Archief - De topics van lang geleden

ICQ Login verkeer naar SMTP poort

16-03-2005, 11:02 door Anoniem, 9 reacties
Ik krijg de laatste 2 dagen veel meldingen op mijn IDS dat er veel ICQ login
verkeer naar mijn SMTP poort wordt gestuurd...iemand idee over nieuwe
exploit of virus?
Reacties (9)
16-03-2005, 14:30 door SirDice
Kun je een voorbeeld van zo'n alert laten zien? IP adressen mag je
vervangen voor x.x.x.x en y.y.y.y als je dat prettig vindt. De poortnummers
wel graag laten staan dan. Het zou namelijk net zo makkelijk om een false positive kunnen gaan.
16-03-2005, 14:58 door Su-Root
03/16/2005 02:12:18 BLEEDING-EDGE POLICY ICQ Login 195.121.6.176 :
26057 x.x.x.x : 25
Event: BLEEDING-EDGE POLICY ICQ Login (ID# 2001790)
Category: POLICY-VIOLATION
Level: 1

IP Header
Source IP: 195.121.6.176
Destination IP: x.x.x.x
Protocol: TCP
Time To Live: 121
Checksum: 46050

TCP Header
Source Port: 26057
Destination Port: 25
Sequence Number: 1967672062
Ack Number: 723954385
Window: 65106
Offset: 5
Checksum: 51931
Flags: URG: 0 ACK: 0 PSH: 1 RST: 0 SYN: 0 FIN: 0
Flags Description: PSH: Standard/Invalid

