etc/tcp-service.sig

   1 ############################################################################
   2 #
   3 # PRADS - Passive Real-time Asset Detection System
   4 #  - TCP server signature list
   5 #
   6 # This contains a database of device signatures to be used with
   7 # Passive Real-time Asset Detection System.
   8 #
   9 # Format:
  10 # <service>,<version info>,<signature>
  11 #
  12 # Service: This describes the service name used by the signature.
  13 # Examples would include SSH, HTTP, SMTP, etc.
  14 #
  15 # Version Info:  This contains a NMAP-like template for the service
  16 # discovered by the signature.  The field follows this format:
  17 #       v/vendorproductname/version/info/
  18 #
  19 # Signature:  This is a PCRE compatable regular expression without the
  20 # surrounding /'s.  The signature should have one or two sets of ()'s
  21 # depending on the Version Info field.
  22 #
  23 # Matching: The matching rutine starts with the first signature in this
  24 # file and ends with the last signature in this file. If a match is
  25 # found, no more signatures will be checked.
  26 # The signatures that you think will match the most in your environment,
  27 # should be on top in this file. Wildcards/Fallback (.* etc) signatures
  28 # should be the last signatures in a match signature group.
  29 #
  30 ############################################################################
  31
  32 # SSH Signatures
  33 ssh,v/OpenSSH/$2/Protocol $1/,SSH-([.\d]+)-OpenSSH[_-](\S+)
  34 ssh,v/Cisco SSH/$2/Protocol $1/,SSH-([.\d]+)-Cisco[_-](\S+)
  35 ssh,v/Sun SSH/$2/Protocol $1/,SSH-([.\d]+)-Sun_SSH[_-](\S+)
  36 ssh,v/Cisco IDS SSH/$2/Protocol $1/,SSH-([.\d]+)-CiscoIDS\/LoginServer[_-](\S+)
  37 ssh,v/libssh/$2/Protocol $1/,SSH-([.\d]+)-libssh-(\S+)
  38 # SSH-2.0-dropbear_0.51
  39
  40 # HTTP Signatures
  41 http,v/Apache/$1//,Server: Apache\/([\S]+)[\r\n]
  42 http,v/Apache/$1/$2/,Server: Apache\/([\S]+)[\s]+\((.*)\)
  43 http,v/Apache/$1/$2/,Server: Apache\/([\S]+)[\s]+([\S]+)
  44 http,v/Apache///,Server: Apache[\r\n]
  45 http,v/Stronghold/$1/$2/,Server: Stronghold\/([\S]+) ([\S]+)
  46 http,v/Microsoft-IIS/$1//,Server: Microsoft-IIS\/([\S]+)[\r\n]
  47 http,v/Netscape Enterprise/$1//,Server: Netscape-Enterprise\/([\S]+)
  48 http,v/NetCache//$1/,Server: NetCache (\(.*\))
  49 http,v/Switch and Data - EdgePrism/$1//,Server:  EdgePrism\/([\S]+)
  50 http,v/thttp/$1/$2/,Server: thttpd\/([\S]+) ([\S]+)
  51 http,v/Apache Tomcat/$1/$2/,Server: Apache Tomcat\/([\S]+) (\(.*\))
  52 http,v/Apache Coyote/$1//,Server: Apache[ -]{1}Coyote\/([\S]+)
  53 http,v/DoubleClick Adserver///,Server: DCLK-HttpSvr
  54 http,v/Resin JSP Engine/$1//,Server: Resin\/([\S]+)
  55 http,v/Akamai Ghost///,Server: AkamaiGHost
  56 http,v/Footprint Distributor/$1//,Server: Footprint Distributor V([\S]+)
  57 http,v/AOLserver/$1//,Server: AOLserver\/([\S]+)
  58 http,v/IBM WebSphere Application Server/$1//,Server: WebSphere Application Server\/([\S]+)
  59 http,v/Netscape Brew/$1//,Server: Netscape-Brew\/([\S]+)
  60 http,v/swcd/$1//,Server: swcd\/([\S]+)[\r\n]
  61 http,v/TrueSpectra Image Server/$1//,Server: TrueSpectra Image Server Version ([\S]+)
  62 http,v/Oracle Apache Server/$1/$2/,Server: Oracle HTTP Server Powered by Apache\/([\S]+) (\([\S]+\))
  63 http,v/Enhydra Application Server/$1//,Server: Enhydra-MultiServer\/([\S]+)
  64 http,v/Zeus Web Server/$1//,Server: Zeus\/([\S]+)
  65 http,v/Inktomi Traffic Cache/$2/$1/,Via: HTTP/1.. ([\S]+) \(Traffic-Server\/([\S]+)
  66 http,v/Cougar/$1//,Server: Cougar\/([\S]+)[\r\n]
  67 http,v/GWS/$1//,Server: GWS\/([\S]+)[\r\n]
  68 http,v/Apache AdvancedExtranetServer/$1/$2/,Server: Apache-AdvancedExtranetServer\/([\S]+) \(([\S|\s]+)\)
  69 http,v/IBM HTTP Server/$1/$2/,Server: IBM_HTTP_Server\/([\S]+) ([\S]+)
  70 http,v/Boa Web Server/$1//,Server: Boa\/([\S]+)
  71 http,v/Netscape Enterprise/$1/AOL/,Server: Netscape-Enterprise\/([\S]+) AOL
  72 http,v/nginx/$1//,Server: nginx\/([\S]+)
  73 http,v/lighttpd/$1//,Server: lighttpd/([\S]+)
  74 http,v/TwistedWeb/$1//,Server: TwistedWeb/([\S]+)[\r\n]
  75 #http,v/Squid/$1//,Server: squid\/([\S]+)[\r\n]
  76 #http,v/Varnish/$1//,Via: ([\S]+)varnish[\r\n]
  77 #Need to polish the Zope sig - this is just the raw string:
  78 #http,v/Zope/$1//,Server: Zope/(Zope 2.9.1-, python 2.4.2, linux2) ZServer/1.1
  79 http,v/Server: $1///,Server: (\w*)\r\n
  80
  81 http,v/Squid/$1//,Server: squid\/([\S]+)[\r\n]
  82 http,v/Varnish/$1//,Via: ([\S]+)varnish[\r\n]
  83
  84 # X-SOAP-Server: NuSOAP/0.7.2 (1.94)
  85 #http,v/NuSOAP/$1/$2/,X-SOAP-Server: NuSOAP\/([.\d]+) \(([.\d]+)\)
  86 # Fallback http Signature
  87 #http,v/Unknown HTTP//$1/,^(HTTP/\d.\d)
  88
  89 # SSL Signatures
  90 ssl,v/Generic TLS 1.0 SSL///,^\x16\x03\x01..\x02\0\0.\x03\x01
  91 ssl,v/OpenSSL///,^\x16\x03\0\0J\x02\0\0F\x03\0
  92
  93 # SMB Sigantures
  94 smb,v/Windows SMB///,\xffSMBr
  95
  96 # Mail Signatures
  97 imap,v/Microsoft Exchange Server IMAP/$1/$2/,\* OK Microsoft Exchange Server ([\S]+) IMAP4rev1 server version ([\S]+)
  98 imap,v/Cyrus IMAP4 Server/$1//,\* OK [-.\w]+ Cyrus IMAP4 v([-.\w]+) server ready
  99 imap,v/UW IMAP Server/$1//,\* OK \[CAPABILITY IMAP4REV1 .*IMAP4rev1 (200\d\.[-.\w]+) ati
 100
 101 # POP Signatures
 102 pop3,v/CommuniGate Pro POP3/$1//,OK CommuniGate Pro POP3 Server (.*) ready
 103
 104 # Generic CVSup server
 105 cvsup,v/CVSup server///,CVSup server ready
 106
 107 # SQL signatures
 108 sql,v/MySQL/$1//,([3-6]\.[0-1]\.\d\d-\w.+)
 109 #sql,v/MySQL Server Greeting (1.0+latin1)/$1//,^...\x00\x0a([3-6]\.[0-1]\.\d\d).............\x08
 110
 111 # Citrix ICA. Included signature wasn't hitting, this seems to fix it.
 112 #ica,v/Citrix ICA Protocol///,\x7f\x7ICA\x00
 113
 114
 115 # FTP Signatures
 116 ftp,v/Microsoft FTP Server/$1//,Microsoft FTP Service \(Version ([\S]+)\).
 117 ftp,v/Microsoft FTP Server Unknown Version///,220 Microsoft FTP Service
 118 ftp,v/NcFTPd Server//$1/,NcFTPd Server \((.*)\) ready.
