ACID
Alert
Home  
Search   |   AG Maintenance
Back ]

 Queried DB on : Tue May 24, 2005 21:14:50
Meta Criteria Signature "[snort] WEB-ATTACKS /etc/shadow access"   ...clear...
  
IP Criteria    any   
Layer 4 Criteria    none
Payload Criteria    any   
Added 0 alert(s) to the Alert cache

Alert #1
[ First ]    

Meta
ID # Time Triggered Signature
1 - 1652 2005-05-23 17:31:40 [snort] WEB-ATTACKS /etc/shadow access
Sensor name interface filter
10.1.1.100 eth0  none 
Alert
Group
  none 
IP
source addr   dest addr   Ver Hdr Len TOS length ID flags offset TTL chksum
129.46.222.247 10.1.1.100 4 5 32 1500 17095 0 0 27 43946
FQDN Source Name Dest. Name
129-46-222-247.qualcomm.com spree.mnin.org
Options     none
TCP
source
port
dest
  port  
R
1
R
0
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
seq # ack offset res window urp chksum
4467 80 X 665795669 873788190 5 0 6457 0 2032
Options     none
Payload
 length = 1460

000 : 61 73 73 77 6F 72 64 20 66 69 6C 65 0A 63 61 6E   assword file.can
010 : 27 74 20 6C 6F 63 6B 20 70 61 73 73 77 6F 72 64   't lock password
020 : 20 66 69 6C 65 0A 73 68 61 64 6F 77 0A 2F 75 73    file.shadow./us
030 : 72 2F 73 68 61 72 65 2F 6C 6F 63 61 6C 65 0A 61   r/share/locale.a
040 : 64 6C 71 72 3A 75 53 65 6B 6E 3A 78 3A 69 3A 77   dlqr:uSekn:x:i:w
050 : 3A 0A 66 69 6C 65 73 0A 25 73 3A 20 50 65 72 6D   :.files.%s: Perm
060 : 69 73 73 69 6F 6E 20 64 65 6E 69 65 64 2E 0A 43   ission denied..C
070 : 61 6E 6E 6F 74 20 63 68 61 6E 67 65 20 49 44 20   annot change ID 
080 : 74 6F 20 72 6F 6F 74 2E 0A 63 61 6E 27 74 20 73   to root..can't s
090 : 65 74 75 69 64 28 30 29 0A 50 61 73 73 77 6F 72   etuid(0).Passwor
0a0 : 64 20 63 68 61 6E 67 65 64 2E 0A 63 61 6E 27 74   d changed..can't
0b0 : 20 63 68 61 6E 67 65 20 70 77 64 20 66 6F 72 20    change pwd for 
0c0 : 60 25 73 27 0A 25 73 3A 20 55 6E 6B 6E 6F 77 6E   `%s'.%s: Unknown
0d0 : 20 75 73 65 72 20 25 73 0A 25 73 3A 20 50 65 72    user %s.%s: Per
0e0 : 6D 69 73 73 69 6F 6E 20 64 65 6E 69 65 64 0A 25   mission denied.%
0f0 : 73 3A 20 43 61 6E 6E 6F 74 20 65 78 65 63 75 74   s: Cannot execut
100 : 65 20 25 73 0A 63 61 6E 6E 6F 74 20 65 78 65 63   e %s.cannot exec
110 : 75 74 65 20 25 73 0A 63 68 66 6E 0A 63 68 73 68   ute %s.chfn.chsh
120 : 0A 67 70 61 73 73 77 64 0A 20 20 20 20 20 20 20   .gpasswd.       
130 : 25 73 20 5B 2D 78 20 6D 61 78 5D 20 5B 2D 6E 20   %s [-x max] [-n 
140 : 6D 69 6E 5D 20 5B 2D 77 20 77 61 72 6E 5D 20 5B   min] [-w warn] [
150 : 2D 69 20 69 6E 61 63 74 5D 20 6E 61 6D 65 0A 20   -i inact] name. 
160 : 20 20 20 20 20 20 25 73 20 7B 2D 6C 7C 2D 75 7C         %s {-l|-u|
