home *** CD-ROM | disk | FTP | other *** search
/ PC Plus SuperCD (UK) 1999 October / pcp156a.iso / linux / snort / backdoor-lib next >
Encoding:
Text File  |  1999-08-04  |  7.4 KB  |  118 lines
  1. # backdoors (Back Orifice, etc) go here 
  2.  
  3. # submitted by Nick Rogness and Jim Forster
  4.  
  5. # Backdoor Default Ports (not useful on networks with outgoing traffic)
  6. alert udp any any -> 192.168.1.0/24 31 (msg:"Hackers Paradise";)
  7. alert udp any any -> 192.168.1.0/24 456 (msg:"Hackers Paradise";)
  8. alert udp any any -> 192.168.1.0/24 555 (msg:"iNi Killer/Phase Zero/Stealth Spy";)
  9. alert udp any any -> 192.168.1.0/24 666 (msg:"Satanz Backdoor";)
  10. alert udp any any -> 192.168.1.0/24 1001 (msg:"Silencer, WebEX";)
  11. alert udp any any -> 192.168.1.0/24 1170 (msg:"Psyber Stream";)
  12. alert udp any any -> 192.168.1.0/24 1234 (msg:"Ultors Trojan";)
  13. alert udp any any -> 192.168.1.0/24 1245 (msg:"VooDoo Doll";)
  14. alert udp any any -> 192.168.1.0/24 1492 (msg:"FTP99cmp";)
  15. alert udp any any -> 192.168.1.0/24 1600 (msg:"Shivka-Burka";)
  16. alert udp any any -> 192.168.1.0/24 1807 (msg:"Spy Sender";)
  17. alert udp any any -> 192.168.1.0/24 1981 (msg:"ShockRave";)
  18. alert udp any any -> 192.168.1.0/24 1999 (msg:"Back Door";)
  19. alert udp any any -> 192.168.1.0/24 2001 (msg:"Trojan Cow";)
  20. alert udp any any -> 192.168.1.0/24 2023 (msg:"Ripper Pro";)
  21. alert udp any any -> 192.168.1.0/24 2115 (msg:"Bugs";)
  22. alert udp any any -> 192.168.1.0/24 2140 (msg:"Deep Throat/Invasor";)
  23. alert udp any any -> 192.168.1.0/24 2565 (msg:"Striker";)
  24. alert udp any any -> 192.168.1.0/24 2801 (msg:"Phineas Phucker";)
  25. alert udp any any -> 192.168.1.0/24 2989 (msg:"Rat backdoor";)
  26. alert udp any any -> 192.168.1.0/24 3024 (msg:"WinCrash";)
  27. alert udp any any -> 192.168.1.0/24 3150 (msg:"Deep Throat/Invasor";)
  28. alert udp any any -> 192.168.1.0/24 3700 (msg:"Portal Of Doom";)
  29. alert udp any any -> 192.168.1.0/24 4092 (msg:"WinCrash";)
  30. alert udp any any -> 192.168.1.0/24 4950 (msg:"ICQ Trojan";)
  31. alert udp any any -> 192.168.1.0/24 5000 (msg:"Sockets De Troie";)
  32. alert udp any any -> 192.168.1.0/24 5001 (msg:"Sockets De Troie";)
  33. alert udp any any -> 192.168.1.0/24 5321 (msg:"FireHotcker";)
  34. alert udp any any -> 192.168.1.0/24 5400 (msg:"Blade Runner";)
  35. alert udp any any -> 192.168.1.0/24 5401 (msg:"Blade Runner";)
  36. alert udp any any -> 192.168.1.0/24 5402 (msg:"Blade Runner";)
  37. alert udp any any -> 192.168.1.0/24 5569 (msg:"Robo-Hack";)
  38. alert udp any any -> 192.168.1.0/24 5742 (msg:"WinCrash";)
  39. alert udp any any -> 192.168.1.0/24 6670 (msg:"Deep Throat";)
  40. alert udp any any -> 192.168.1.0/24 6711 (msg:"Deep Throat/SubSeven";)
  41. alert udp any any -> 192.168.1.0/24 7000 (msg:"Remote Grab";)
  42. alert udp any any -> 192.168.1.0/24 7300 (msg:"Net Monitor";)
  43. alert udp any any -> 192.168.1.0/24 7301 (msg:"Net Monitor";)
  44. alert udp any any -> 192.168.1.0/24 7302 (msg:"Net Monitor";)
