Cú pháp: perl 17696.pl <địa chỉ web server> 50
Luật dưới đây được cung cấp bởi emergingthreat giúp cảnh báo khi attacker khai thác lỗ hổng thông qua công cụ Apache Killer.
69
alert tcp $EXTERNAL_NET any -> $HOME_NET
$HTTP_PORTS; Chỉ hướng tấn công là từ mạng phía bên ngoài vào mạng nội bộ ở cổng http.
flow:established,to_server; Hướng kết nối tới server, trạng thái
kết nối là established.
content:"Range|3a|bytes=0-,5-0,5-1,5-2,5-3,5-4,5-
5,5-6,5-7,5-8,5-9,5-10,5-11,5-12,5-13,5-14"; Chuỗi nội dung nhận dạng dạng tấn công này.
http_header; fast_pattern:only; chuỗi nội dung phía trên được
kiểm tra trong HTTP Header.
reference:url,seclists.org/fulldisclosure/2011/Aug/
175; Tham chiếu đến nội dung chi tiết.
5.5. Microsoft Security Bulletin MS12-020
Đây là một lỗ hổng liên quan đến dịch vụ Remote Desktop được sử dụng bởi Termial Service (dịch vụ giúp điều khiển từ xa) trên cổng 3389 trên nền tảng hệ điều hành Windows được phát hiện vào tháng 3/2012. Lỗ hổng này được các attacker khai thác nhằm khiến hệ thống bị lỗi dần đến khởi động lại hoặc lỗi mà hình xanh. Lỗ hổng bảo mật này ảnh hưởng lên nhiều phiên bản khác nhau từ Windows XP, Windows Server 2003, Windows 7 và Windows Server 2008.
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET SCAN Kingcope KillApache.pl Apache mod_deflate DoS attempt"; flow:established,to_server;
content:"Range|3a|bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,5- 7,5-8,5-9,5-10,5-11,5-12,5-13,5-14"; http_header;
fast_pattern:only;
reference:url,seclists.org/fulldisclosure/2011/Aug/175; classtype:attempted-dos; sid:2013472; rev:2;)
70
Chi tiết về lỗ hổng này được cung c ấp tại địa chỉ: http://technet.microsoft.com/en- us/security/bulletin/ms12-020. Mã khai thác c ủa lỗ hổng bảo mật này có thể download tại địa chỉ: http://www.exploit-db.com/exploits/18606/.
Cú pháp: nc SERVER 3389 < termdd_1.dat Luật Snort:
alert tcp any any -> $HOME_NET 3389; Cảnh báo truy cập từ
vùng mạng bất kỳ tới mạng HOME_NET ở cổng 3389.
flow:to_server,established; Hướng tới phía Server, trạng thái
kết nối established.
content:"|03 00|"; depth:2;03=ETX (End of Text), 00=NULL
char. Tìm nội dụng này trong khoảng từ byte thứ 0 tới byte thứ 2
content:"|7f 65 82 01 94|"; distance:24; within:5;
7f=Delete, 65=e, 82=, (dấu phẩy), 01=SOH (Start of Heading), 94=” (dấu ngo ặc kép bên phải). Từ mẫu trên bỏ qua 24 bytes, tìm kiếm nội dung "|7f 65 82 01 94|" trong vòng 5 bytes.
content:"|30 19|"; distance:9; within:2; 03=ETX (End of
Text), 19=EM (End of Medium). Từ mẫu trên bỏ qua 9 bytes và tìm kiếm nội dung "|30 19|" trong vòng 2 bytes.
alert tcp any any -> $HOME_NET 3389 (msg:"ET EXPLOIT Microsoft RDP Server targetParams Exploit Attempt"; flow:to_server,established; content:"|03 00|"; depth:2; content:"|7f 65 82 01 94|"; distance:24; within:5;
content:"|30 19|"; distance:9; within:2; byte_test:1,<,6,3,relative;
reference:url,msdn.microsoft.com/en-
us/library/cc240836.aspx; reference:cve,2012-0002;
71
CHƯƠNG 6: CÀI ĐẶT VÀ CẤU HÌNH SNORT
6.1 Sơ đồ hệ thống