home *** CD-ROM | disk | FTP | other *** search
/ PC Plus SuperCD (UK) 1999 October / pcp156a.iso / linux / snort / web-lib < prev   
Encoding:
Text File  |  1999-08-04  |  7.7 KB  |  76 lines
  1. # CGI probes submitted by Martin Markgraf
  2. alert tcp any any -> 192.168.1.0/24 80 (content:"/cgi-bin/test-cgi"; msg:"TEST-CGI probe!"; flags: PA;)
  3. alert tcp any any -> 192.168.1.0/24 80 (content:"/cgi-bin/handler"; msg:"HANDLER probe!"; flags: PA;)
  4. alert tcp any any -> 192.168.1.0/24 80 (content:"/cgi-bin/Count.cgi"; msg:"COUNT.cgi probe!"; flags: PA;)
  5. alert tcp any any -> 192.168.1.0/24 80 (content:"/cgi-bin/faxsurvey"; msg:"FAXSURVEY probe!"; flags: PA;)
  6.  
  7. # CGI Probes
  8. alert tcp any any -> 192.168.1.0/24 80 (msg:"PHF CGI access attempt"; content:"/cgi-bin/phf"; flags: PA;)
  9. alert tcp any any -> 192.168.1.0/24 80 (msg:"PHP CGI access attempt"; content:"/cgi-bin/php.cgi"; flags: PA;)
  10. alert tcp any any -> 192.168.1.0/24 80 (msg:"Webgais CGI access attempt"; content:"/cgi-bin/webgais"; flags: PA;)
  11. alert tcp any any -> 192.168.1.0/24 80 (msg:"Websendmail CGI access attempt"; content:"/cgi-bin/websendmail"; flags: PA;)
  12. alert tcp any any -> 192.168.1.0/24 80 (msg:"Webdist CGI access attempt"; content:"/cgi-bin/webdist.cgi"; flags: PA;)
  13. alert tcp any any -> 192.168.1.0/24 80 (msg:"Htmlscript CGI access attempt"; content:"/cgi-bin/htmlscript"; flags: PA;)
  14. alert tcp any any -> 192.168.1.0/24 80 (msg:"CGI pfdisplay access attempt"; content:"/cgi-bin/pfdisplay.cgi"; flags: PA;)
  15. alert tcp any any -> 192.168.1.0/24 80 (msg:"Cgichk Pfdispaly (sic) access attempt"; content:"/cgi-bin/pfdispaly.cgi"; flags: PA;)
  16. alert tcp any any -> 192.168.1.0/24 80 (msg:"CGI Perl access attempt"; content:"/cgi-bin/perl.exe"; flags: PA;)
  17. alert tcp any any -> 192.168.1.0/24 80 (msg:"Wwwboard CGI access attempt"; content:"/cgi-bin/wwwboard.cgi"; flags: PA;)
  18. alert tcp any any -> 192.168.1.0/24 80 (msg:"WWW-SQL CGI access attempt"; content:"/cgi-bin/www-sql"; flags: PA;)
  19. alert tcp any any -> 192.168.1.0/24 80 (msg:"Guestbook CGI access attempt"; content:"/cgi-bin/guestbook.cgi"; flags: PA;)
  20. alert tcp any any -> 192.168.1.0/24 80 (msg:"CGI Man access attempt"; content:"/cgi-bin/man.sh"; flags: PA;)
  21. alert tcp any any -> 192.168.1.0/24 80 (msg:"CGI view-source access attempt"; content:"/cgi-bin/view-source?../../../../../../../etc/passwd"; flags: PA;)
  22. alert tcp any any -> 192.168.1.0/24 80 (msg:"Finger CGI access attempt"; content:"/cgi-bin/finger"; flags: PA;)
  23. alert tcp any any -> 192.168.1.0/24 80 (msg:"Campas CGI access attempt"; content:"/cgi-bin/campas"; flags: PA;)
  24. alert tcp any any -> 192.168.1.0/24 80 (msg:"NPH CGI access attempt"; content:"/cgi-bin/nph-test-cgi"; flags: PA;)
  25. alert tcp any any -> 192.168.1.0/24 80 (msg:"rwwwshell CGI access attempt"; content:"/cgi-bin/rwwwshell.pl"; flags: PA;)
