Snort mailing list archives
Help... am I infected?
From: "Peter Borner" <peter () borner org uk>
Date: Wed, 19 Sep 2001 14:06:08 +0100
Hi,
I have a Windows Advanced server box that runs IIS5 and MS Exchange. It
is fully patched and running HFNETCHK shows I have all the required hot
fixes installed. I'm also running Trend Antivirus for the server,
exchange and the client pc's with the latest pattern file etc.
I've checked my entire hard disk and can find no tampered html, htm,
asp, php files. I do not have "readme.eml", readme.exe, admin.dll,
default.ida or any of the other interesting files on my disk. However,
I'm seeing activity from my server box that looks like I might be
infected. Please can someone take a look at the following events and
help me to understand them as I'm a newbie to this stuff!
Thanks very much,
Peter Borner
Generated by ACID v0.9.6b13 on Wed September 19, 2001 13:55:27
------------------------------------------------------------------------
------
#(1 - 1025509) [2001-09-19 11:37:06] WEB-IIS Unauthorized IP Access
Attempt
IPv4: 62.49.145.34 -> 62.49.150.190
hlen=5 TOS=0 dlen00 IDF733 flags=0 offset=0 TTL8
chksum9499
TCP: port -> dport: 2482 flags=***A**** seq47424953
ackt164489 off=5 res=0 win375 urp=0 chksumf42
Payload: length = 1460
000 : 72 76 65 72 49 6E 64 65 78 29 3B 0D 0A 09 09 0D rverIndex);.....
010 : 0A 09 2F 2F 66 6F 72 20 64 69 73 70 6C 61 79 2C ..//for display,
020 : 20 77 65 20 6E 65 65 64 20 74 6F 20 73 6B 69 70 we need to skip
030 : 20 61 66 74 65 72 20 68 74 74 70 3A 2F 2F 2C 20 after http://,
040 : 61 6E 64 20 67 6F 20 74 6F 20 74 68 65 20 6E 65 and go to the ne
050 : 78 74 20 73 6C 61 73 68 0D 0A 09 64 69 73 70 6C xt slash...displ
060 : 61 79 72 65 73 75 6C 74 3D 44 6F 63 55 52 4C 2E ayresult=DocURL.
070 : 73 75 62 73 74 72 69 6E 67 28 70 72 6F 74 6F 63 substring(protoc
080 : 6F 6C 49 6E 64 65 78 20 2B 20 33 20 2C 73 65 72 olIndex + 3 ,ser
090 : 76 65 72 49 6E 64 65 78 29 3B 0D 0A 09 64 6F 63 verIndex);...doc
0a0 : 75 6D 65 6E 74 2E 77 72 69 74 65 28 20 27 3C 41 ument.write(
'<A
0b0 : 20 48 52 45 46 3D 22 27 20 2B 20 65 73 63 61 70 HREF="' +
escap
0c0 : 65 28 75 72 6C 72 65 73 75 6C 74 29 20 2B 20 27 e(urlresult) + '
0d0 : 22 3E 27 20 2B 20 64 69 73 70 6C 61 79 72 65 73 ">' +
displayres
0e0 : 75 6C 74 20 2B 20 22 3C 2F 61 3E 22 29 3B 0D 0A ult +
"</a>");..
0f0 : 7D 0D 0A 2F 2F 2D 2D 3E 0D 0A 3C 2F 73 63 72 69
}..//-->..</scri
100 : 70 74 3E 0D 0A 0D 0A 3C 62 6F 64 79 20 62 67 63
pt>....<body bgc
110 : 6F 6C 6F 72 3D 22 46 46 46 46 46 46 22 3E 0D 0A
olor="FFFFFF">..
120 : 0D 0A 3C 74 61 62 6C 65 20 77 69 64 74 68 3D 22 ..<table
width="
130 : 34 31 30 22 20 63 65 6C 6C 70 61 64 64 69 6E 67 410"
cellpadding
140 : 3D 22 33 22 20 63 65 6C 6C 73 70 61 63 69 6E 67 ="3"
cellspacing
150 : 3D 22 35 22 3E 0D 0A 0D 0A 20 20 3C 74 72 3E 20
="5">.... <tr>
160 : 20 20 20 0D 0A 20 20 20 20 3C 74 64 20 61 6C 69 .. <td
ali
170 : 67 6E 3D 22 6C 65 66 74 22 20 76 61 6C 69 67 6E
gn="left" valign
180 : 3D 22 6D 69 64 64 6C 65 22 20 77 69 64 74 68 3D
="middle" width=
190 : 22 33 36 30 22 3E 0D 0A 09 3C 68 31 20 73 74 79
"360">...<h1 sty
1a0 : 6C 65 3D 22 43 4F 4C 4F 52 3A 30 30 30 30 30 30
le="COLOR:000000
1b0 : 3B 20 46 4F 4E 54 3A 20 31 33 70 74 2F 31 35 70 ; FONT: 13pt/15p
1c0 : 74 20 76 65 72 64 61 6E 61 22 3E 3C 21 2D 2D 50 t
verdana"><!--P
1d0 : 72 6F 62 6C 65 6D 2D 2D 3E 59 6F 75 20 61 72 65 roblem-->You
are
1e0 : 20 6E 6F 74 20 61 75 74 68 6F 72 69 7A 65 64 20 not authorized
1f0 : 74 6F 20 76 69 65 77 20 74 68 69 73 20 70 61 67 to view this pag
200 : 65 3C 2F 68 31 3E 0D 0A 20 20 20 20 3C 2F 74 64 e</h1>..
</td
210 : 3E 0D 0A 20 20 3C 2F 74 72 3E 0D 0A 20 20 0D 0A >..
</tr>.. ..
220 : 20 20 3C 74 72 3E 0D 0A 20 20 20 20 3C 74 64 20 <tr>..
<td
230 : 77 69 64 74 68 3D 22 34 30 30 22 20 63 6F 6C 73
width="400" cols
240 : 70 61 6E 3D 22 32 22 3E 0D 0A 09 3C 66 6F 6E 74
pan="2">...<font
250 : 20 73 74 79 6C 65 3D 22 43 4F 4C 4F 52 3A 30 30
style="COLOR:00
260 : 30 30 30 30 3B 20 46 4F 4E 54 3A 20 38 70 74 2F 0000; FONT: 8pt/
270 : 31 31 70 74 20 76 65 72 64 61 6E 61 22 3E 59 6F 11pt
verdana">Yo
280 : 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 70 65 u do not have pe
290 : 72 6D 69 73 73 69 6F 6E 20 74 6F 20 76 69 65 77 rmission to view
2a0 : 20 74 68 69 73 20 64 69 72 65 63 74 6F 72 79 20 this directory
2b0 : 6F 72 20 70 61 67 65 20 66 72 6F 6D 20 74 68 65 or page from the
2c0 : 20 49 6E 74 65 72 6E 65 74 20 61 64 64 72 65 73 Internet addres
2d0 : 73 20 6F 66 20 79 6F 75 72 20 57 65 62 20 62 72 s of your Web br
2e0 : 6F 77 73 65 72 2E 3C 2F 66 6F 6E 74 3E 3C 2F 74
owser.</font></t
2f0 : 64 3E 0D 0A 20 20 3C 2F 74 72 3E 0D 0A 20 20 0D d>..
</tr>.. .
300 : 0A 20 20 3C 74 72 3E 0D 0A 20 20 20 20 3C 74 64 . <tr>..
<td
310 : 20 77 69 64 74 68 3D 22 34 30 30 22 20 63 6F 6C
width="400" col
320 : 73 70 61 6E 3D 22 32 22 3E 0D 0A 09 3C 66 6F 6E
span="2">...<fon
330 : 74 20 73 74 79 6C 65 3D 22 43 4F 4C 4F 52 3A 30 t
style="COLOR:0
340 : 30 30 30 30 30 3B 20 46 4F 4E 54 3A 20 38 70 74 00000; FONT: 8pt
350 : 2F 31 31 70 74 20 76 65 72 64 61 6E 61 22 3E 0D /11pt
verdana">.
360 : 0A 09 0D 0A 09 3C 68 72 20 63 6F 6C 6F 72 3D 22 .....<hr
color="
370 : 23 43 30 43 30 43 30 22 20 6E 6F 73 68 61 64 65 #C0C0C0"
noshade
380 : 3E 0D 0A 09 0D 0A 20 20 20 20 3C 70 3E 49 66 20 >.....
<p>If
390 : 79 6F 75 20 62 65 6C 69 65 76 65 20 79 6F 75 20 you believe you
3a0 : 73 68 6F 75 6C 64 20 62 65 20 61 62 6C 65 20 74 should be able t
3b0 : 6F 20 76 69 65 77 20 74 68 69 73 20 64 69 72 65 o view this dire
3c0 : 63 74 6F 72 79 20 6F 72 20 70 61 67 65 2C 20 70 ctory or page, p
3d0 : 6C 65 61 73 65 20 63 6F 6E 74 61 63 74 20 74 68 lease contact th
3e0 : 65 20 57 65 62 20 73 69 74 65 20 61 64 6D 69 6E e Web site admin
3f0 : 69 73 74 72 61 74 6F 72 20 62 79 20 75 73 69 6E istrator by usin
400 : 67 20 74 68 65 20 65 2D 6D 61 69 6C 20 61 64 64 g the e-mail add
410 : 72 65 73 73 20 6F 72 20 70 68 6F 6E 65 20 6E 75 ress or phone nu
420 : 6D 62 65 72 20 6C 69 73 74 65 64 20 6F 6E 20 74 mber listed on t
430 : 68 65 0D 0A 20 0D 0A 09 3C 73 63 72 69 70 74 3E he..
...<script>
440 : 0D 0A 09 3C 21 2D 2D 0D 0A 09 69 66 20 28 21 28 ...<!--...if
(!(
450 : 28 77 69 6E 64 6F 77 2E 6E 61 76 69 67 61 74 6F (window.navigato
460 : 72 2E 75 73 65 72 41 67 65 6E 74 2E 69 6E 64 65 r.userAgent.inde
470 : 78 4F 66 28 22 4D 53 49 45 22 29 20 3E 20 30 29
xOf("MSIE") > 0)
480 : 20 26 26 20 28 77 69 6E 64 6F 77 2E 6E 61 76 69 &&
(window.navi
490 : 67 61 74 6F 72 2E 61 70 70 56 65 72 73 69 6F 6E gator.appVersion
4a0 : 2E 63 68 61 72 41 74 28 30 29 20 3D 3D 20 22 32 .charAt(0) ==
"2
4b0 : 22 29 29 29 0D 0A 09 7B 0D 0A 09 09 20 48 6F 6D
")))...{.... Hom
4c0 : 65 70 61 67 65 28 29 3B 0D 0A 09 7D 0D 0A 09 2F epage();...}.../
4d0 : 2F 2D 2D 3E 0D 0A 09 3C 2F 73 63 72 69 70 74 3E
/-->...</script>
4e0 : 0D 0A 0D 0A 09 68 6F 6D 65 20 70 61 67 65 2E 3C .....home
page.<
4f0 : 2F 70 3E 0D 0A 09 0D 0A 20 20 20 20 3C 68 32 20 /p>.....
<h2
500 : 73 74 79 6C 65 3D 22 66 6F 6E 74 3A 38 70 74 2F
style="font:8pt/
510 : 31 31 70 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 11pt verdana; co
520 : 6C 6F 72 3A 30 30 30 30 30 30 22 3E 48 54 54 50
lor:000000">HTTP
530 : 20 34 30 33 2E 36 20 2D 20 46 6F 72 62 69 64 64 403.6 - Forbidd
540 : 65 6E 3A 20 49 50 20 61 64 64 72 65 73 73 20 72 en: IP address r
550 : 65 6A 65 63 74 65 64 3C 62 72 3E 0D 0A 20 20 20
ejected<br>..
560 : 20 49 6E 74 65 72 6E 65 74 20 49 6E 66 6F 72 6D Internet Inform
570 : 61 74 69 6F 6E 20 53 65 72 76 69 63 65 73 3C 2F ation
Services</
580 : 68 32 3E 0D 0A 0D 0A 09 3C 68 72 20 63 6F 6C 6F
h2>.....<hr colo
590 : 72 3D 22 23 43 30 43 30 43 30 22 20 6E 6F 73 68
r="#C0C0C0" nosh
5a0 : 61 64 65 3E 0D 0A 09 0D 0A 09 3C 70 3E 54 65 63
ade>......<p>Tec
5b0 : 68 6E 69 63 hnic
------------------------------------------------------------------------
------
#(1 - 1025508) [2001-09-19 11:37:06] WEB-MISC 403 Forbidden
IPv4: 62.49.145.34 -> 62.49.150.190
hlen=5 TOS=0 dlen00 IDF732 flags=0 offset=0 TTL8
chksum9500
TCP: port -> dport: 2482 flags=***A**** seq47423493
ackt164489 off=5 res=0 win375 urp=0 chksumc422
Payload: length = 1460
000 : 48 54 54 50 2F 31 2E 31 20 34 30 33 20 41 63 63 HTTP/1.1 403 Acc
010 : 65 73 73 20 46 6F 72 62 69 64 64 65 6E 0D 0A 53 ess Forbidden..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft
030 : 2D 49 49 53 2F 35 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/5.0..Date:
040 : 57 65 64 2C 20 31 39 20 53 65 70 20 32 30 30 31 Wed, 19 Sep 2001
050 : 20 31 30 3A 34 31 3A 32 32 20 47 4D 54 0D 0A 43 10:41:22 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 33 ontent-Length: 3
070 : 32 39 35 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 295..Content-Typ
080 : 65 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A e: text/html....
090 : 3C 21 44 4F 43 54 59 50 45 20 48 54 4D 4C 20 50 <!DOCTYPE
HTML P
0a0 : 55 42 4C 49 43 20 22 2D 2F 2F 57 33 43 2F 2F 44 UBLIC
"-//W3C//D
0b0 : 54 44 20 48 54 4D 4C 20 33 2E 32 20 46 69 6E 61 TD HTML 3.2 Fina
0c0 : 6C 2F 2F 45 4E 22 3E 0D 0A 3C 68 74 6D 6C 20 64
l//EN">..<html d
0d0 : 69 72 3D 6C 74 72 3E 0D 0A 0D 0A 3C 68 65 61 64
ir=ltr>....<head
0e0 : 3E 0D 0A 3C 73 74 79 6C 65 3E 0D 0A 61 3A 6C 69
>..<style>..a:li
0f0 : 6E 6B 20 20 20 20 20 20 20 20 20 20 20 20 20 20 nk
100 : 20 20 20 20 7B 66 6F 6E 74 3A 38 70 74 2F 31 31 {font:8pt/11
110 : 70 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 6C 6F pt verdana; colo
120 : 72 3A 46 46 30 30 30 30 7D 0D 0A 61 3A 76 69 73 r:FF0000}..a:vis
130 : 69 74 65 64 20 20 20 20 20 20 20 20 20 20 20 20 ited
140 : 20 20 20 7B 66 6F 6E 74 3A 38 70 74 2F 31 31 70 {font:8pt/11p
150 : 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 6C 6F 72 t verdana; color
160 : 3A 23 34 65 34 65 34 65 7D 0D 0A 3C 2F 73 74 79
:#4e4e4e}..</sty
170 : 6C 65 3E 0D 0A 0D 0A 3C 4D 45 54 41 20 4E 41 4D
le>....<META NAM
180 : 45 3D 22 52 4F 42 4F 54 53 22 20 43 4F 4E 54 45
E="ROBOTS" CONTE
190 : 4E 54 3D 22 4E 4F 49 4E 44 45 58 22 3E 0D 0A 0D
NT="NOINDEX">...
1a0 : 0A 3C 74 69 74 6C 65 3E 59 6F 75 20 61 72 65 20
.<title>You are
1b0 : 6E 6F 74 20 61 75 74 68 6F 72 69 7A 65 64 20 74 not authorized t
1c0 : 6F 20 76 69 65 77 20 74 68 69 73 20 70 61 67 65 o view this page
1d0 : 3C 2F 74 69 74 6C 65 3E 0D 0A 0D 0A 3C 4D 45 54
</title>....<MET
1e0 : 41 20 48 54 54 50 2D 45 51 55 49 56 3D 22 43 6F A
HTTP-EQUIV="Co
1f0 : 6E 74 65 6E 74 2D 54 79 70 65 22 20 43 6F 6E 74 ntent-Type"
Cont
200 : 65 6E 74 3D 22 74 65 78 74 2D 68 74 6D 6C 3B 20
ent="text-html;
210 : 63 68 61 72 73 65 74 3D 57 69 6E 64 6F 77 73 2D charset=Windows-
220 : 31 32 35 32 22 3E 0D 0A 3C 2F 68 65 61 64 3E 0D
1252">..</head>.
230 : 0A 0D 0A 3C 73 63 72 69 70 74 3E 20 0D 0A 3C 21
...<script> ..<!
240 : 2D 2D 0D 0A 66 75 6E 63 74 69 6F 6E 20 48 6F 6D --..function Hom
250 : 65 70 61 67 65 28 29 7B 0D 0A 0D 0A 2F 2F 20 69 epage(){....// i
260 : 6E 20 72 65 61 6C 20 62 69 74 73 2C 20 75 72 6C n real bits, url
270 : 73 20 67 65 74 20 72 65 74 75 72 6E 65 64 20 74 s get returned t
280 : 6F 20 6F 75 72 20 73 63 72 69 70 74 20 6C 69 6B o our script lik
290 : 65 20 74 68 69 73 3A 0D 0A 2F 2F 20 72 65 73 3A e this:..// res:
2a0 : 2F 2F 73 68 64 6F 63 76 77 2E 64 6C 6C 2F 68 74 //shdocvw.dll/ht
2b0 : 74 70 5F 34 30 34 2E 68 74 6D 23 68 74 74 70 3A tp_404.htm#http:
2c0 : 2F 2F 77 77 77 2E 44 6F 63 55 52 4C 2E 63 6F 6D //www.DocURL.com
2d0 : 2F 62 61 72 2E 68 74 6D 20 0D 0A 0D 0A 09 2F 2F /bar.htm .....//
2e0 : 46 6F 72 20 74 65 73 74 69 6E 67 20 75 73 65 20 For testing use
2f0 : 44 6F 63 55 52 4C 20 3D 20 22 72 65 73 3A 2F 2F DocURL =
"res://
300 : 73 68 64 6F 63 76 77 2E 64 6C 6C 2F 68 74 74 70 shdocvw.dll/http
310 : 5F 34 30 34 2E 68 74 6D 23 68 74 74 70 73 3A 2F _404.htm#https:/
320 : 2F 77 77 77 2E 6D 69 63 72 6F 73 6F 66 74 2E 63 /www.microsoft.c
330 : 6F 6D 2F 62 61 72 2E 68 74 6D 22 0D 0A 09 44 6F
om/bar.htm"...Do
340 : 63 55 52 4C 3D 64 6F 63 75 6D 65 6E 74 2E 55 52 cURL=document.UR
350 : 4C 3B 0D 0A 09 0D 0A 09 2F 2F 74 68 69 73 20 69 L;......//this i
360 : 73 20 77 68 65 72 65 20 74 68 65 20 68 74 74 70 s where the http
370 : 20 6F 72 20 68 74 74 70 73 20 77 69 6C 6C 20 62 or https will b
380 : 65 2C 20 61 73 20 66 6F 75 6E 64 20 62 79 20 73 e, as found by s
390 : 65 61 72 63 68 69 6E 67 20 66 6F 72 20 3A 2F 2F earching for ://
3a0 : 20 62 75 74 20 73 6B 69 70 70 69 6E 67 20 74 68 but skipping th
3b0 : 65 20 72 65 73 3A 2F 2F 0D 0A 09 70 72 6F 74 6F e res://...proto
3c0 : 63 6F 6C 49 6E 64 65 78 3D 44 6F 63 55 52 4C 2E colIndex=DocURL.
3d0 : 69 6E 64 65 78 4F 66 28 22 3A 2F 2F 22 2C 34 29
indexOf("://",4)
3e0 : 3B 0D 0A 09 0D 0A 09 2F 2F 74 68 69 73 20 66 69 ;......//this fi
3f0 : 6E 64 73 20 74 68 65 20 65 6E 64 69 6E 67 20 73 nds the ending s
400 : 6C 61 73 68 20 66 6F 72 20 74 68 65 20 64 6F 6D lash for the dom
410 : 61 69 6E 20 73 65 72 76 65 72 20 0D 0A 09 73 65 ain server ...se
420 : 72 76 65 72 49 6E 64 65 78 3D 44 6F 63 55 52 4C rverIndex=DocURL
430 : 2E 69 6E 64 65 78 4F 66 28 22 2F 22 2C 70 72 6F
.indexOf("/",pro
440 : 74 6F 63 6F 6C 49 6E 64 65 78 20 2B 20 33 29 3B tocolIndex + 3);
450 : 0D 0A 0D 0A 09 2F 2F 66 6F 72 20 74 68 65 20 68 .....//for the h
460 : 72 65 66 2C 20 77 65 20 6E 65 65 64 20 61 20 76 ref, we need a v
470 : 61 6C 69 64 20 55 52 4C 20 74 6F 20 74 68 65 20 alid URL to the
480 : 64 6F 6D 61 69 6E 2E 20 57 65 20 73 65 61 72 63 domain. We searc
490 : 68 20 66 6F 72 20 74 68 65 20 23 20 73 79 6D 62 h for the # symb
4a0 : 6F 6C 20 74 6F 20 66 69 6E 64 20 74 68 65 20 62 ol to find the b
4b0 : 65 67 69 6E 69 6E 67 20 0D 0A 09 2F 2F 6F 66 20 egining ...//of
4c0 : 74 68 65 20 74 72 75 65 20 55 52 4C 2C 20 61 6E the true URL, an
4d0 : 64 20 61 64 64 20 31 20 74 6F 20 73 6B 69 70 20 d add 1 to skip
4e0 : 69 74 20 2D 20 74 68 69 73 20 69 73 20 74 68 65 it - this is the
4f0 : 20 42 65 67 69 6E 55 52 4C 20 76 61 6C 75 65 2E BeginURL value.
500 : 20 57 65 20 75 73 65 20 73 65 72 76 65 72 49 6E We use serverIn
510 : 64 65 78 20 61 73 20 74 68 65 20 65 6E 64 20 6D dex as the end m
520 : 61 72 6B 65 72 2E 0D 0A 09 2F 2F 75 72 6C 72 65 arker....//urlre
530 : 73 75 6C 74 3D 44 6F 63 55 52 4C 2E 73 75 62 73 sult=DocURL.subs
540 : 74 72 69 6E 67 28 70 72 6F 74 6F 63 6F 6C 49 6E tring(protocolIn
550 : 64 65 78 20 2D 20 34 2C 73 65 72 76 65 72 49 6E dex - 4,serverIn
560 : 64 65 78 29 3B 0D 0A 09 42 65 67 69 6E 55 52 4C dex);...BeginURL
570 : 3D 44 6F 63 55 52 4C 2E 69 6E 64 65 78 4F 66 28 =DocURL.indexOf(
580 : 22 23 22 2C 31 29 20 2B 20 31 3B 0D 0A 09 75 72 "#",1)
+ 1;...ur
590 : 6C 72 65 73 75 6C 74 3D 44 6F 63 55 52 4C 2E 73 lresult=DocURL.s
5a0 : 75 62 73 74 72 69 6E 67 28 42 65 67 69 6E 55 52 ubstring(BeginUR
5b0 : 4C 2C 73 65 L,se
------------------------------------------------------------------------
------
#(1 - 1025500) [2001-09-19 11:37:05] WEB-MISC 403 Forbidden
IPv4: 62.49.145.34 -> 62.49.150.190
hlen=5 TOS=0 dlen00 IDF694 flags=0 offset=0 TTL8
chksum9538
TCP: port -> dport: 2430 flags=***A**** seq46725484
ackt162806 off=5 res=0 win450 urp=0 chksumB462
Payload: length = 1460
000 : 48 54 54 50 2F 31 2E 31 20 34 30 33 20 41 63 63 HTTP/1.1 403 Acc
010 : 65 73 73 20 46 6F 72 62 69 64 64 65 6E 0D 0A 53 ess Forbidden..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft
030 : 2D 49 49 53 2F 35 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/5.0..Date:
040 : 57 65 64 2C 20 31 39 20 53 65 70 20 32 30 30 31 Wed, 19 Sep 2001
050 : 20 31 30 3A 34 31 3A 32 31 20 47 4D 54 0D 0A 43 10:41:21 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 33 ontent-Length: 3
070 : 32 39 35 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 295..Content-Typ
080 : 65 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A e: text/html....
090 : 3C 21 44 4F 43 54 59 50 45 20 48 54 4D 4C 20 50 <!DOCTYPE
HTML P
0a0 : 55 42 4C 49 43 20 22 2D 2F 2F 57 33 43 2F 2F 44 UBLIC
"-//W3C//D
0b0 : 54 44 20 48 54 4D 4C 20 33 2E 32 20 46 69 6E 61 TD HTML 3.2 Fina
0c0 : 6C 2F 2F 45 4E 22 3E 0D 0A 3C 68 74 6D 6C 20 64
l//EN">..<html d
0d0 : 69 72 3D 6C 74 72 3E 0D 0A 0D 0A 3C 68 65 61 64
ir=ltr>....<head
0e0 : 3E 0D 0A 3C 73 74 79 6C 65 3E 0D 0A 61 3A 6C 69
>..<style>..a:li
0f0 : 6E 6B 20 20 20 20 20 20 20 20 20 20 20 20 20 20 nk
100 : 20 20 20 20 7B 66 6F 6E 74 3A 38 70 74 2F 31 31 {font:8pt/11
110 : 70 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 6C 6F pt verdana; colo
120 : 72 3A 46 46 30 30 30 30 7D 0D 0A 61 3A 76 69 73 r:FF0000}..a:vis
130 : 69 74 65 64 20 20 20 20 20 20 20 20 20 20 20 20 ited
140 : 20 20 20 7B 66 6F 6E 74 3A 38 70 74 2F 31 31 70 {font:8pt/11p
150 : 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 6C 6F 72 t verdana; color
160 : 3A 23 34 65 34 65 34 65 7D 0D 0A 3C 2F 73 74 79
:#4e4e4e}..</sty
170 : 6C 65 3E 0D 0A 0D 0A 3C 4D 45 54 41 20 4E 41 4D
le>....<META NAM
180 : 45 3D 22 52 4F 42 4F 54 53 22 20 43 4F 4E 54 45
E="ROBOTS" CONTE
190 : 4E 54 3D 22 4E 4F 49 4E 44 45 58 22 3E 0D 0A 0D
NT="NOINDEX">...
1a0 : 0A 3C 74 69 74 6C 65 3E 59 6F 75 20 61 72 65 20
.<title>You are
1b0 : 6E 6F 74 20 61 75 74 68 6F 72 69 7A 65 64 20 74 not authorized t
1c0 : 6F 20 76 69 65 77 20 74 68 69 73 20 70 61 67 65 o view this page
1d0 : 3C 2F 74 69 74 6C 65 3E 0D 0A 0D 0A 3C 4D 45 54
</title>....<MET
1e0 : 41 20 48 54 54 50 2D 45 51 55 49 56 3D 22 43 6F A
HTTP-EQUIV="Co
1f0 : 6E 74 65 6E 74 2D 54 79 70 65 22 20 43 6F 6E 74 ntent-Type"
Cont
200 : 65 6E 74 3D 22 74 65 78 74 2D 68 74 6D 6C 3B 20
ent="text-html;
210 : 63 68 61 72 73 65 74 3D 57 69 6E 64 6F 77 73 2D charset=Windows-
220 : 31 32 35 32 22 3E 0D 0A 3C 2F 68 65 61 64 3E 0D
1252">..</head>.
230 : 0A 0D 0A 3C 73 63 72 69 70 74 3E 20 0D 0A 3C 21
...<script> ..<!
240 : 2D 2D 0D 0A 66 75 6E 63 74 69 6F 6E 20 48 6F 6D --..function Hom
250 : 65 70 61 67 65 28 29 7B 0D 0A 0D 0A 2F 2F 20 69 epage(){....// i
260 : 6E 20 72 65 61 6C 20 62 69 74 73 2C 20 75 72 6C n real bits, url
270 : 73 20 67 65 74 20 72 65 74 75 72 6E 65 64 20 74 s get returned t
280 : 6F 20 6F 75 72 20 73 63 72 69 70 74 20 6C 69 6B o our script lik
290 : 65 20 74 68 69 73 3A 0D 0A 2F 2F 20 72 65 73 3A e this:..// res:
2a0 : 2F 2F 73 68 64 6F 63 76 77 2E 64 6C 6C 2F 68 74 //shdocvw.dll/ht
2b0 : 74 70 5F 34 30 34 2E 68 74 6D 23 68 74 74 70 3A tp_404.htm#http:
2c0 : 2F 2F 77 77 77 2E 44 6F 63 55 52 4C 2E 63 6F 6D //www.DocURL.com
2d0 : 2F 62 61 72 2E 68 74 6D 20 0D 0A 0D 0A 09 2F 2F /bar.htm .....//
2e0 : 46 6F 72 20 74 65 73 74 69 6E 67 20 75 73 65 20 For testing use
2f0 : 44 6F 63 55 52 4C 20 3D 20 22 72 65 73 3A 2F 2F DocURL =
"res://
300 : 73 68 64 6F 63 76 77 2E 64 6C 6C 2F 68 74 74 70 shdocvw.dll/http
310 : 5F 34 30 34 2E 68 74 6D 23 68 74 74 70 73 3A 2F _404.htm#https:/
320 : 2F 77 77 77 2E 6D 69 63 72 6F 73 6F 66 74 2E 63 /www.microsoft.c
330 : 6F 6D 2F 62 61 72 2E 68 74 6D 22 0D 0A 09 44 6F
om/bar.htm"...Do
340 : 63 55 52 4C 3D 64 6F 63 75 6D 65 6E 74 2E 55 52 cURL=document.UR
350 : 4C 3B 0D 0A 09 0D 0A 09 2F 2F 74 68 69 73 20 69 L;......//this i
360 : 73 20 77 68 65 72 65 20 74 68 65 20 68 74 74 70 s where the http
370 : 20 6F 72 20 68 74 74 70 73 20 77 69 6C 6C 20 62 or https will b
380 : 65 2C 20 61 73 20 66 6F 75 6E 64 20 62 79 20 73 e, as found by s
390 : 65 61 72 63 68 69 6E 67 20 66 6F 72 20 3A 2F 2F earching for ://
3a0 : 20 62 75 74 20 73 6B 69 70 70 69 6E 67 20 74 68 but skipping th
3b0 : 65 20 72 65 73 3A 2F 2F 0D 0A 09 70 72 6F 74 6F e res://...proto
3c0 : 63 6F 6C 49 6E 64 65 78 3D 44 6F 63 55 52 4C 2E colIndex=DocURL.
3d0 : 69 6E 64 65 78 4F 66 28 22 3A 2F 2F 22 2C 34 29
indexOf("://",4)
3e0 : 3B 0D 0A 09 0D 0A 09 2F 2F 74 68 69 73 20 66 69 ;......//this fi
3f0 : 6E 64 73 20 74 68 65 20 65 6E 64 69 6E 67 20 73 nds the ending s
400 : 6C 61 73 68 20 66 6F 72 20 74 68 65 20 64 6F 6D lash for the dom
410 : 61 69 6E 20 73 65 72 76 65 72 20 0D 0A 09 73 65 ain server ...se
420 : 72 76 65 72 49 6E 64 65 78 3D 44 6F 63 55 52 4C rverIndex=DocURL
430 : 2E 69 6E 64 65 78 4F 66 28 22 2F 22 2C 70 72 6F
.indexOf("/",pro
440 : 74 6F 63 6F 6C 49 6E 64 65 78 20 2B 20 33 29 3B tocolIndex + 3);
450 : 0D 0A 0D 0A 09 2F 2F 66 6F 72 20 74 68 65 20 68 .....//for the h
460 : 72 65 66 2C 20 77 65 20 6E 65 65 64 20 61 20 76 ref, we need a v
470 : 61 6C 69 64 20 55 52 4C 20 74 6F 20 74 68 65 20 alid URL to the
480 : 64 6F 6D 61 69 6E 2E 20 57 65 20 73 65 61 72 63 domain. We searc
490 : 68 20 66 6F 72 20 74 68 65 20 23 20 73 79 6D 62 h for the # symb
4a0 : 6F 6C 20 74 6F 20 66 69 6E 64 20 74 68 65 20 62 ol to find the b
4b0 : 65 67 69 6E 69 6E 67 20 0D 0A 09 2F 2F 6F 66 20 egining ...//of
4c0 : 74 68 65 20 74 72 75 65 20 55 52 4C 2C 20 61 6E the true URL, an
4d0 : 64 20 61 64 64 20 31 20 74 6F 20 73 6B 69 70 20 d add 1 to skip
4e0 : 69 74 20 2D 20 74 68 69 73 20 69 73 20 74 68 65 it - this is the
4f0 : 20 42 65 67 69 6E 55 52 4C 20 76 61 6C 75 65 2E BeginURL value.
500 : 20 57 65 20 75 73 65 20 73 65 72 76 65 72 49 6E We use serverIn
510 : 64 65 78 20 61 73 20 74 68 65 20 65 6E 64 20 6D dex as the end m
520 : 61 72 6B 65 72 2E 0D 0A 09 2F 2F 75 72 6C 72 65 arker....//urlre
530 : 73 75 6C 74 3D 44 6F 63 55 52 4C 2E 73 75 62 73 sult=DocURL.subs
540 : 74 72 69 6E 67 28 70 72 6F 74 6F 63 6F 6C 49 6E tring(protocolIn
550 : 64 65 78 20 2D 20 34 2C 73 65 72 76 65 72 49 6E dex - 4,serverIn
560 : 64 65 78 29 3B 0D 0A 09 42 65 67 69 6E 55 52 4C dex);...BeginURL
570 : 3D 44 6F 63 55 52 4C 2E 69 6E 64 65 78 4F 66 28 =DocURL.indexOf(
580 : 22 23 22 2C 31 29 20 2B 20 31 3B 0D 0A 09 75 72 "#",1)
+ 1;...ur
590 : 6C 72 65 73 75 6C 74 3D 44 6F 63 55 52 4C 2E 73 lresult=DocURL.s
5a0 : 75 62 73 74 72 69 6E 67 28 42 65 67 69 6E 55 52 ubstring(BeginUR
5b0 : 4C 2C 73 65 L,se
------------------------------------------------------------------------
------
#(1 - 1025501) [2001-09-19 11:37:05] WEB-IIS Unauthorized IP Access
Attempt
IPv4: 62.49.145.34 -> 62.49.150.190
hlen=5 TOS=0 dlen00 IDF695 flags=0 offset=0 TTL8
chksum9537
TCP: port -> dport: 2430 flags=***A**** seq46726944
ackt162806 off=5 res=0 win450 urp=0 chksumP961
Payload: length = 1460
000 : 72 76 65 72 49 6E 64 65 78 29 3B 0D 0A 09 09 0D rverIndex);.....
010 : 0A 09 2F 2F 66 6F 72 20 64 69 73 70 6C 61 79 2C ..//for display,
020 : 20 77 65 20 6E 65 65 64 20 74 6F 20 73 6B 69 70 we need to skip
030 : 20 61 66 74 65 72 20 68 74 74 70 3A 2F 2F 2C 20 after http://,
040 : 61 6E 64 20 67 6F 20 74 6F 20 74 68 65 20 6E 65 and go to the ne
050 : 78 74 20 73 6C 61 73 68 0D 0A 09 64 69 73 70 6C xt slash...displ
060 : 61 79 72 65 73 75 6C 74 3D 44 6F 63 55 52 4C 2E ayresult=DocURL.
070 : 73 75 62 73 74 72 69 6E 67 28 70 72 6F 74 6F 63 substring(protoc
080 : 6F 6C 49 6E 64 65 78 20 2B 20 33 20 2C 73 65 72 olIndex + 3 ,ser
090 : 76 65 72 49 6E 64 65 78 29 3B 0D 0A 09 64 6F 63 verIndex);...doc
0a0 : 75 6D 65 6E 74 2E 77 72 69 74 65 28 20 27 3C 41 ument.write(
'<A
0b0 : 20 48 52 45 46 3D 22 27 20 2B 20 65 73 63 61 70 HREF="' +
escap
0c0 : 65 28 75 72 6C 72 65 73 75 6C 74 29 20 2B 20 27 e(urlresult) + '
0d0 : 22 3E 27 20 2B 20 64 69 73 70 6C 61 79 72 65 73 ">' +
displayres
0e0 : 75 6C 74 20 2B 20 22 3C 2F 61 3E 22 29 3B 0D 0A ult +
"</a>");..
0f0 : 7D 0D 0A 2F 2F 2D 2D 3E 0D 0A 3C 2F 73 63 72 69
}..//-->..</scri
100 : 70 74 3E 0D 0A 0D 0A 3C 62 6F 64 79 20 62 67 63
pt>....<body bgc
110 : 6F 6C 6F 72 3D 22 46 46 46 46 46 46 22 3E 0D 0A
olor="FFFFFF">..
120 : 0D 0A 3C 74 61 62 6C 65 20 77 69 64 74 68 3D 22 ..<table
width="
130 : 34 31 30 22 20 63 65 6C 6C 70 61 64 64 69 6E 67 410"
cellpadding
140 : 3D 22 33 22 20 63 65 6C 6C 73 70 61 63 69 6E 67 ="3"
cellspacing
150 : 3D 22 35 22 3E 0D 0A 0D 0A 20 20 3C 74 72 3E 20
="5">.... <tr>
160 : 20 20 20 0D 0A 20 20 20 20 3C 74 64 20 61 6C 69 .. <td
ali
170 : 67 6E 3D 22 6C 65 66 74 22 20 76 61 6C 69 67 6E
gn="left" valign
180 : 3D 22 6D 69 64 64 6C 65 22 20 77 69 64 74 68 3D
="middle" width=
190 : 22 33 36 30 22 3E 0D 0A 09 3C 68 31 20 73 74 79
"360">...<h1 sty
1a0 : 6C 65 3D 22 43 4F 4C 4F 52 3A 30 30 30 30 30 30
le="COLOR:000000
1b0 : 3B 20 46 4F 4E 54 3A 20 31 33 70 74 2F 31 35 70 ; FONT: 13pt/15p
1c0 : 74 20 76 65 72 64 61 6E 61 22 3E 3C 21 2D 2D 50 t
verdana"><!--P
1d0 : 72 6F 62 6C 65 6D 2D 2D 3E 59 6F 75 20 61 72 65 roblem-->You
are
1e0 : 20 6E 6F 74 20 61 75 74 68 6F 72 69 7A 65 64 20 not authorized
1f0 : 74 6F 20 76 69 65 77 20 74 68 69 73 20 70 61 67 to view this pag
200 : 65 3C 2F 68 31 3E 0D 0A 20 20 20 20 3C 2F 74 64 e</h1>..
</td
210 : 3E 0D 0A 20 20 3C 2F 74 72 3E 0D 0A 20 20 0D 0A >..
</tr>.. ..
220 : 20 20 3C 74 72 3E 0D 0A 20 20 20 20 3C 74 64 20 <tr>..
<td
230 : 77 69 64 74 68 3D 22 34 30 30 22 20 63 6F 6C 73
width="400" cols
240 : 70 61 6E 3D 22 32 22 3E 0D 0A 09 3C 66 6F 6E 74
pan="2">...<font
250 : 20 73 74 79 6C 65 3D 22 43 4F 4C 4F 52 3A 30 30
style="COLOR:00
260 : 30 30 30 30 3B 20 46 4F 4E 54 3A 20 38 70 74 2F 0000; FONT: 8pt/
270 : 31 31 70 74 20 76 65 72 64 61 6E 61 22 3E 59 6F 11pt
verdana">Yo
280 : 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 70 65 u do not have pe
290 : 72 6D 69 73 73 69 6F 6E 20 74 6F 20 76 69 65 77 rmission to view
2a0 : 20 74 68 69 73 20 64 69 72 65 63 74 6F 72 79 20 this directory
2b0 : 6F 72 20 70 61 67 65 20 66 72 6F 6D 20 74 68 65 or page from the
2c0 : 20 49 6E 74 65 72 6E 65 74 20 61 64 64 72 65 73 Internet addres
2d0 : 73 20 6F 66 20 79 6F 75 72 20 57 65 62 20 62 72 s of your Web br
2e0 : 6F 77 73 65 72 2E 3C 2F 66 6F 6E 74 3E 3C 2F 74
owser.</font></t
2f0 : 64 3E 0D 0A 20 20 3C 2F 74 72 3E 0D 0A 20 20 0D d>..
</tr>.. .
300 : 0A 20 20 3C 74 72 3E 0D 0A 20 20 20 20 3C 74 64 . <tr>..
<td
310 : 20 77 69 64 74 68 3D 22 34 30 30 22 20 63 6F 6C
width="400" col
320 : 73 70 61 6E 3D 22 32 22 3E 0D 0A 09 3C 66 6F 6E
span="2">...<fon
330 : 74 20 73 74 79 6C 65 3D 22 43 4F 4C 4F 52 3A 30 t
style="COLOR:0
340 : 30 30 30 30 30 3B 20 46 4F 4E 54 3A 20 38 70 74 00000; FONT: 8pt
350 : 2F 31 31 70 74 20 76 65 72 64 61 6E 61 22 3E 0D /11pt
verdana">.
360 : 0A 09 0D 0A 09 3C 68 72 20 63 6F 6C 6F 72 3D 22 .....<hr
color="
370 : 23 43 30 43 30 43 30 22 20 6E 6F 73 68 61 64 65 #C0C0C0"
noshade
380 : 3E 0D 0A 09 0D 0A 20 20 20 20 3C 70 3E 49 66 20 >.....
<p>If
390 : 79 6F 75 20 62 65 6C 69 65 76 65 20 79 6F 75 20 you believe you
3a0 : 73 68 6F 75 6C 64 20 62 65 20 61 62 6C 65 20 74 should be able t
3b0 : 6F 20 76 69 65 77 20 74 68 69 73 20 64 69 72 65 o view this dire
3c0 : 63 74 6F 72 79 20 6F 72 20 70 61 67 65 2C 20 70 ctory or page, p
3d0 : 6C 65 61 73 65 20 63 6F 6E 74 61 63 74 20 74 68 lease contact th
3e0 : 65 20 57 65 62 20 73 69 74 65 20 61 64 6D 69 6E e Web site admin
3f0 : 69 73 74 72 61 74 6F 72 20 62 79 20 75 73 69 6E istrator by usin
400 : 67 20 74 68 65 20 65 2D 6D 61 69 6C 20 61 64 64 g the e-mail add
410 : 72 65 73 73 20 6F 72 20 70 68 6F 6E 65 20 6E 75 ress or phone nu
420 : 6D 62 65 72 20 6C 69 73 74 65 64 20 6F 6E 20 74 mber listed on t
430 : 68 65 0D 0A 20 0D 0A 09 3C 73 63 72 69 70 74 3E he..
...<script>
440 : 0D 0A 09 3C 21 2D 2D 0D 0A 09 69 66 20 28 21 28 ...<!--...if
(!(
450 : 28 77 69 6E 64 6F 77 2E 6E 61 76 69 67 61 74 6F (window.navigato
460 : 72 2E 75 73 65 72 41 67 65 6E 74 2E 69 6E 64 65 r.userAgent.inde
470 : 78 4F 66 28 22 4D 53 49 45 22 29 20 3E 20 30 29
xOf("MSIE") > 0)
480 : 20 26 26 20 28 77 69 6E 64 6F 77 2E 6E 61 76 69 &&
(window.navi
490 : 67 61 74 6F 72 2E 61 70 70 56 65 72 73 69 6F 6E gator.appVersion
4a0 : 2E 63 68 61 72 41 74 28 30 29 20 3D 3D 20 22 32 .charAt(0) ==
"2
4b0 : 22 29 29 29 0D 0A 09 7B 0D 0A 09 09 20 48 6F 6D
")))...{.... Hom
4c0 : 65 70 61 67 65 28 29 3B 0D 0A 09 7D 0D 0A 09 2F epage();...}.../
4d0 : 2F 2D 2D 3E 0D 0A 09 3C 2F 73 63 72 69 70 74 3E
/-->...</script>
4e0 : 0D 0A 0D 0A 09 68 6F 6D 65 20 70 61 67 65 2E 3C .....home
page.<
4f0 : 2F 70 3E 0D 0A 09 0D 0A 20 20 20 20 3C 68 32 20 /p>.....
<h2
500 : 73 74 79 6C 65 3D 22 66 6F 6E 74 3A 38 70 74 2F
style="font:8pt/
510 : 31 31 70 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 11pt verdana; co
520 : 6C 6F 72 3A 30 30 30 30 30 30 22 3E 48 54 54 50
lor:000000">HTTP
530 : 20 34 30 33 2E 36 20 2D 20 46 6F 72 62 69 64 64 403.6 - Forbidd
540 : 65 6E 3A 20 49 50 20 61 64 64 72 65 73 73 20 72 en: IP address r
550 : 65 6A 65 63 74 65 64 3C 62 72 3E 0D 0A 20 20 20
ejected<br>..
560 : 20 49 6E 74 65 72 6E 65 74 20 49 6E 66 6F 72 6D Internet Inform
570 : 61 74 69 6F 6E 20 53 65 72 76 69 63 65 73 3C 2F ation
Services</
580 : 68 32 3E 0D 0A 0D 0A 09 3C 68 72 20 63 6F 6C 6F
h2>.....<hr colo
590 : 72 3D 22 23 43 30 43 30 43 30 22 20 6E 6F 73 68
r="#C0C0C0" nosh
5a0 : 61 64 65 3E 0D 0A 09 0D 0A 09 3C 70 3E 54 65 63
ade>......<p>Tec
5b0 : 68 6E 69 63 hnic
_______________________________________________
Snort-users mailing list
Snort-users () lists sourceforge net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://www.geocrawler.com/redir-sf.php3?list=snort-users
Current thread:
- Help... am I infected? Peter Borner (Sep 19)
- RE: Help... am I infected? John Berkers (Sep 19)