Payload Length: 1460

000 : 54 5A 50 59 2B 4C 37 63 58 64 31 49 64 77 74 43
TZPY+L7cXd1IdwtC
010 : 52 4A 58 32 34 75 37 0D 0A 71 51 37 68 61 45 69
RJX24u7..qQ7haEi
020 : 53 73 46 50 42 4C 58 44 78 72 54 34 70 34 36 61
SsFPBLXDxrT4p46a
030 : 4B 42 51 37 43 56 67 6C 49 4C 39 61 42 70 51 6B
KBQ7CVglIL9aBpQk
040 : 30 30 47 72 54 56 4B 41 58 79 30 6B 6C 2B 2B 64
00GrTVKAXy0kl++d
050 : 6D 72 53 49 43 51 5A 57 46 49 49 6F 61 51 74 4A
mrSICQZWFIIoaQtJ
060 : 51 6C 32 45 46 0D 0A 32 77 45 55 70 6F 41 64 68
Ql2EF..2wEUpoAdh
070 : 43 48 36 5A 66 73 42 62 49 42 41 42 6C 4F 32 73
CH6ZfsBbIBABlO2s
080 : 42 45 4A 62 42 5A 54 49 4D 77 6C 41 42 6B 49 6C
BEJbBZTIMwlABkIl
090 : 69 49 61 4E 69 49 53 49 51 57 6D 57 6C 6C 57 51
iIaNiISIQWmWllWQ
0a0 : 43 52 73 4C 32 54 4A 46 52 67 51 47 67 45 41 6B
CRsL2TJFRgQGgEAk
0b0 : 45 77 47 0D 0A 41 68 74 51 4D 71 6F 45 71 68 6D
EwG..AhtQMqoEqhm
0c0 : 38 4F 53 51 41 54 43 41 70 4F 79 49 4A 42 4D 68
8OSQATCApOyIJBMh
0d0 : 67 6B 47 71 31 45 67 54 42 59 53 46 49 42 4B 6A
gkGq1EgTBYSFIBKj
0e0 : 46 59 5A 6F 77 77 70 62 49 69 64 74 47 45 53 59
FYZowwpbIidtGESY
0f0 : 59 51 5A 56 51 57 51 77 6F 43 53 45 79 4D 49 4E
YQZVQWQwoCSEyMIN
100 : 30 0D 0A 4A 68 4D 6B 4F 71 65 73 75 5A 71 4A 69
0..JhMkOqesuZqJi
110 : 41 6B 51 49 5A 6F 77 67 51 59 4B 6A 55 6F 4C 55
AkQIZowgQYKjUoLU
120 : 62 53 43 6B 48 59 67 77 51 44 45 61 49 4D 6D 49
bSCkHYgwQDEaIMmI
130 : 6B 68 73 45 54 49 32 30 58 77 59 6D 43 32 49 75
khsETI20XwYmC2Iu
140 : 6B 53 42 33 4C 47 53 31 6A 59 4E 53 4E 44 52 0D
kSB3LGS1jYNSNDR.
150 : 0A 49 69 49 4A 42 41 44 57 36 56 45 45 45 4D
45 .IiIJBADW6VEEEME
160 : 36 69 5A 6D 45 53 4A 42 41 4A 6D 59 4C 57 39 54
6iZmESJBAJmYLW9T
170 : 4A 6D 59 42 51 32 39 73 6B 73 4F 79 6F 43 6D 51
JmYBQ29sksOyoCmQ
180 : 43 79 55 48 44 69 4A 30 6C 42 61 45 68 70 46 52
CyUHDiJ0lBaEhpFR
190 : 69 68 32 44 44 43 53 51 51 59 54 45 6D 0D 0A 57
ih2DDCSQQYTEm..W
1a0 : 36 54 4D 52 43 57 74 51 57 67 42 6F 4D 67 6A 51
6TMRCWtQWgBoMgjQ
1b0 : 49 30 6C 43 61 43 59 6C 6F 59 46 44 6C 34 6B 51
I0lCaCYloYFDl4kQ
1c0 : 51 6C 57 48 55 66 2B 4A 75 69 2B 57 67 45 4E 48
QlWHUf+Jui+WgENH
1d0 : 62 59 37 41 67 37 59 4E 6C 6F 42 42 44 56 7A 5A
bY7Ag7YNloBBDVzZ
1e0 : 59 43 4C 6F 68 6B 45 79 79 47 47 0D 0A 36 49 5A
YCLohkEyyGG..6IZ
1f0 : 45 6A 5A 47 6F 6A 58 59 75 56 55 69 51 70 76 56 EjZGojXYuVUiQpvV
200 : 7A 59 58 59 2B 73 63 48 35 61 68 53 77 56 39 44
zYXY+scH5ahSwV9D
210 : 31 63 56 4E 52 57 39 4F 4B 48 4C 53 52 53 78 4C
1cVNRW9OKHLSRSxL
220 : 53 69 78 65 38 43 72 35 6A 68 52 31 52 56 31 4A
Sixe8Cr5jhR1RV1J
230 : 74 70 4A 74 50 72 44 6D 46 0D 0A 52 39 69 4A 69 tpJtPrDmF..R9iJi
240 : 34 4E 4C 41 2B 64 4B 4F 6F 62 48 7A 6F 57 49 66
4NLA+dKOobHzoWIf
250 : 4F 4E 64 45 69 65 4B 74 43 45 78 73 6C 69 48 6B
ONdEieKtCExsliHk
260 : 54 48 68 7A 43 42 71 48 41 69 74 6A 59 31 41 49 THhzCBqHAitjY1AI
270 : 74 42 6B 53 31 35 72 7A 48 2F 4B 79 63 61 79 38 tBkS15rzH/Kycay8
280 : 66 56 58 38 36 78 65 0D 0A 4C 31 6B 61 36 6A 6A fVX86xe..L1ka6jj
290 : 36 54 31 4E 6B 4F 41 4E 2B 6D 42 64 6A 33 76 57
6T1NkOAN+mBdj3vW
2a0 : 6C 79 52 4B 35 4A 45 6B 53 4A 58 72 53 35 49 6C lyRK5JEkSJXrS5Il
2b0 : 63 6B 69 53 4A 45 70 5A 39 4E 59 36 30 74 6D 6D
ckiSJEpZ9NY60tmm
2c0 : 6A 39 42 2F 6C 45 68 48 36 42 4B 41 2F 53 41 55
j9B/lEhH6BKA/SAU
2d0 : 72 62 2B 61 55 0D 0A 67 6C 32 48 51 5A 4D 72 62
rb+aU..gl2HQZMrb
2e0 : 39 4A 6F 53 68 4D 6F 6F 6B 79 61 4B 4B 53 61 55
9JoShMookyaKKSaU
2f0 : 4C 41 44 43 49 42 71 4C 53 43 5A 34 68 4C 73 6B
LADCIBqLSCZ4hLsk