 119 ftp,v/vsFTPd///,FTP server \(vsftpd\)
 120 ftp,v/vsFTPd/$1//,220 \(vsFTPd ([\S]+)\)
 121 ftp,v/ProFTPD Server/$1//,220 ProFTPD ([\S]+) Server
 122 ftp,v/ProFTPD Server//$1/,220 ProFTPD \[(.*)\]
 123 ftp,v/ProFTPD Server///,220 ProFTPD Server
 124 ftp,v/WU-FTPD Server/$1//,FTP server \(Version wu-([\S]+)
 125 ftp,v/Compaq Tru64 FTP Server/$2/$1/,220 ([-.\w]+) FTP server \(Compaq Tru64 UNIX Version ([\S]+)\) ready.[\r\n]
 126 ftp,v/War-FTPD FTP Server/$2/$1/,220- ([\S]+) WAR-FTPD ([\S]+) Ready[\r\n]
 127 ftp,v/Flash FTP Server/$1//,220 Flash FTP Server ([\S]+) ready
 128 ftp,v/SFTPD//$1/,220- ([\S]+) FTP Server (SFTPD)
 129 ftp,v/FreeBSD ftpd/$2/$1/,220 ([-.\w]+) FTP server \(Version (6.0\w+)\) ready.\r\n
 130 ftp,v/FTP Generic//$1/,220 Welcome to ([\S]+)
 131 ftp,v/FTP Generic//$1/,220 ([-.\w]+) FTP server ready
 132 ftp,v/FTP Generic///,220 FTP server ready
 133 ftp,v/GNU FTP Generic///,220 GNU FTP server ready
 134 ftp,v/FTP Generic//$1,220 ([\S]+) FTP Server Ready
 135
 136 # Remote Access Systems
 137 vnc,v/VNC//Protocol $1/,RFB ([\S]+)\n
 138 rdp,v/Remote Desktop Protocol//Windows 2000 Server/,\x03\0\0\x0b\x06\xd0\0\0\x12.\0
 139 rdp,v/Remote Desktop Protocol//Netmeeting Remote Assistance/,\x03\0\0\x17\x08\x02\0\0Z~\0\x0b\x05\x05@\x06\0\x08\x91J\0\x02X
 140 ica,v/Citrix ICA Protocol///,/7f/7fICA/00
 141 pcanywhere,v/PCAnywhere///,^\0X\x08\0\}\x08\r\n\0\.\x08.*\.\.\.\r\n
 142
 143 # IRC
 144 irc,v/Dancer IRCD/$1//,running version dancer-ircd-([\S]+)
 145
 146 # SMTP
 147 smtp,v/Postfix SMTP//$1/,^220 ([-.\w]+) ESMTP Postfix
 148 smtp,v/Lotus Notes SMTP//$1/,^220 ([-.\w]+) Lotus SMTP MTA Service Ready\r\n
 149 smtp,v/Lotus Domino SMTP/$2/$1,220 ([\S]+) ESMTP Service \(Lotus Domino Release ([\S]+)\)
 150 smtp,v/Microsoft Exchange SMTP/$2/$1/,220 ([-.\w]+) Microsoft ESMTP MAIL Service, Version: ([\S]+)
 151 smtp,v/Microsoft Exchange SMTP/$2/$1/,220 ([\S]+) ESMTP Server \(Microsoft Exchange Internet Mail Service ([\S]+)\) ready
 152 smtp,v/Sendmail SMTP/$2/$1/,220 ([-.\w]+) ESMTP Sendmail (.*);
 153 smtp,v/Maillennium SMTP/MULTIBOX//$1/,220 ([-.\w]+) - Maillennium ESMTP/MULTIBOX
 154 smtp,v/IMail NT-ESMTP/$2/$1/,220 ([-.\w]+) \(IMail ([^)]+)\) NT-ESMTP Server
 155 smtp,v/SMTPD ?//$2/,220 \[SMTPD]: ([-.\w]+) hello
 156 smtp,v/Kerio MailServer/$2/$1/,220 ([-.\w]+) Kerio MailServer ([\S]+) ESMTP
 157 smtp,v/Kerio MailServer/$2/$1/,220 ([\S]+) esmtp Kerio MailServer ([\S]+) ESMTP ready
 158 smtp,v/Sendmail EDS Secure SMTP//$1/,220 ([-.\w]+) ESMTP Sendmail EDS Secure;
 159 smtp,v/Proxy SMTP Service/$1/$2/,220 ([-.\w]+) SMTP Proxy Service Ready \(Version: ([^)]+)\)
 160 smtp,v/Proxy SMTP Service///,220 SMTP Proxy Server Ready
 161 smtp,v/Yahoo! SMTP Service//$1/,220 YSmtp ([\S]+) ESMTP service ready
 162 smtp,v/SurgeMail/$2/$1/,220 ([-.\w]+) SurgeSMTP \(Version ([\S]+)\) http:\/\/surgemail.com
 163 smtp,v/PowerMTA SMTP/$2/$1/,220 ([\S]+) \(PowerMTA ([\S|\s]+)\) ESMTP service ready