170 : 2D 64 7C 2D 53 7C 2D 65 7D 20 6E 61 6D 65 0A 43   -d|-S|-e} name.C
180 : 61 6E 6E 6F 74 20 63 6F 6D 6D 69 74 20 70 61 73   annot commit pas
190 : 73 77 6F 72 64 20 66 69 6C 65 20 63 68 61 6E 67   sword file chang
1a0 : 65 73 2E 0A 45 72 72 6F 72 20 75 70 64 61 74 69   es..Error updati
1b0 : 6E 67 20 74 68 65 20 70 61 73 73 77 6F 72 64 20   ng the password 
1c0 : 65 6E 74 72 79 2E 0A 25 73 3A 20 25 73 20 6E 6F   entry..%s: %s no
1d0 : 74 20 66 6F 75 6E 64 20 69 6E 20 2F 65 74 63 2F   t found in /etc/
1e0 : 70 61 73 73 77 64 0A 43 61 6E 6E 6F 74 20 6F 70   passwd.Cannot op
1f0 : 65 6E 20 74 68 65 20 70 61 73 73 77 6F 72 64 20   en the password 
200 : 66 69 6C 65 2E 0A 43 61 6E 6E 6F 74 20 6C 6F 63   file..Cannot loc
210 : 6B 20 74 68 65 20 70 61 73 73 77 6F 72 64 20 66   k the password f
220 : 69 6C 65 3B 20 74 72 79 20 61 67 61 69 6E 20 6C   ile; try again l
230 : 61 74 65 72 2E 0A 25 73 3A 20 72 65 70 6F 73 69   ater..%s: reposi
240 : 74 6F 72 79 20 25 73 20 6E 6F 74 20 73 75 70 70   tory %s not supp
250 : 6F 72 74 65 64 0A 70 61 73 73 77 6F 72 64 20 66   orted.password f
260 : 6F 72 20 60 25 73 27 20 63 68 61 6E 67 65 64 20   or `%s' changed 
270 : 62 79 20 60 25 73 27 0A 25 73 3A 20 59 6F 75 20   by `%s'.%s: You 
280 : 6D 61 79 20 6E 6F 74 20 76 69 65 77 20 6F 72 20   may not view or 
290 : 6D 6F 64 69 66 79 20 70 61 73 73 77 6F 72 64 20   modify password 
2a0 : 69 6E 66 6F 72 6D 61 74 69 6F 6E 20 66 6F 72 20   information for 
2b0 : 25 73 2E 0A 25 73 3A 20 43 61 6E 6E 6F 74 20 64   %s..%s: Cannot d
2c0 : 65 74 65 72 6D 69 6E 65 20 79 6F 75 72 20 75 73   etermine your us
2d0 : 65 72 20 6E 61 6D 65 2E 0A 5F 52 4C 44 5F 3D 0A   er name.._RLD_=.
2e0 : 42 41 53 48 5F 45 4E 56 3D 0A 48 4F 4D 45 3D 0A   BASH_ENV=.HOME=.
2f0 : 49 46 53 3D 0A 4B 52 42 5F 43 4F 4E 46 3D 0A 4C   IFS=.KRB_CONF=.L
300 : 49 42 50 41 54 48 3D 0A 4D 41 49 4C 3D 0A 4E 4C   IBPATH=.MAIL=.NL
310 : 53 50 41 54 48 3D 0A 53 48 45 4C 4C 3D 0A 53 48   SPATH=.SHELL=.SH
320 : 4C 49 42 5F 50 41 54 48 3D 0A 4C 41 4E 47 3D 0A   LIB_PATH=.LANG=.
330 : 4C 41 4E 47 55 41 47 45 3D 0A 25 73 3D 25 73 0A   LANGUAGE=.%s=%s.
340 : 45 6E 76 69 72 6F 6E 6D 65 6E 74 20 6F 76 65 72   Environment over
350 : 66 6C 6F 77 0A 59 6F 75 20 6D 61 79 20 6E 6F 74   flow.You may not
360 : 20 63 68 61 6E 67 65 20 24 25 73 0A 70 61 73 73    change $%s.pass
370 : 77 64 3A 20 25 73 0A 70 61 73 73 77 64 3A 20 70   wd: %s.passwd: p
380 : 61 73 73 77 6F 72 64 20 75 70 64 61 74 65 64 20   assword updated 
390 : 73 75 63 63 65 73 73 66 75 6C 6C 79 0A 70 61 73   successfully.pas