300 : 50 71 45 4C 42 59 47 43 42 46 57 42 4D 68 70 4C
PqELBYGCBFWBMhpL
310 : 45 49 51 51 61 75 69 6B 45 36 41 6B 47 49 67 69 EIQQauikE6AkGIgi
320 : 54 49 67 0D 0A 77 77 4B 31 47 46 53 4A 53 45 52
TIg..wwK1GFSJSER
330 : 4A 6E 73 31 57 61 6C 75 45 52 42 42 42 4F 6D 45
Jns1WaluERBBBOmE
340 : 54 4A 69 44 4D 33 45 51 6B 52 4C 41 47 45 67 61
TJiDM3EQkRLAGEga
350 : 49 41 4A 6C 6F 56 4F 45 36 77 57 6B 45 47 53 4A
IAJloVOE6wWkEGSJ
360 : 56 42 4D 68 68 75 45 51 51 4A 45 61 68 49 67 67
VBMhhuEQQJEahIgg
370 : 73 0D 0A 37 51 51 53 4C 79 59 67 45 31 5A 6D 62
s..7QQSLyYgE1Zmb
380 : 68 73 69 44 4A 6D 51 56 52 4C 52 54 62 71 43 6B
hsiDJmQVRLRTbqCk
390 : 51 41 51 64 42 67 68 68 61 32 4E 6F 55 6B 73 61
QAQdBghha2NoUksa
3a0 : 49 6A 63 78 55 62 65 59 69 57 51 47 4B 53 71 4E
IjcxUbeYiWQGKSqN
3b0 : 36 6D 42 4D 6A 52 45 4E 4D 42 68 4A 53 54 6F 0D
6mBMjRENMBhJSTo.
3c0 : 0A 73 32 47 74 69 4E 43 4E 45 73 71 43 51 51
5A .s2GtiNCNEsqCQQZ
3d0 : 4D 42 52 4F 79 6B 73 46 51 6E 75 57 68 73 45 7A
MBROyksFQnuWhsEz
3e0 : 4A 69 42 45 77 76 5A 42 42 4A 6B 53 41 6B 67 6B
JiBEwvZBBJkSAkgk
3f0 : 4E 59 47 46 73 51 64 41 77 59 67 74 61 72 56 32
NYGFsQdAwYgtarV2
400 : 65 37 6F 6C 4F 70 61 59 67 41 73 69 43 0D 0A 30 e7olOpaYgAsiC..0
410 : 4D 4D 67 42 70 49 45 51 71 46 61 73 6F 62 44 53
MMgBpIEQqFasobDS
420 : 6B 58 54 74 70 6E 54 5A 4A 6C 55 45 41 37 67 41
kXTtpnTZJlUEA7gA
430 : 7A 49 79 41 6D 5A 6E 52 36 6C 68 5A 32 47 47 37
zIyAmZnR6lhZ2GG7
440 : 61 38 67 71 54 6F 68 70 44 49 67 4D 77 6B 6D 4E
a8gqTohpDIgMwkmN
450 : 73 6C 6C 30 4E 6B 7A 45 61 6B 79 0D 0A 4E 47 57
sll0NkzEaky..NGW
460 : 61 67 73 45 53 49 59 72 38 4C 4E 71 4D 6C 6A 4A
agsESIYr8LNqMljJ
470 : 58 72 34 69 57 58 4B 75 2F 61 72 6A 51 76 74 68 Xr4iWXKu/arjQvth
480 : 73 65 4A 58 41 65 50 6B 39 37 50 49 6B 56 75 4A
seJXAePk97PIkVuJ
490 : 7A 53 65 6D 46 65 44 47 6D 55 4C 6F 79 6C 48 39
zSemFeDGmULoylH9
4a0 : 34 68 63 61 34 4E 70 74 39 0D 0A 36 38 38 50 34
4hca4Npt9..688P4
4b0 : 4C 76 43 6C 38 35 45 66 4F 69 45 31 32 49 6B 6B LvCl85EfOiE12Ikk
4c0 : 6E 77 70 36 6D 55 4E 43 63 56 72 69 34 6C 6C 69
nwp6mUNCcVri4lli
4d0 : 51 36 43 49 54 45 32 4C 43 49 49 2B 55 47 52 35
Q6CITE2LCII+UGR5
4e0 : 45 79 49 49 42 43 5A 41 30 78 4C 45 48 77 71 36
EyIIBCZA0xLEHwq6
4f0 : 59 36 5A 4F 56 67 49 0D 0A 46 57 4B 57 57 51 4D
Y6ZOVgI..FWKWWQM
500 : 43 79 34 52 6A 43 64 6C 49 39 47 64 34 47 54 6B
Cy4RjCdlI9Gd4GTk
510 : 67 4C 48 54 68 5A 77 41 38 4C 7A 54 46 48 41 79
gLHThZwA8LzTFHAy
520 : 54 48 41 42 63 46 41 71 64 67 48 6D 57 67 79 56
THABcFAqdgHmWgyV
530 : 59 39 7A 78 63 53 31 30 35 52 61 53 56 4A 4A 58
Y9zxcS105RaSVJJX
540 : 69 34 6C 72 70 0D 0A 79 69 30 6B 71 53 53 73 4C i4lrp..yi0kqSSsL
550 : 69 70 4E 59 36 46 76 39 72 53 56 70 4A 57 68 78
ipNY6Fv9rSVpJWhx
560 : 42 61 6F 52 78 30 50 77 74 50 33 37 38 30 70 6F
BaoRx0PwtP3780po
570 : 77 56 46 42 66 30 70 66 30 6F 43 32 69 6C 42 6E
wVFBf0pf0oC2ilBn
580 : 6A 49 6F 42 70 57 73 4D 31 58 5A 45 7A 56 6F 4A
jIoBpWsM1XZEzVoJ
590 : 66 46 32 0D 0A 2B 45 46 73 4F 77 41 41 41 41 43
fF2..+EFsOwAAAAC
5a0 : 43 41 41 41 4A 58 51 47 41 50 67 41 41 65 41 43
CAAAJXQGAPgAAeAC
5b0 : 45 41 70 47 EApG
16-03-2005, 22:37 door Su-Root
Niemand dus, zoals ik al dacht!
16-03-2005, 22:46 door Dr.NO
wellicht handig om het destination ip juist wel te laten
zien, kunnen we zien wat daar aan hangt...
16-03-2005, 23:26 door [Account Verwijderd]
[Verwijderd]
17-03-2005, 09:56 door Su-Root
Door NielsT
Door Su-Root
(...)
050 : 6D 72 53 49 43 51 5A 57 46 49 49 6F 61 51 74 4A
mrSICQZWFIIoaQtJ
(...)