  26. alert tcp any any -> 192.168.1.0/24 80 (msg:"NPH-publish CGI access attempt"; content:"/cgi-bin/nph-publish"; flags: PA;)
  27. alert tcp any any -> 192.168.1.0/24 80 (msg:"Aglimpse CGI access attempt"; content:"/cgi-bin/aglimpse"; flags: PA;)
  28. alert tcp any any -> 192.168.1.0/24 80 (msg:"Glimpse CGI access attempt"; content:"/cgi-bin/glimpse"; flags: PA;)
  29. alert tcp any any -> 192.168.1.0/24 80 (msg:"AT-admin CGI access attempt"; content:"/cgi-bin/AT-admin.cgi"; flags: PA;)
  30. alert tcp any any -> 192.168.1.0/24 80 (msg:"Filemail CGI access attempt"; content:"/cgi-bin/filemail.pl"; flags: PA;)
  31. alert tcp any any -> 192.168.1.0/24 80 (msg:"JJ CGI access attempt"; content:"/cgi-bin/jj"; flags: PA;)
  32. alert tcp any any -> 192.168.1.0/24 80 (msg:"Maillist CGI access attempt"; content:"/cgi-bin/maillist.pl"; flags: PA;)
  33. alert tcp any any -> 192.168.1.0/24 80 (msg:"Info2www CGI access attempt"; content:"/cgi-bin/info2www"; flags: PA;)
  34. alert tcp any any -> 192.168.1.0/24 80 (msg:"Files CGI access attempt"; content:"/cgi-bin/files.pl"; flags: PA;)
  35. alert tcp any any -> 192.168.1.0/24 80 (msg:"Bnbform CGI access attempt"; content:"/cgi-bin/bnbform.cgi"; flags: PA;)
  36. alert tcp any any -> 192.168.1.0/24 80 (msg:"Survey CGI access attempt"; content:"/cgi-bin/survey.cgi"; flags: PA;)
  37. alert tcp any any -> 192.168.1.0/24 80 (msg:"AnyForm CGI access attempt"; content:"/cgi-bin/AnForm2"; flags: PA;)
  38. alert tcp any any -> 192.168.1.0/24 80 (msg:"Textcounter CGI access attempt"; content:"/cgi-bin/textcounter.pl"; flags: PA;)
  39. alert tcp any any -> 192.168.1.0/24 80 (msg:"Classifieds CGI access attempt"; content:"/cgi-bin/classifieds.cgi"; flags: PA;)
  40. alert tcp any any -> 192.168.1.0/24 80 (msg:"Environ CGI access attempt"; content:"/cgi-bin/environ.cgi"; flags: PA;)
  41. alert tcp any any -> 192.168.1.0/24 80 (msg:"Wrap CGI access attempt"; content:"/cgi-bin/wrap"; flags: PA;)
  42. alert tcp any any -> 192.168.1.0/24 80 (msg:"Cgiwrap CGI access attempt"; content:"/cgi-bin/cgiwrap"; flags: PA;)
  43. alert tcp any any -> 192.168.1.0/24 80 (msg:"Edit CGI access attempt"; content:"/cgi-bin/edit.pl"; flags: PA;)
  44. alert tcp any any -> 192.168.1.0/24 80 (msg:"Perlshop CGI access attempt"; content:"/cgi-bin/perlshop.cgi"; flags: PA;)
  45. alert tcp any any -> 192.168.1.0/24 80 (msg:"Args CGI access attempt"; content:"/cgi-dos/args.bat"; flags: PA;)
  46. alert tcp any any -> 192.168.1.0/24 80 (msg:"Upload CGI access attempt"; content:"/cgi-win/uploader.exe"; flags: PA;)
  47. alert tcp any any -> 192.168.1.0/24 80 (msg:"Rguest CGI access attempt"; content:"/cgi-bin/rguest.exe"; flags: PA;)
  48. alert tcp any any -> 192.168.1.0/24 80 (msg:"Wguest CGI access attempt"; content:"/cgi-bin/wguest.exe"; flags: PA;)
  49.  
