-
- いいね!5
nishio hirokazu
@nishio
#pyspa root/confs/snort/rules/dos.rules のGoogleキャッシュによれば http://t.co/qGv58qD CVE-1999-0271 に関係するらしい
2011-08-07 01:54:04
nishio hirokazu
@nishio
#pyspa 1999年のこの脆弱性報告をsiteしてsnortがコード中にマジックナンバーとして埋め込んでいる
2011-08-07 01:58:55
tk0miya
@tk0miya
検出されたバイトシーケンスはReal Audio の脆弱性に関連しているようだ。でもport が異なっているので、このコードは動かないはずなのだが… という追い詰め方をしているらしい #pyspa
2011-08-07 02:00:35
nishio hirokazu
@nishio
#pyspa snortの http://t.co/qGv58qD はdstが7070であることを指定しているので9000だった今回のサーバが落ちたこととは直接的には関係しないはずであるというVの見解に同意。でも偶然で5バイトのマジックナンバーが一致するとも考えにくい
2011-08-07 02:01:24
nishio hirokazu
@nishio
#pyspa http://t.co/U13IRaE SIGINTで中断されたサーバが問題のペイロードを返すという話
2011-08-07 02:07:40
tk0miya
@tk0miya
telnet の Ctrl+C シーケンスを示した値、とのこと(by ransui) RT @tokoroten: #pyspa "FF F4 FF FD 06" はDDoSと関連のある何からしいことはわかった。
2011-08-07 02:09:18
tk0miya
@tk0miya
telnet は関係ないという見解が多数を占めてるなう。そして TCP スタックが怪しいのではないか、という意見。 #pyspa
2011-08-07 02:11:21
tk0miya
@tk0miya
#pyspa は只今を持ちまして終了し、#kernel_tcp_stack_spa という名称に変化しました。長らくのご愛顧誠にありがとうございました。という夢を見た。
2011-08-07 02:12:03
nishio hirokazu
@nishio
ちなみに #pyspa の外の人にいまPySpa内で絶賛盛り上がり中のイベントを解説すると、HTTPサーバに負荷をかけて殺すツールを作って殺すことに成功したのだが、その時ペイロードにFFF4FFFD06の5バイトが繰り返し出現していて、一体これは何なんだ?という流れ。
2011-08-07 02:13:24
nishio hirokazu
@nishio
#pyspa いまイアンが話しているのは http://lxr.linux.no/#linux+v3.0/include/net/tcp_states.h#L27 のことね
2011-08-07 02:21:30
nishio hirokazu
@nishio
#pyspa voluntas いわく http://lxr.linux.no/#linux+v3.0/include/linux/sdla.h#L125
2011-08-07 02:25:16
nishio hirokazu
@nishio
#pyspa #define SDLA_502_MDM_STATUS 0xFFF4 と #define SDLA_502_IRQ_INTERFACE 0xFFFD と SIGINT がくっついたものなのではないか、という話
2011-08-07 02:26:05
ところてん
@tokoroten
#pyspa http://www.google.com/codesearch#iCXnLOj7beI/include/linux/sdla.h&q=0xFFF4&type=cs&l=129 これがつながってるだけじゃね?という話。
2011-08-07 02:27:44
nishio hirokazu
@nishio
#pyspa 127.0.0.1だからループバックなのでデバドラを通らない、デバドラから殺されたという解釈はどうか、との指摘
2011-08-07 02:30:15