  45. alert udp any any -> 192.168.1.0/24 7303 (msg:"Net Monitor";)
  46. alert udp any any -> 192.168.1.0/24 7304 (msg:"Net Monitor";)
  47. alert udp any any -> 192.168.1.0/24 7305 (msg:"Net Monitor";)
  48. alert udp any any -> 192.168.1.0/24 7306 (msg:"Net Monitor";)
  49. alert udp any any -> 192.168.1.0/24 7307 (msg:"Net Monitor";)
  50. alert udp any any -> 192.168.1.0/24 7308 (msg:"Net Monitor";)
  51. alert udp any any -> 192.168.1.0/24 7789 (msg:"ICKiller";)
  52. alert udp any any -> 192.168.1.0/24 9872 (msg:"Portal Of Doom";)
  53. alert udp any any -> 192.168.1.0/24 10067 (msg:"Portal Of Doom";)
  54. alert tcp any any -> 192.168.1.0/24 10752 (msg:"Linux mountd backdoor";)
  55. alert udp any any -> 192.168.1.0/24 11223 (msg:"Progenic Trojan";)
  56. alert udp any any -> 192.168.1.0/24 12223 (msg:"Hack99-Keylogger";)
  57. alert tcp any any -> 192.168.1.0/24 12345 (msg:"Netbus/GabanBus";)
  58. alert tcp any any -> 192.168.1.0/24 12346 (msg:"Netbus/GabanBus";)
  59. alert tcp any any -> 192.168.1.0/24 12361 (msg:"Whack-a-mole";)
  60. alert tcp any any -> 192.168.1.0/24 12362 (msg:"Whack-a-mole";)
  61. alert udp any any -> 192.168.1.0/24 16969 (msg:"Portal Of Doom/Priority";)
  62. alert udp any any -> 192.168.1.0/24 20000 (msg:"Millenium";)
  63. alert udp any any -> 192.168.1.0/24 20001 (msg:"Millenium";)
  64. alert udp any any -> 192.168.1.0/24 20034 (msg:"NetBus PRO";)
  65. alert udp any any -> 192.168.1.0/24 21544 (msg:"Girlfriend";)
  66. alert udp any any -> 192.168.1.0/24 22222 (msg:"Prosiak";)
  67. alert udp any any -> 192.168.1.0/24 26274 (msg:"Delta";)
  68. alert udp any any -> 192.168.1.0/24 31337 (msg:"Back Orifice";)
  69. alert udp any any -> 192.168.1.0/24 31338 (msg:"Deep Back Orifice";)
  70. alert udp any any -> 192.168.1.0/24 31339 (msg:"NetSpy";)
  71. alert udp any any -> 192.168.1.0/24 31666 (msg:"BOWhack";)
  72. alert udp any any -> 192.168.1.0/24 33333 (msg:"Prosiak";)
  73. alert udp any any -> 192.168.1.0/24 34324 (msg:"Big Gluck/TelnetSrv";)
  74. alert udp any any -> 192.168.1.0/24 40412 (msg:"The Spy";)
  75. alert udp any any -> 192.168.1.0/24 40421 (msg:"Masters Paradise";)
  76. alert udp any any -> 192.168.1.0/24 40422 (msg:"Masters Paradise";)
  77. alert udp any any -> 192.168.1.0/24 40423 (msg:"Masters Paradise";)
  78. alert udp any any -> 192.168.1.0/24 40426 (msg:"Masters Paradise";)
  79. alert udp any any -> 192.168.1.0/24 47262 (msg:"Delta";)
  80. alert udp any any -> 192.168.1.0/24 50505 (msg:"Sockets de Troie";)
  81. alert udp any any -> 192.168.1.0/24 50776 (msg:"Fore";)
  82. alert udp any any -> 192.168.1.0/24 53001 (msg:"Remote Win Shutdown";)
  83. alert udp any any -> 192.168.1.0/24 61446 (msg:"TeleCommando";)
  84. alert udp any any -> 192.168.1.0/24 65000 (msg:"Devil";)
  85. alert tcp any any -> 192.168.1.0/24 31337 (msg:"BIND Shell";)
  86. alert udp any any -> 192.168.1.0/24 5632 (msg:"PCAnywhere"; content:"ST";)
  87. alert udp any any -> 192.168.1.0/24 22 (msg:"PCAnywhere"; content:"ST";)
  88. alert udp any any -> 192.168.1.0/24 22 (msg:"PCAnywhere"; content:"NQ";)
  89.  