  50. # IIS probes
  51. alert tcp any any -> 192.168.1.0/24 80 (msg:"IIS vti_inf access attempt"; content:"/_vti_inf.html"; flags: PA;)
  52. alert tcp any any -> 192.168.1.0/24 80 (msg:"IIS Codebrowser access attempt"; content:"/iissamples/exair/howitworks/codebrws.asp"; flags: PA;)
  53. alert tcp any any -> 192.168.1.0/24 80 (msg:"IIS Codebrowser access attempt"; content:"/iissamples/sdk/asp/docs/codebrws.asp"; flags: PA;)
  54. alert tcp any any -> 192.168.1.0/24 80 (msg:"IIS Showcode access attempt"; content:"/msads/Samples/SELECTOR/showcode.asp"; flags: PA;)
  55. alert tcp any any -> 192.168.1.0/24 80 (msg:"IIS Bdir access attempt"; content:"/scripts/iisadmin/bdir.htr"; flags: PA;)
  56. alert tcp any any -> 192.168.1.0/24 80 (msg:"IIS CGImail access attempt"; content:"/scripts/CGImail.exe"; flags: PA;)
  57. alert tcp any any -> 192.168.1.0/24 80 (msg:"IIS NewDSN access attempt"; content:"/scripts/tools/newdsn.exe"; flags: PA;)
  58. alert tcp any any -> 192.168.1.0/24 80 (msg:"IIS Fpcount access attempt"; content:"/scripts/fpcount.exe"; flags: PA;)
  59. alert tcp any any -> 192.168.1.0/24 80 (msg:"IIS Search97 access attempt"; content:"/search97.vts"; flags: PA;)
  60. alert tcp any any -> 192.168.1.0/24 80 (msg:"IIS Carbo.dll access attempt"; content:"/carbo.dll"; flags: PA;)
  61.  
  62. # IIS stuff from Nick Rogness and Jim Forster
  63. alert tcp any any -> 192.168.1.0/24 80 (msg:"FrontPage Service PWD Scan"; content:"/_vti_pvt/service.pwd"; flags: PA;)
  64. alert tcp any any -> 192.168.1.0/24 80 (msg:"FrontPage User PWD Scan"; content:"/_vti_pvt/users.pwd"; flags: PA;)
  65. alert tcp any any -> 192.168.1.0/24 80 (msg:"FrontPage Author PWD Scan"; content:"/_vti_pvt/authors.pwd"; flags: PA;)
  66. alert tcp any any -> 192.168.1.0/24 80 (msg:"FrontPage Admin PWD Scan"; content:"/_vti_pvt/administrators.pwd"; flags: PA;)
  67. alert tcp any any -> 192.168.1.0/24 80 (msg:"FrontPage shtml.dll Scan"; content:"/_vti_pvt/shtml.dll"; flags: PA;)
  68. alert tcp any any -> 192.168.1.0/24 80 (msg:"FrontPage shtml.exe Scan"; content:"/_vti_pvt/shtml.exe"; flags: PA;)
  69. alert tcp any any -> 192.168.1.0/24 80 (msg:"cgi-dos/args.bat Scan"; content:"/cgi-dos/args.bat"; flags: PA;)
  70. alert tcp any any -> 192.168.1.0/24 80 (msg:"Colf Fusion openfile Scan"; content:"/cfdocs/expelval/openfile.cfm"; flags: PA;)
  71. alert tcp any any -> 192.168.1.0/24 80 (msg:"Cold Fusion exprcalc Scan"; content:"/cfdocs/expelval/exprcalc.cfm"; flags: PA;)
  72. alert tcp any any -> 192.168.1.0/24 80 (msg:"Cold Fusion display Scan"; content:"/cfdocs/expelval/displayopenedfile.cfm"; flags: PA;)
  73. alert tcp any any -> 192.168.1.0/24 80 (msg:"Cold Fusion sendmail Scan"; content:"/cfdocs/expelval/sendmail.cfm"; flags: PA;)
  74.  
  75.  
  76.