
<div dir="ltr"><div>This is a very well instrumented check/block/sig etc.. for most IDS/IPS systems..  Probably the script triggers the event since it sends traffic attempting to detect whether the system is vulnerable.<br>

</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Nov 8, 2013 at 7:16 AM, rmkml <span dir="ltr"><<a href="mailto:rmkml@yahoo.fr" target="_blank">rmkml@yahoo.fr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hi Carlopmart,<br>

<br>

Well this sig only detect UUID and Bind (not overflow),<br>

<br>

MS08-067 already detected by another sigs:<br>

2008690 + 2008691 + 2008692 + 2008693 + 2008694 + 2008696 +<br>

2008697 + 2008698 + 2008699 + 2008700 + 2008702 + 2008703 +<br>

2008704 + 2008705 + 2008706 + 2008707 + 2008708 + 2008709 +<br>

2008710 + 2008712 + 2008713 + 2008714 + 2008715 + 2008717 +<br>

2008718 + 2008719 + 2008720 + 2008721.<br>

<br>

Maybe disable/delete this sig (2008701) ?<br>

<br>

Regards<span class="HOEnZb"><font color="#888888"><br>

@Rmkml</font></span><div class="HOEnZb"><div class="h5"><br>

<br>

<br>

<br>

On Tue, 5 Nov 2013, Peter Manev wrote:<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

On Tue, Nov 5, 2013 at 12:59 PM, C. L. Martinez <<a href="mailto:carlopmart@gmail.com" target="_blank">carlopmart@gmail.com</a>> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

On Tue, Nov 5, 2013 at 11:54 AM, Peter Manev <<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

On Tue, Nov 5, 2013 at 12:42 PM, C. L. Martinez <<a href="mailto:carlopmart@gmail.com" target="_blank">carlopmart@gmail.com</a>> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hi all,<br>

<br>

 From time to time my suricata sensors (all of them using release<br>

1.4.6) trigger alerts about MS08-06 vulnerability in my servers and/or<br>

workstations (ten or fifteen times a day).<br>

<br>

 I run the following nmap script<br>

<a href="http://nmap.org/nsedoc/scripts/smb-check-vulns.html" target="_blank">http://nmap.org/nsedoc/<u></u>scripts/smb-check-vulns.html</a> to check this<br>

vulnerability, and result is not vulnerable. For example:<br>

<br>

root@debian01:/tmp# nmap --script smb-check-vulns.nse -p445 10.15.1.2<br>

<br>

Starting Nmap 6.00 ( <a href="http://nmap.org" target="_blank">http://nmap.org</a> ) at 2013-11-05 11:38 UTC<br>

Nmap scan report for mytest.server.local (10.15.1.2)<br>

Host is up (0.00049s latency).<br>

PORT    STATE SERVICE<br>

445/tcp open  microsoft-ds<br>

<br>

Host script results:<br>

| smb-check-vulns:<br>

|   MS08-067: NOT VULNERABLE<br>

|   Conficker: Likely CLEAN<br>

|   regsvc DoS: CHECK DISABLED (add '--script-args=unsafe=1' to run)<br>

|   SMBv2 DoS (CVE-2009-3103): CHECK DISABLED (add<br>

'--script-args=unsafe=1' to run)<br>

|   MS06-025: CHECK DISABLED (remove 'safe=1' argument to run)<br>

|_  MS07-029: CHECK DISABLED (remove 'safe=1' argument to run)<br>

<br>

Nmap done: 1 IP address (1 host up) scanned in 0.43 seconds<br>

<br>

Then, why this alert is triggered?? Any idea??<br>

</blockquote>

<br>

<br>

What is the sig/alert that is generated ?<br>

</blockquote>

<br>

This one:<br>

<br>

ET-emerging-netbios.rules:<u></u>alert tcp any any -> $HOME_NET 445 (msg:"ET<br>

NETBIOS Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067<br>

(11)"; flow:established,to_server; content:"|0B|"; offset:2; depth:1;<br>

content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|";<br>

reference:url,<a href="http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx" target="_blank">www.microsoft.<u></u>com/technet/security/Bulletin/<u></u>MS08-067.mspx</a>;<br>

reference:cve,2008-4250; reference:url,<a href="http://www.kb.cert.org/vuls/id/827267" target="_blank">www.kb.cert.org/<u></u>vuls/id/827267</a>;<br>

reference:url,<a href="http://doc.emergingthreats.net/bin/view/Main/2008701" target="_blank">doc.<u></u>emergingthreats.net/bin/view/<u></u>Main/2008701</a>;<br>

classtype:attempted-admin; sid:2008701; rev:5;)<br>

<br>

and sensor alert is:<br>

<br>

11/05/2013-08:05:11.830795  [**] [1:2008701:5] ET NETBIOS Microsoft<br>

Windows NETAPI Stack Overflow Inbound - MS08-067 (11) [**]<br>

[Classification: Attempted Administrator Privilege Gain] [Priority: 1]<br>

{TCP} <a href="http://10.17.23.33:1306" target="_blank">10.17.23.33:1306</a> -> <a href="http://10.15.1.2:445" target="_blank">10.15.1.2:445</a><br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Do you alert when doing the scan (if you run the scan fro the "external net") ?<br>

</blockquote>

<br>

Nop, alert is triggered when workstations tries to access to file servers ..<br>

<br>

</blockquote>

<br>

Is it possible to share a small traffic pcap, where you can reproduce the issue?<br>

<br>

<br>

-- <br>

Regards,<br>

Peter Manev<br>

</blockquote>

______________________________<u></u>_________________<br>

Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@<u></u>openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/<u></u>support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.<u></u>openinfosecfoundation.org/<u></u>mailman/listinfo/oisf-users</a><br>

OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.<u></u>openinfosecfoundation.org/</a><br>

</div></div></blockquote></div><br></div>