3a0 : 73 77 64 3A 20 70 61 6D 5F 73 74 61 72 74 28 29   swd: pam_start()
3b0 : 20 66 61 69 6C 65 64 2C 20 65 72 72 6F 72 20 25    failed, error %
3c0 : 64 0A 6D 61 6C 6C 6F 63 28 25 64 29 20 66 61 69   d.malloc(%d) fai
3d0 : 6C 65 64 0A 25 73 2E 25 6C 64 0A 25 73 2E 6C 6F   led.%s.%ld.%s.lo
3e0 : 63 6B 0A 67 72 6F 75 70 0A 2F 65 74 63 2F 70 61   ck.group./etc/pa
3f0 : 73 73 77 64 0A 2F 65 74 63 2F 73 68 61 64 6F 77   sswd./etc/shadow
400 : 0A 2E 73 68 73 74 72 74 61 62 0A 2E 69 6E 74 65   ..shstrtab..inte
410 : 72 70 0A 2E 6E 6F 74 65 2E 41 42 49 2D 74 61 67   rp..note.ABI-tag
420 : 0A 2E 68 61 73 68 0A 2E 64 79 6E 73 79 6D 0A 2E   ..hash..dynsym..
430 : 64 79 6E 73 74 72 0A 2E 67 6E 75 2E 76 65 72 73   dynstr..gnu.vers
440 : 69 6F 6E 0A 2E 67 6E 75 2E 76 65 72 73 69 6F 6E   ion..gnu.version
450 : 5F 72 0A 2E 72 65 6C 2E 64 79 6E 0A 2E 72 65 6C   _r..rel.dyn..rel
460 : 2E 70 6C 74 0A 2E 69 6E 69 74 0A 2E 74 65 78 74   .plt..init..text
470 : 0A 2E 66 69 6E 69 0A 2E 72 6F 64 61 74 61 0A 2E   ..fini..rodata..
480 : 64 61 74 61 0A 2E 65 68 5F 66 72 61 6D 65 0A 2E   data..eh_frame..
490 : 64 79 6E 61 6D 69 63 0A 2E 63 74 6F 72 73 0A 2E   dynamic..ctors..
4a0 : 64 74 6F 72 73 0A 2E 6A 63 72 0A 2E 67 6F 74 0A   dtors..jcr..got.
4b0 : 2E 62 73 73 0A 6E 6F 74 20 69 6E 66 65 63 74 65   .bss.not infecte
4c0 : 64 0A 23 23 23 0A 23 23 23 20 4F 75 74 70 75 74   d.###.### Output
4d0 : 20 6F 66 3A 20 2F 75 73 72 2F 62 69 6E 2F 73 74    of: /usr/bin/st
4e0 : 72 69 6E 67 73 20 2D 61 20 2F 62 69 6E 2F 70 69   rings -a /bin/pi
4f0 : 64 6F 66 0A 23 23 23 0A 2F 6C 69 62 2F 6C 64 2D   dof.###./lib/ld-
500 : 6C 69 6E 75 78 2E 73 6F 2E 32 0A 6C 69 62 63 2E   linux.so.2.libc.
510 : 73 6F 2E 36 0A 70 75 74 63 68 61 72 0A 73 74 72   so.6.putchar.str
520 : 63 70 79 0A 73 6E 70 72 69 6E 74 66 0A 5F 5F 73   cpy.snprintf.__s
530 : 74 72 74 6F 6C 5F 69 6E 74 65 72 6E 61 6C 0A 67   trtol_internal.g
540 : 65 74 70 69 64 0A 66 67 65 74 73 0A 6D 61 6C 6C   etpid.fgets.mall
550 : 6F 63 0A 6F 70 74 61 72 67 0A 6F 70 74 65 72 72   oc.optarg.opterr
560 : 0A 72 65 61 64 64 69 72 0A 73 74 72 72 63 68 72   .readdir.strrchr
570 : 0A 6B 69 6C 6C 0A 6F 70 74 69 6E 64 0A 77 61 69   .kill.optind.wai
580 : 74 0A 73 69 67 6E 61 6C 0A 6F 70 65 6E 6C 6F 67   t.signal.openlog
590 : 0A 63 6C 6F 73 65 6C 6F 67 0A 73 74 72 6E 63 6D   .closelog.strncm
5a0 : 70 0A 66 6F 72 6B 0A 73 73 63 61 6E 66 0A 65 78   p.fork.sscanf.ex
5b0 : 65 63 76 0A                                       ecv.

[ First ]    
Action

[Loaded in 1 seconds]

ACID v0.9.6b23 ( by Roman Danyliw as part of the AirCERT project )