  90. # New backdoors from Martin Markgraf
  91.  
  92. alert udp 192.168.1.0/24 2140 -> any any (content:"hhh My Mouth Is Open"; msg:"Deep Throat access";)
  93. alert udp any any -> 192.168.1.0/24 10067 (msg:"Possible Portal of Doom access";)
  94. alert udp any any -> 192.168.1.0/24 10167 (msg:"Possible Portal of Doom access";)
  95. alert udp 192.168.1.0/24 10167 -> any any (content:"KeepAliveee"; msg:"Portal of Doom access";)
  96. alert udp any any -> 192.168.1.0/24 31789 (msg:"Possible Hack a Tack access";)
  97. alert udp any any -> 192.168.1.0/24 31791 (msg:"Possible Hack a Tack access";)
  98. alert tcp any any -> 192.168.1.0/24 31785 (msg:"Possible Hack a Tack access";)
  99. alert tcp any any -> 192.168.1.0/24 30100 (msg:"Possible NetSphere access";)
  100. alert tcp 192.168.1.0/24 30100 -> any any (content:"<NetSphere"; msg:"NetSphere access"; flags: PA;)
  101. alert tcp any any -> 192.168.1.0/24 30102 (msg:"Possible NetSphere FTP acces";)
  102. alert tcp 192.168.1.0/24 30102 -> any any (content:"NetSphere Capture FTP"; msg:"NetSphere FTP acces"; flags: PA;)
  103. alert tcp any any -> 192.168.1.0/24 6969 (msg:"Possible GateCrasher access";)
  104. alert tcp 192.168.1.0/24 6969 -> any any (content:"GateCrasher"; msg:"GateCrasher access"; flags: PA;)
  105. alert tcp any any -> 192.168.1.0/24 21554 (msg:"Possible GirlFriend access";)
  106. alert tcp 192.168.1.0/24 21554 -> any any (content:"GirlFriend Server"; msg:"GirlFriend access"; flags: PA;)
  107. alert tcp any any -> 192.168.1.0/24 23456 (msg:"Possible EvilFTP access";)
  108. alert tcp 192.168.1.0/24 23456 -> any any (content:"EvilFTP"; msg:"EvilFTP access"; flags: PA;)
  109. alert tcp any any -> 192.168.1.0/24 1243 (msg:"Possible SubSeven access";)
  110. alert tcp any any -> 192.168.1.0/24 6776 (msg:"Possible SubSeven access";)
  111.  
  112. # you can uncomment this rule if you like, but every TCP packet 
  113. # with the PUSH and ACK flags set will have to do a 
  114. # payload pattern match, which is bad for performance!
  115. #alert tcp any any -> any any (content:"phAse Zero server"; msg:"Possible phAse Zero access"; flags: PA;)
  116. #alert tcp any any -> any any (content:"connected. time/date" msg:"Possible SubSeven access"; flags: PA;)
  117.  
  118.