6C 69 76 65 70 65 6E 67
>ox-tech@livepeng
> 220 : 75 69 6E 2E 63 6F 6D 0D 0A 52 65 63 65 69 76 65
>uin.com..Receive
> 230 : 64 3A 20 66 72 6F 6D 20 73 61 74 61 6E 2E 64 69
>d: from satan.di
> 240 : 61 62 6C 6F 2E 6C 6F 63 61 6C 6E 65 74 20 28 61
>ablo.localnet (a
> 250 : 64 73 6C 2D 36 34 2D 31 36 34 2D 34 37 2D 38 2E
>dsl-64-164-47-8.
> 260 : 64 73 6C 2E 73 63 72 6D 30 31 2E 70 61 63 62 65
>dsl.scrm01.pacbe
> 270 : 6C 6C 2E 6E 65 74 20 5B 36 34 2E 31 36 34 2E 34
>ll.net [64.164.4
> 280 : 37 2E 38 5D 29 0D 0A 09 62 79 20 77 77 77 2E 6C
>7.8])...by www.l
> 290 : 69 76 65 70 65 6E 67 75 69 6E 2E 63 6F 6D 20 28
>ivepenguin.com (
> 2a0 : 50 6F 73 74 66 69 78 29 20 77 69 74 68 20 45 53
>Postfix) with ES
> 2b0 : 4D 54 50 20 69 64 20 36 38 42 34 34 36 36 31 31
>MTP id 68B446611
> 2c0 : 31 0D 0A 09 66 6F 72 20 3C 76 6F 78 2D 74 65 63
>1...for <vox-tec
> 2d0 : 68 40 6C 69 73 74 73 2E 6C 75 67 6F 64 2E 6F 72
>h@lists.lugod.or
> 2e0 : 67 3E 3B 20 54 75 65 2C 20 20 39 20 4A 75 6C 20
>g>; Tue, 9 Jul
> 2f0 : 32 30 30 32 20 31 32 3A 33 35 3A 31 33 20 2D 30
>2002 12:35:13 -0
> 300 : 37 30 30 20 28 50 44 54 29 0D 0A 52 65 63 65 69
>700 (PDT)..Recei
> 310 : 76 65 64 3A 20 66 72 6F 6D 20 70 20 62 79 20 73
>ved: from p by s
> 320 : 61 74 61 6E 2E 64 69 61 62 6C 6F 2E 6C 6F 63 61
>atan.diablo.loca
> 330 : 6C 6E 65 74 20 77 69 74 68 20 6C 6F 63 61 6C 20
>lnet with local
> 340 : 28 45 78 69 6D 20 33 2E 33 35 20 23 31 20 28 44
>(Exim 3.35 #1 (D
> 350 : 65 62 69 61 6E 29 29 0D 0A 09 69 64 20 31 37 53
>ebian))...id 17S
> 360 : 30 6C 56 2D 30 30 30 36 58 46 2D 30 30 0D 0A 09
>0lV-0006XF-00...
> 370 : 66 6F 72 20 3C 76 6F 78 2D 74 65 63 68 40 6C 69
>for <vox-tech@li
> 380 : 73 74 73 2E 6C 75 67 6F 64 2E 6F 72 67 3E 3B 20
>sts.lugod.org>;
> 390 : 54 75 65 2C 20 30 39 20 4A 75 6C 20 32 30 30 32
>Tue, 09 Jul 2002
> 3a0 : 20 31 32 3A 33 35 3A 31 33 20 2D 30 37 30 30 0D
>12:35:13 -0700.
> 3b0 : 0A 54 6F 3A 20 76 6F 78 2D 74 65 63 68 40 6C 69
>.To: vox-tech@li
> 3c0 : 73 74 73 2E 6C 75 67 6F 64 2E 6F 72 67 0D 0A 4D
>sts.lugod.org..M
> 3d0 : 65 73 73 61 67 65 2D 49 44 3A 20 3C 32 30 30 32
>essage-ID: <2002
> 3e0 : 30 37 30 39 31 39 33 35 31 32 2E 47 41 32 35 30
>0709193512.GA250
> 3f0 : 39 31 40 64 69 72 61 63 2E 6F 72 67 3E 0D 0A 4D
>91@dirac.org>..M
> 400 : 69 6D 65 2D 56 65 72 73 69 6F 6E 3A 20 31 2E 30
>ime-Version: 1.0
> 410 : 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20
>..Content-Type:
> 420 : 6D 75 6C 74 69 70 61 72 74 2F 73 69 67 6E 65 64
>multipart/signed
> 430 : 3B 20 6D 69 63 61 6C 67 3D 70 67 70 2D 73 68 61 ;
>micalg=pgp-sha
> 440 : 31 3B 0D 0A 09 70 72 6F 74 6F 63 6F 6C 3D 22 61
>1;...protocol="a
> 450 : 70 70 6C 69 63 61 74 69 6F 6E 2F 70 67 70 2D 73
>pplication/pgp-s
> 460 : 69 67 6E 61 74 75 72 65 22 3B 20 62 6F 75 6E 64
>ignature"; bound
> 470 : 61 72 79 3D 22 74 4B 57 32 49 55 74 73 71 74 44
>ary="tKW2IUtsqtD
> 480 : 52 7A 74 64 54 22 0D 0A 43 6F 6E 74 65 6E 74 2D
>RztdT"..Content-
> 490 : 44 69 73 70 6F 73 69 74 69 6F 6E 3A 20 69 6E 6C
>Disposition: inl
> 4a0 : 69 6E 65 0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A
>ine..User-Agent:
> 4b0 : 20 4D 75 74 74 2F 31 2E 33 2E 32 38 69 0D 0A 46
>Mutt/1.3.28i..F
> 4c0 : 72 6F 6D 3A 20 50 65 74 65 72 20 4A 61 79 20 53
>rom: Peter Jay S
> 4d0 : 61 6C 7A 6D 61 6E 20 3C 70 40 64 69 72 61 63 2E
>alzman <p@dirac.
> 4e0 : 6F 72 67 3E 0D 0A 53 75 62 6A 65 63 74 3A 20 5B
>org>..Subject: [
> 4f0 : 76 6F 78 2D 74 65 63 68 5D 20 6C 69 6E 75 78 20
>vox-tech] linux
> 500 : 6B 65 72 6E 65 6C 20 6D 6F 64 75 6C 65 20 74 75
>kernel module tu
> 510 : 74 6F 72 69 61 6C 0D 0A 53 65 6E 64 65 72 3A 20
>torial..Sender:
> 520 : 76 6F 78 2D 74 65 63 68 2D 61 64 6D 69 6E 40 6C
>vox-tech-admin@l
> 530 : 69 73 74 73 2E 6C 75 67 6F 64 2E 6F 72 67 0D 0A
>ists.lugod.org..
> 540 : 45 72 72 6F 72 73 2D 54 6F 3A 20 76 6F 78 2D 74
>Errors-To: vox-t
> 550 : 65 63 68 2D 61 64 6D 69 6E 40 6C 69 73 74 73 2E
>ech-admin@lists.
> 560 : 6C 75 67 6F 64 2E 6F 72 67 0D 0A 58 2D 42 65 65
>lugod.org..X-Bee
> 570 : 6E 54 68 65 72 65 3A 20 76 6F 78 2D 74 65 63 68
>nThere: vox-tech
> 580 : 40 6C 69 73 @lis