 164 smtp,v/Exim/$2/$1/,220[ -]{1}([\S]+) E?SMTP Exim ([\S]+)
 165 #smtp,v/Exim/$2/$1/,220-([\S]+) SMTP Exim ([\S]+)
 166 smtp,v/LSMTP for Windows NT/$2/$1/,220 ([\S]+) \(LSMTP for Windows NT ([\S]+)\) ESMTP server ready
 167 smtp,v/Postini Perimeter Manager/$2/$1/,220 ([\S]+) ESMTP ([\S]+) ready.  CA Business and Professions Code
 168 smtp,v/Sun iPlanet Messaging Server//$1/,220 ([\S]+) -- Server ESMTP \(Iplanet Messaging Server\)
 169 smtp,v/Sigaba Secure Email Gateway//$1/,220 ([\S]+) ESMTP Sigaba Gateway;
 170 smtp,v/Terrace MailWatcher/$2/$1/,220 ([\S]+) ESMTP Terrace MailWatcher ([\S]+)
 171 smtp,v/CheckPoint Firewall-1 SMTP Proxy///,220 CheckPoint FireWall-1 secure ESMTP server
 172 smtp,v/MailPass SMTP Server/$2/$1/,220 ([\S]+) MailPass SMTP server ([\S]+)
 173 smtp,v/CommuniGate Pro/$2/$1/,220 ([\S]+) ESMTP CommuniGate Pro ([\S]+)
 174 smtp,v/MailSite SMTP Server/$2/$1/,220 ([\S]+)[\s]+MailSite ESMTP Receiver Version ([\S]+) Ready
 175 smtp,v/MailEnable SMTP Server/$2/$1/,220 ([\S]+) ESMTP MailEnable Service, Version:[\s]+([\S]+)-- ready
 176 smtp,v/InterMail SMTP Server/$2/$2/,220 ([\S]+) ESMTP server \(InterMail ([\S]+)
 177 smtp,v/Perl SMTP::Server Module///,220 MacGyver SMTP Ready.
 178 smtp,v/McAfee WebShield SMTP Proxy/$2/$1/,220 ([\S]+) WebShield SMTP ([\S]+) [\S]+ Network Associates, Inc.
 179 smtp,v/Trend Micro InterScan/$2/$1/,220 ([\S]+) Trend Micro InterScan Messaging Security Suite, Version:[\s]+([\S]+) ready
 180 smtp,v/Worldmail/$2/$1/,220 ([\S]+) ESMTP Service \(Worldmail ([\S]+)\) ready
 181 smtp,v/Novell GroupWise/$2/$1/,220 ([\S]+) GroupWise Internet Agent (\S+)
 182 smtp,v/$2 - Server SMTP//$1/,220 ([\S]+) -- Server ESMTP \(([.*]+)\)
 183 smtp,v/Generic SMTP - Possible Postfix//$1/,220 ([-.\w]+) ESMTP\r\n
 184 smtp,v/Generic SMTP//$1/,220 ([\S]+) Simple Mail Transfer Service Ready
 185 smtp,v/Generic SMTP/$2/$1/,220 ([\S]+) SMTP Server \(([\S]+)\)
 186 smtp,v/Generic SMTP//$1/,220 ([\S]+) SMTP
 187 smtp,v/Generic SMTP//$1/,220 ([-.\w]+) ESMTP Server[\r\n]
 188 smtp,v/Generic SMTP//$1/,220 ([\S]+) ESMTP Service
 189 smtp,v/Generic SMTP//$1/,220[\s]+([-.\w]+) SMTP Server is ready to process
 190 smtp,v/Generic SMTP/$2/$1/,220 ([\S]+) ESMTP ([\S]+)
 191
 192 # P2P signatures
 193 bit,v/Bittorrent///,^\x13BitTorrent\x20protocol
 194
 195 # Database signatures
 196 razor,v/Razor///,sn\=[DNC]\x26srl\=
 197
 198 # DNS Signatures
 199 dns,v/TCP DNS Server///,^[\x02-\xFF]...\x84\x80
 200
 201 # Munin
 202 munin,v/Munin Node/$1//, munin node at (.*)
 203
 204 # Subversion
 205 svn,v/Subversion server http///,\( success \( 2 2 \( \) \( edit-pipeline svndiff1 absent-entries commit-revprops depth log-revprops partial-replay \) \) \)
 206
 207 # NNTP
 208 nntp,v/nnrpd-indi///,^200 The server welcomes .*. Authorization required for reading and posting.
 209 nntp,v/InterNetNews NNRP/$2//,^200 (.*) InterNetNews NNRP server INN ([.\d]+)
 210 #nntp,v/nnrpd-indi///,^281 Authentication accepted. \(UID=[\d]+\)
 211