Ik denk inderdaad dat het een false positive is. Misschien
dat je eens kan kijken waar deze rule precies naar kijkt.
Misschien dat deze op een vrij korte string scanned
("ICQ"???) en dat deze toenvallig voorkomt (in een
attachment?) Is deze rule recent toegevoegd?

alert tcp $HOME_NET any -> $EXTERNAL_NET 5190
(msg:"BLEEDING-EDGE POLICY ICQ Login"; content:"|494351|"; offset:
36; depth: 50; flow:established; classtype:policy-violation;
reference:url,http://www.icq.com/icqtour/firewall/netadmin.html;
sid:2001790; rev:4;)
17-03-2005, 09:58 door Su-Root
Door Dr.NO
wellicht handig om het destination ip juist wel te laten
zien, kunnen we zien wat daar aan hangt...

destination ip is in alle gevallen mijn Server poort 25
17-03-2005, 10:27 door Puk.vd.Pee
Het ipadres 195.121.6.176 komt nogal voor in google.
Met name op pagina's met spammeldingen.
Misschien een spambot die via ICQ (of het protocol) opzoek
is naar nieuwe open relays om nog meer spam te versturen.
17-03-2005, 11:46 door SirDice
Heb jij toevallig ook een mailserver draaien? In dat geval zou ik dit als een
false positive zien. De rule is erg summier en gevoelig hiervoor. De enige
voorwaarden zijn namelijk dat de destination poort 5190 moet zijn en dat
de tekst "ICQ" op een bepaalde plaats in het pakketje voorkomt. Bovendien
geeft "BLEEDING-EDGE" eigenlijk al aan dat de rule nog niet helemaal "af"
is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure