Snort mailing list archives
Help... am I infected?
From: "Peter Borner" <peter () borner org uk>
Date: Wed, 19 Sep 2001 14:06:08 +0100
Hi, I have a Windows Advanced server box that runs IIS5 and MS Exchange. It is fully patched and running HFNETCHK shows I have all the required hot fixes installed. I'm also running Trend Antivirus for the server, exchange and the client pc's with the latest pattern file etc. I've checked my entire hard disk and can find no tampered html, htm, asp, php files. I do not have "readme.eml", readme.exe, admin.dll, default.ida or any of the other interesting files on my disk. However, I'm seeing activity from my server box that looks like I might be infected. Please can someone take a look at the following events and help me to understand them as I'm a newbie to this stuff! Thanks very much, Peter Borner Generated by ACID v0.9.6b13 on Wed September 19, 2001 13:55:27 ------------------------------------------------------------------------ ------ #(1 - 1025509) [2001-09-19 11:37:06] WEB-IIS Unauthorized IP Access Attempt IPv4: 62.49.145.34 -> 62.49.150.190 hlen=5 TOS=0 dlen00 IDF733 flags=0 offset=0 TTL8 chksum9499 TCP: port -> dport: 2482 flags=***A**** seq47424953 ackt164489 off=5 res=0 win375 urp=0 chksumf42 Payload: length = 1460 000 : 72 76 65 72 49 6E 64 65 78 29 3B 0D 0A 09 09 0D rverIndex);..... 010 : 0A 09 2F 2F 66 6F 72 20 64 69 73 70 6C 61 79 2C ..//for display, 020 : 20 77 65 20 6E 65 65 64 20 74 6F 20 73 6B 69 70 we need to skip 030 : 20 61 66 74 65 72 20 68 74 74 70 3A 2F 2F 2C 20 after http://, 040 : 61 6E 64 20 67 6F 20 74 6F 20 74 68 65 20 6E 65 and go to the ne 050 : 78 74 20 73 6C 61 73 68 0D 0A 09 64 69 73 70 6C xt slash...displ 060 : 61 79 72 65 73 75 6C 74 3D 44 6F 63 55 52 4C 2E ayresult=DocURL. 070 : 73 75 62 73 74 72 69 6E 67 28 70 72 6F 74 6F 63 substring(protoc 080 : 6F 6C 49 6E 64 65 78 20 2B 20 33 20 2C 73 65 72 olIndex + 3 ,ser 090 : 76 65 72 49 6E 64 65 78 29 3B 0D 0A 09 64 6F 63 verIndex);...doc 0a0 : 75 6D 65 6E 74 2E 77 72 69 74 65 28 20 27 3C 41 ument.write( '<A 0b0 : 20 48 52 45 46 3D 22 27 20 2B 20 65 73 63 61 70 HREF="' + escap 0c0 : 65 28 75 72 6C 72 65 73 75 6C 74 29 20 2B 20 27 e(urlresult) + ' 0d0 : 22 3E 27 20 2B 20 64 69 73 70 6C 61 79 72 65 73 ">' + displayres 0e0 : 75 6C 74 20 2B 20 22 3C 2F 61 3E 22 29 3B 0D 0A ult + "</a>");.. 0f0 : 7D 0D 0A 2F 2F 2D 2D 3E 0D 0A 3C 2F 73 63 72 69 }..//-->..</scri 100 : 70 74 3E 0D 0A 0D 0A 3C 62 6F 64 79 20 62 67 63 pt>....<body bgc 110 : 6F 6C 6F 72 3D 22 46 46 46 46 46 46 22 3E 0D 0A olor="FFFFFF">.. 120 : 0D 0A 3C 74 61 62 6C 65 20 77 69 64 74 68 3D 22 ..<table width=" 130 : 34 31 30 22 20 63 65 6C 6C 70 61 64 64 69 6E 67 410" cellpadding 140 : 3D 22 33 22 20 63 65 6C 6C 73 70 61 63 69 6E 67 ="3" cellspacing 150 : 3D 22 35 22 3E 0D 0A 0D 0A 20 20 3C 74 72 3E 20 ="5">.... <tr> 160 : 20 20 20 0D 0A 20 20 20 20 3C 74 64 20 61 6C 69 .. <td ali 170 : 67 6E 3D 22 6C 65 66 74 22 20 76 61 6C 69 67 6E gn="left" valign 180 : 3D 22 6D 69 64 64 6C 65 22 20 77 69 64 74 68 3D ="middle" width= 190 : 22 33 36 30 22 3E 0D 0A 09 3C 68 31 20 73 74 79 "360">...<h1 sty 1a0 : 6C 65 3D 22 43 4F 4C 4F 52 3A 30 30 30 30 30 30 le="COLOR:000000 1b0 : 3B 20 46 4F 4E 54 3A 20 31 33 70 74 2F 31 35 70 ; FONT: 13pt/15p 1c0 : 74 20 76 65 72 64 61 6E 61 22 3E 3C 21 2D 2D 50 t verdana"><!--P 1d0 : 72 6F 62 6C 65 6D 2D 2D 3E 59 6F 75 20 61 72 65 roblem-->You are 1e0 : 20 6E 6F 74 20 61 75 74 68 6F 72 69 7A 65 64 20 not authorized 1f0 : 74 6F 20 76 69 65 77 20 74 68 69 73 20 70 61 67 to view this pag 200 : 65 3C 2F 68 31 3E 0D 0A 20 20 20 20 3C 2F 74 64 e</h1>.. </td 210 : 3E 0D 0A 20 20 3C 2F 74 72 3E 0D 0A 20 20 0D 0A >.. </tr>.. .. 220 : 20 20 3C 74 72 3E 0D 0A 20 20 20 20 3C 74 64 20 <tr>.. <td 230 : 77 69 64 74 68 3D 22 34 30 30 22 20 63 6F 6C 73 width="400" cols 240 : 70 61 6E 3D 22 32 22 3E 0D 0A 09 3C 66 6F 6E 74 pan="2">...<font 250 : 20 73 74 79 6C 65 3D 22 43 4F 4C 4F 52 3A 30 30 style="COLOR:00 260 : 30 30 30 30 3B 20 46 4F 4E 54 3A 20 38 70 74 2F 0000; FONT: 8pt/ 270 : 31 31 70 74 20 76 65 72 64 61 6E 61 22 3E 59 6F 11pt verdana">Yo 280 : 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 70 65 u do not have pe 290 : 72 6D 69 73 73 69 6F 6E 20 74 6F 20 76 69 65 77 rmission to view 2a0 : 20 74 68 69 73 20 64 69 72 65 63 74 6F 72 79 20 this directory 2b0 : 6F 72 20 70 61 67 65 20 66 72 6F 6D 20 74 68 65 or page from the 2c0 : 20 49 6E 74 65 72 6E 65 74 20 61 64 64 72 65 73 Internet addres 2d0 : 73 20 6F 66 20 79 6F 75 72 20 57 65 62 20 62 72 s of your Web br 2e0 : 6F 77 73 65 72 2E 3C 2F 66 6F 6E 74 3E 3C 2F 74 owser.</font></t 2f0 : 64 3E 0D 0A 20 20 3C 2F 74 72 3E 0D 0A 20 20 0D d>.. </tr>.. . 300 : 0A 20 20 3C 74 72 3E 0D 0A 20 20 20 20 3C 74 64 . <tr>.. <td 310 : 20 77 69 64 74 68 3D 22 34 30 30 22 20 63 6F 6C width="400" col 320 : 73 70 61 6E 3D 22 32 22 3E 0D 0A 09 3C 66 6F 6E span="2">...<fon 330 : 74 20 73 74 79 6C 65 3D 22 43 4F 4C 4F 52 3A 30 t style="COLOR:0 340 : 30 30 30 30 30 3B 20 46 4F 4E 54 3A 20 38 70 74 00000; FONT: 8pt 350 : 2F 31 31 70 74 20 76 65 72 64 61 6E 61 22 3E 0D /11pt verdana">. 360 : 0A 09 0D 0A 09 3C 68 72 20 63 6F 6C 6F 72 3D 22 .....<hr color=" 370 : 23 43 30 43 30 43 30 22 20 6E 6F 73 68 61 64 65 #C0C0C0" noshade 380 : 3E 0D 0A 09 0D 0A 20 20 20 20 3C 70 3E 49 66 20 >..... <p>If 390 : 79 6F 75 20 62 65 6C 69 65 76 65 20 79 6F 75 20 you believe you 3a0 : 73 68 6F 75 6C 64 20 62 65 20 61 62 6C 65 20 74 should be able t 3b0 : 6F 20 76 69 65 77 20 74 68 69 73 20 64 69 72 65 o view this dire 3c0 : 63 74 6F 72 79 20 6F 72 20 70 61 67 65 2C 20 70 ctory or page, p 3d0 : 6C 65 61 73 65 20 63 6F 6E 74 61 63 74 20 74 68 lease contact th 3e0 : 65 20 57 65 62 20 73 69 74 65 20 61 64 6D 69 6E e Web site admin 3f0 : 69 73 74 72 61 74 6F 72 20 62 79 20 75 73 69 6E istrator by usin 400 : 67 20 74 68 65 20 65 2D 6D 61 69 6C 20 61 64 64 g the e-mail add 410 : 72 65 73 73 20 6F 72 20 70 68 6F 6E 65 20 6E 75 ress or phone nu 420 : 6D 62 65 72 20 6C 69 73 74 65 64 20 6F 6E 20 74 mber listed on t 430 : 68 65 0D 0A 20 0D 0A 09 3C 73 63 72 69 70 74 3E he.. ...<script> 440 : 0D 0A 09 3C 21 2D 2D 0D 0A 09 69 66 20 28 21 28 ...<!--...if (!( 450 : 28 77 69 6E 64 6F 77 2E 6E 61 76 69 67 61 74 6F (window.navigato 460 : 72 2E 75 73 65 72 41 67 65 6E 74 2E 69 6E 64 65 r.userAgent.inde 470 : 78 4F 66 28 22 4D 53 49 45 22 29 20 3E 20 30 29 xOf("MSIE") > 0) 480 : 20 26 26 20 28 77 69 6E 64 6F 77 2E 6E 61 76 69 && (window.navi 490 : 67 61 74 6F 72 2E 61 70 70 56 65 72 73 69 6F 6E gator.appVersion 4a0 : 2E 63 68 61 72 41 74 28 30 29 20 3D 3D 20 22 32 .charAt(0) == "2 4b0 : 22 29 29 29 0D 0A 09 7B 0D 0A 09 09 20 48 6F 6D ")))...{.... Hom 4c0 : 65 70 61 67 65 28 29 3B 0D 0A 09 7D 0D 0A 09 2F epage();...}.../ 4d0 : 2F 2D 2D 3E 0D 0A 09 3C 2F 73 63 72 69 70 74 3E /-->...</script> 4e0 : 0D 0A 0D 0A 09 68 6F 6D 65 20 70 61 67 65 2E 3C .....home page.< 4f0 : 2F 70 3E 0D 0A 09 0D 0A 20 20 20 20 3C 68 32 20 /p>..... <h2 500 : 73 74 79 6C 65 3D 22 66 6F 6E 74 3A 38 70 74 2F style="font:8pt/ 510 : 31 31 70 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 11pt verdana; co 520 : 6C 6F 72 3A 30 30 30 30 30 30 22 3E 48 54 54 50 lor:000000">HTTP 530 : 20 34 30 33 2E 36 20 2D 20 46 6F 72 62 69 64 64 403.6 - Forbidd 540 : 65 6E 3A 20 49 50 20 61 64 64 72 65 73 73 20 72 en: IP address r 550 : 65 6A 65 63 74 65 64 3C 62 72 3E 0D 0A 20 20 20 ejected<br>.. 560 : 20 49 6E 74 65 72 6E 65 74 20 49 6E 66 6F 72 6D Internet Inform 570 : 61 74 69 6F 6E 20 53 65 72 76 69 63 65 73 3C 2F ation Services</ 580 : 68 32 3E 0D 0A 0D 0A 09 3C 68 72 20 63 6F 6C 6F h2>.....<hr colo 590 : 72 3D 22 23 43 30 43 30 43 30 22 20 6E 6F 73 68 r="#C0C0C0" nosh 5a0 : 61 64 65 3E 0D 0A 09 0D 0A 09 3C 70 3E 54 65 63 ade>......<p>Tec 5b0 : 68 6E 69 63 hnic ------------------------------------------------------------------------ ------ #(1 - 1025508) [2001-09-19 11:37:06] WEB-MISC 403 Forbidden IPv4: 62.49.145.34 -> 62.49.150.190 hlen=5 TOS=0 dlen00 IDF732 flags=0 offset=0 TTL8 chksum9500 TCP: port -> dport: 2482 flags=***A**** seq47423493 ackt164489 off=5 res=0 win375 urp=0 chksumc422 Payload: length = 1460 000 : 48 54 54 50 2F 31 2E 31 20 34 30 33 20 41 63 63 HTTP/1.1 403 Acc 010 : 65 73 73 20 46 6F 72 62 69 64 64 65 6E 0D 0A 53 ess Forbidden..S 020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft 030 : 2D 49 49 53 2F 35 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/5.0..Date: 040 : 57 65 64 2C 20 31 39 20 53 65 70 20 32 30 30 31 Wed, 19 Sep 2001 050 : 20 31 30 3A 34 31 3A 32 32 20 47 4D 54 0D 0A 43 10:41:22 GMT..C 060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 33 ontent-Length: 3 070 : 32 39 35 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 295..Content-Typ 080 : 65 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A e: text/html.... 090 : 3C 21 44 4F 43 54 59 50 45 20 48 54 4D 4C 20 50 <!DOCTYPE HTML P 0a0 : 55 42 4C 49 43 20 22 2D 2F 2F 57 33 43 2F 2F 44 UBLIC "-//W3C//D 0b0 : 54 44 20 48 54 4D 4C 20 33 2E 32 20 46 69 6E 61 TD HTML 3.2 Fina 0c0 : 6C 2F 2F 45 4E 22 3E 0D 0A 3C 68 74 6D 6C 20 64 l//EN">..<html d 0d0 : 69 72 3D 6C 74 72 3E 0D 0A 0D 0A 3C 68 65 61 64 ir=ltr>....<head 0e0 : 3E 0D 0A 3C 73 74 79 6C 65 3E 0D 0A 61 3A 6C 69 >..<style>..a:li 0f0 : 6E 6B 20 20 20 20 20 20 20 20 20 20 20 20 20 20 nk 100 : 20 20 20 20 7B 66 6F 6E 74 3A 38 70 74 2F 31 31 {font:8pt/11 110 : 70 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 6C 6F pt verdana; colo 120 : 72 3A 46 46 30 30 30 30 7D 0D 0A 61 3A 76 69 73 r:FF0000}..a:vis 130 : 69 74 65 64 20 20 20 20 20 20 20 20 20 20 20 20 ited 140 : 20 20 20 7B 66 6F 6E 74 3A 38 70 74 2F 31 31 70 {font:8pt/11p 150 : 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 6C 6F 72 t verdana; color 160 : 3A 23 34 65 34 65 34 65 7D 0D 0A 3C 2F 73 74 79 :#4e4e4e}..</sty 170 : 6C 65 3E 0D 0A 0D 0A 3C 4D 45 54 41 20 4E 41 4D le>....<META NAM 180 : 45 3D 22 52 4F 42 4F 54 53 22 20 43 4F 4E 54 45 E="ROBOTS" CONTE 190 : 4E 54 3D 22 4E 4F 49 4E 44 45 58 22 3E 0D 0A 0D NT="NOINDEX">... 1a0 : 0A 3C 74 69 74 6C 65 3E 59 6F 75 20 61 72 65 20 .<title>You are 1b0 : 6E 6F 74 20 61 75 74 68 6F 72 69 7A 65 64 20 74 not authorized t 1c0 : 6F 20 76 69 65 77 20 74 68 69 73 20 70 61 67 65 o view this page 1d0 : 3C 2F 74 69 74 6C 65 3E 0D 0A 0D 0A 3C 4D 45 54 </title>....<MET 1e0 : 41 20 48 54 54 50 2D 45 51 55 49 56 3D 22 43 6F A HTTP-EQUIV="Co 1f0 : 6E 74 65 6E 74 2D 54 79 70 65 22 20 43 6F 6E 74 ntent-Type" Cont 200 : 65 6E 74 3D 22 74 65 78 74 2D 68 74 6D 6C 3B 20 ent="text-html; 210 : 63 68 61 72 73 65 74 3D 57 69 6E 64 6F 77 73 2D charset=Windows- 220 : 31 32 35 32 22 3E 0D 0A 3C 2F 68 65 61 64 3E 0D 1252">..</head>. 230 : 0A 0D 0A 3C 73 63 72 69 70 74 3E 20 0D 0A 3C 21 ...<script> ..<! 240 : 2D 2D 0D 0A 66 75 6E 63 74 69 6F 6E 20 48 6F 6D --..function Hom 250 : 65 70 61 67 65 28 29 7B 0D 0A 0D 0A 2F 2F 20 69 epage(){....// i 260 : 6E 20 72 65 61 6C 20 62 69 74 73 2C 20 75 72 6C n real bits, url 270 : 73 20 67 65 74 20 72 65 74 75 72 6E 65 64 20 74 s get returned t 280 : 6F 20 6F 75 72 20 73 63 72 69 70 74 20 6C 69 6B o our script lik 290 : 65 20 74 68 69 73 3A 0D 0A 2F 2F 20 72 65 73 3A e this:..// res: 2a0 : 2F 2F 73 68 64 6F 63 76 77 2E 64 6C 6C 2F 68 74 //shdocvw.dll/ht 2b0 : 74 70 5F 34 30 34 2E 68 74 6D 23 68 74 74 70 3A tp_404.htm#http: 2c0 : 2F 2F 77 77 77 2E 44 6F 63 55 52 4C 2E 63 6F 6D //www.DocURL.com 2d0 : 2F 62 61 72 2E 68 74 6D 20 0D 0A 0D 0A 09 2F 2F /bar.htm .....// 2e0 : 46 6F 72 20 74 65 73 74 69 6E 67 20 75 73 65 20 For testing use 2f0 : 44 6F 63 55 52 4C 20 3D 20 22 72 65 73 3A 2F 2F DocURL = "res:// 300 : 73 68 64 6F 63 76 77 2E 64 6C 6C 2F 68 74 74 70 shdocvw.dll/http 310 : 5F 34 30 34 2E 68 74 6D 23 68 74 74 70 73 3A 2F _404.htm#https:/ 320 : 2F 77 77 77 2E 6D 69 63 72 6F 73 6F 66 74 2E 63 /www.microsoft.c 330 : 6F 6D 2F 62 61 72 2E 68 74 6D 22 0D 0A 09 44 6F om/bar.htm"...Do 340 : 63 55 52 4C 3D 64 6F 63 75 6D 65 6E 74 2E 55 52 cURL=document.UR 350 : 4C 3B 0D 0A 09 0D 0A 09 2F 2F 74 68 69 73 20 69 L;......//this i 360 : 73 20 77 68 65 72 65 20 74 68 65 20 68 74 74 70 s where the http 370 : 20 6F 72 20 68 74 74 70 73 20 77 69 6C 6C 20 62 or https will b 380 : 65 2C 20 61 73 20 66 6F 75 6E 64 20 62 79 20 73 e, as found by s 390 : 65 61 72 63 68 69 6E 67 20 66 6F 72 20 3A 2F 2F earching for :// 3a0 : 20 62 75 74 20 73 6B 69 70 70 69 6E 67 20 74 68 but skipping th 3b0 : 65 20 72 65 73 3A 2F 2F 0D 0A 09 70 72 6F 74 6F e res://...proto 3c0 : 63 6F 6C 49 6E 64 65 78 3D 44 6F 63 55 52 4C 2E colIndex=DocURL. 3d0 : 69 6E 64 65 78 4F 66 28 22 3A 2F 2F 22 2C 34 29 indexOf("://",4) 3e0 : 3B 0D 0A 09 0D 0A 09 2F 2F 74 68 69 73 20 66 69 ;......//this fi 3f0 : 6E 64 73 20 74 68 65 20 65 6E 64 69 6E 67 20 73 nds the ending s 400 : 6C 61 73 68 20 66 6F 72 20 74 68 65 20 64 6F 6D lash for the dom 410 : 61 69 6E 20 73 65 72 76 65 72 20 0D 0A 09 73 65 ain server ...se 420 : 72 76 65 72 49 6E 64 65 78 3D 44 6F 63 55 52 4C rverIndex=DocURL 430 : 2E 69 6E 64 65 78 4F 66 28 22 2F 22 2C 70 72 6F .indexOf("/",pro 440 : 74 6F 63 6F 6C 49 6E 64 65 78 20 2B 20 33 29 3B tocolIndex + 3); 450 : 0D 0A 0D 0A 09 2F 2F 66 6F 72 20 74 68 65 20 68 .....//for the h 460 : 72 65 66 2C 20 77 65 20 6E 65 65 64 20 61 20 76 ref, we need a v 470 : 61 6C 69 64 20 55 52 4C 20 74 6F 20 74 68 65 20 alid URL to the 480 : 64 6F 6D 61 69 6E 2E 20 57 65 20 73 65 61 72 63 domain. We searc 490 : 68 20 66 6F 72 20 74 68 65 20 23 20 73 79 6D 62 h for the # symb 4a0 : 6F 6C 20 74 6F 20 66 69 6E 64 20 74 68 65 20 62 ol to find the b 4b0 : 65 67 69 6E 69 6E 67 20 0D 0A 09 2F 2F 6F 66 20 egining ...//of 4c0 : 74 68 65 20 74 72 75 65 20 55 52 4C 2C 20 61 6E the true URL, an 4d0 : 64 20 61 64 64 20 31 20 74 6F 20 73 6B 69 70 20 d add 1 to skip 4e0 : 69 74 20 2D 20 74 68 69 73 20 69 73 20 74 68 65 it - this is the 4f0 : 20 42 65 67 69 6E 55 52 4C 20 76 61 6C 75 65 2E BeginURL value. 500 : 20 57 65 20 75 73 65 20 73 65 72 76 65 72 49 6E We use serverIn 510 : 64 65 78 20 61 73 20 74 68 65 20 65 6E 64 20 6D dex as the end m 520 : 61 72 6B 65 72 2E 0D 0A 09 2F 2F 75 72 6C 72 65 arker....//urlre 530 : 73 75 6C 74 3D 44 6F 63 55 52 4C 2E 73 75 62 73 sult=DocURL.subs 540 : 74 72 69 6E 67 28 70 72 6F 74 6F 63 6F 6C 49 6E tring(protocolIn 550 : 64 65 78 20 2D 20 34 2C 73 65 72 76 65 72 49 6E dex - 4,serverIn 560 : 64 65 78 29 3B 0D 0A 09 42 65 67 69 6E 55 52 4C dex);...BeginURL 570 : 3D 44 6F 63 55 52 4C 2E 69 6E 64 65 78 4F 66 28 =DocURL.indexOf( 580 : 22 23 22 2C 31 29 20 2B 20 31 3B 0D 0A 09 75 72 "#",1) + 1;...ur 590 : 6C 72 65 73 75 6C 74 3D 44 6F 63 55 52 4C 2E 73 lresult=DocURL.s 5a0 : 75 62 73 74 72 69 6E 67 28 42 65 67 69 6E 55 52 ubstring(BeginUR 5b0 : 4C 2C 73 65 L,se ------------------------------------------------------------------------ ------ #(1 - 1025500) [2001-09-19 11:37:05] WEB-MISC 403 Forbidden IPv4: 62.49.145.34 -> 62.49.150.190 hlen=5 TOS=0 dlen00 IDF694 flags=0 offset=0 TTL8 chksum9538 TCP: port -> dport: 2430 flags=***A**** seq46725484 ackt162806 off=5 res=0 win450 urp=0 chksumB462 Payload: length = 1460 000 : 48 54 54 50 2F 31 2E 31 20 34 30 33 20 41 63 63 HTTP/1.1 403 Acc 010 : 65 73 73 20 46 6F 72 62 69 64 64 65 6E 0D 0A 53 ess Forbidden..S 020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft 030 : 2D 49 49 53 2F 35 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/5.0..Date: 040 : 57 65 64 2C 20 31 39 20 53 65 70 20 32 30 30 31 Wed, 19 Sep 2001 050 : 20 31 30 3A 34 31 3A 32 31 20 47 4D 54 0D 0A 43 10:41:21 GMT..C 060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 33 ontent-Length: 3 070 : 32 39 35 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 295..Content-Typ 080 : 65 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A e: text/html.... 090 : 3C 21 44 4F 43 54 59 50 45 20 48 54 4D 4C 20 50 <!DOCTYPE HTML P 0a0 : 55 42 4C 49 43 20 22 2D 2F 2F 57 33 43 2F 2F 44 UBLIC "-//W3C//D 0b0 : 54 44 20 48 54 4D 4C 20 33 2E 32 20 46 69 6E 61 TD HTML 3.2 Fina 0c0 : 6C 2F 2F 45 4E 22 3E 0D 0A 3C 68 74 6D 6C 20 64 l//EN">..<html d 0d0 : 69 72 3D 6C 74 72 3E 0D 0A 0D 0A 3C 68 65 61 64 ir=ltr>....<head 0e0 : 3E 0D 0A 3C 73 74 79 6C 65 3E 0D 0A 61 3A 6C 69 >..<style>..a:li 0f0 : 6E 6B 20 20 20 20 20 20 20 20 20 20 20 20 20 20 nk 100 : 20 20 20 20 7B 66 6F 6E 74 3A 38 70 74 2F 31 31 {font:8pt/11 110 : 70 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 6C 6F pt verdana; colo 120 : 72 3A 46 46 30 30 30 30 7D 0D 0A 61 3A 76 69 73 r:FF0000}..a:vis 130 : 69 74 65 64 20 20 20 20 20 20 20 20 20 20 20 20 ited 140 : 20 20 20 7B 66 6F 6E 74 3A 38 70 74 2F 31 31 70 {font:8pt/11p 150 : 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 6C 6F 72 t verdana; color 160 : 3A 23 34 65 34 65 34 65 7D 0D 0A 3C 2F 73 74 79 :#4e4e4e}..</sty 170 : 6C 65 3E 0D 0A 0D 0A 3C 4D 45 54 41 20 4E 41 4D le>....<META NAM 180 : 45 3D 22 52 4F 42 4F 54 53 22 20 43 4F 4E 54 45 E="ROBOTS" CONTE 190 : 4E 54 3D 22 4E 4F 49 4E 44 45 58 22 3E 0D 0A 0D NT="NOINDEX">... 1a0 : 0A 3C 74 69 74 6C 65 3E 59 6F 75 20 61 72 65 20 .<title>You are 1b0 : 6E 6F 74 20 61 75 74 68 6F 72 69 7A 65 64 20 74 not authorized t 1c0 : 6F 20 76 69 65 77 20 74 68 69 73 20 70 61 67 65 o view this page 1d0 : 3C 2F 74 69 74 6C 65 3E 0D 0A 0D 0A 3C 4D 45 54 </title>....<MET 1e0 : 41 20 48 54 54 50 2D 45 51 55 49 56 3D 22 43 6F A HTTP-EQUIV="Co 1f0 : 6E 74 65 6E 74 2D 54 79 70 65 22 20 43 6F 6E 74 ntent-Type" Cont 200 : 65 6E 74 3D 22 74 65 78 74 2D 68 74 6D 6C 3B 20 ent="text-html; 210 : 63 68 61 72 73 65 74 3D 57 69 6E 64 6F 77 73 2D charset=Windows- 220 : 31 32 35 32 22 3E 0D 0A 3C 2F 68 65 61 64 3E 0D 1252">..</head>. 230 : 0A 0D 0A 3C 73 63 72 69 70 74 3E 20 0D 0A 3C 21 ...<script> ..<! 240 : 2D 2D 0D 0A 66 75 6E 63 74 69 6F 6E 20 48 6F 6D --..function Hom 250 : 65 70 61 67 65 28 29 7B 0D 0A 0D 0A 2F 2F 20 69 epage(){....// i 260 : 6E 20 72 65 61 6C 20 62 69 74 73 2C 20 75 72 6C n real bits, url 270 : 73 20 67 65 74 20 72 65 74 75 72 6E 65 64 20 74 s get returned t 280 : 6F 20 6F 75 72 20 73 63 72 69 70 74 20 6C 69 6B o our script lik 290 : 65 20 74 68 69 73 3A 0D 0A 2F 2F 20 72 65 73 3A e this:..// res: 2a0 : 2F 2F 73 68 64 6F 63 76 77 2E 64 6C 6C 2F 68 74 //shdocvw.dll/ht 2b0 : 74 70 5F 34 30 34 2E 68 74 6D 23 68 74 74 70 3A tp_404.htm#http: 2c0 : 2F 2F 77 77 77 2E 44 6F 63 55 52 4C 2E 63 6F 6D //www.DocURL.com 2d0 : 2F 62 61 72 2E 68 74 6D 20 0D 0A 0D 0A 09 2F 2F /bar.htm .....// 2e0 : 46 6F 72 20 74 65 73 74 69 6E 67 20 75 73 65 20 For testing use 2f0 : 44 6F 63 55 52 4C 20 3D 20 22 72 65 73 3A 2F 2F DocURL = "res:// 300 : 73 68 64 6F 63 76 77 2E 64 6C 6C 2F 68 74 74 70 shdocvw.dll/http 310 : 5F 34 30 34 2E 68 74 6D 23 68 74 74 70 73 3A 2F _404.htm#https:/ 320 : 2F 77 77 77 2E 6D 69 63 72 6F 73 6F 66 74 2E 63 /www.microsoft.c 330 : 6F 6D 2F 62 61 72 2E 68 74 6D 22 0D 0A 09 44 6F om/bar.htm"...Do 340 : 63 55 52 4C 3D 64 6F 63 75 6D 65 6E 74 2E 55 52 cURL=document.UR 350 : 4C 3B 0D 0A 09 0D 0A 09 2F 2F 74 68 69 73 20 69 L;......//this i 360 : 73 20 77 68 65 72 65 20 74 68 65 20 68 74 74 70 s where the http 370 : 20 6F 72 20 68 74 74 70 73 20 77 69 6C 6C 20 62 or https will b 380 : 65 2C 20 61 73 20 66 6F 75 6E 64 20 62 79 20 73 e, as found by s 390 : 65 61 72 63 68 69 6E 67 20 66 6F 72 20 3A 2F 2F earching for :// 3a0 : 20 62 75 74 20 73 6B 69 70 70 69 6E 67 20 74 68 but skipping th 3b0 : 65 20 72 65 73 3A 2F 2F 0D 0A 09 70 72 6F 74 6F e res://...proto 3c0 : 63 6F 6C 49 6E 64 65 78 3D 44 6F 63 55 52 4C 2E colIndex=DocURL. 3d0 : 69 6E 64 65 78 4F 66 28 22 3A 2F 2F 22 2C 34 29 indexOf("://",4) 3e0 : 3B 0D 0A 09 0D 0A 09 2F 2F 74 68 69 73 20 66 69 ;......//this fi 3f0 : 6E 64 73 20 74 68 65 20 65 6E 64 69 6E 67 20 73 nds the ending s 400 : 6C 61 73 68 20 66 6F 72 20 74 68 65 20 64 6F 6D lash for the dom 410 : 61 69 6E 20 73 65 72 76 65 72 20 0D 0A 09 73 65 ain server ...se 420 : 72 76 65 72 49 6E 64 65 78 3D 44 6F 63 55 52 4C rverIndex=DocURL 430 : 2E 69 6E 64 65 78 4F 66 28 22 2F 22 2C 70 72 6F .indexOf("/",pro 440 : 74 6F 63 6F 6C 49 6E 64 65 78 20 2B 20 33 29 3B tocolIndex + 3); 450 : 0D 0A 0D 0A 09 2F 2F 66 6F 72 20 74 68 65 20 68 .....//for the h 460 : 72 65 66 2C 20 77 65 20 6E 65 65 64 20 61 20 76 ref, we need a v 470 : 61 6C 69 64 20 55 52 4C 20 74 6F 20 74 68 65 20 alid URL to the 480 : 64 6F 6D 61 69 6E 2E 20 57 65 20 73 65 61 72 63 domain. We searc 490 : 68 20 66 6F 72 20 74 68 65 20 23 20 73 79 6D 62 h for the # symb 4a0 : 6F 6C 20 74 6F 20 66 69 6E 64 20 74 68 65 20 62 ol to find the b 4b0 : 65 67 69 6E 69 6E 67 20 0D 0A 09 2F 2F 6F 66 20 egining ...//of 4c0 : 74 68 65 20 74 72 75 65 20 55 52 4C 2C 20 61 6E the true URL, an 4d0 : 64 20 61 64 64 20 31 20 74 6F 20 73 6B 69 70 20 d add 1 to skip 4e0 : 69 74 20 2D 20 74 68 69 73 20 69 73 20 74 68 65 it - this is the 4f0 : 20 42 65 67 69 6E 55 52 4C 20 76 61 6C 75 65 2E BeginURL value. 500 : 20 57 65 20 75 73 65 20 73 65 72 76 65 72 49 6E We use serverIn 510 : 64 65 78 20 61 73 20 74 68 65 20 65 6E 64 20 6D dex as the end m 520 : 61 72 6B 65 72 2E 0D 0A 09 2F 2F 75 72 6C 72 65 arker....//urlre 530 : 73 75 6C 74 3D 44 6F 63 55 52 4C 2E 73 75 62 73 sult=DocURL.subs 540 : 74 72 69 6E 67 28 70 72 6F 74 6F 63 6F 6C 49 6E tring(protocolIn 550 : 64 65 78 20 2D 20 34 2C 73 65 72 76 65 72 49 6E dex - 4,serverIn 560 : 64 65 78 29 3B 0D 0A 09 42 65 67 69 6E 55 52 4C dex);...BeginURL 570 : 3D 44 6F 63 55 52 4C 2E 69 6E 64 65 78 4F 66 28 =DocURL.indexOf( 580 : 22 23 22 2C 31 29 20 2B 20 31 3B 0D 0A 09 75 72 "#",1) + 1;...ur 590 : 6C 72 65 73 75 6C 74 3D 44 6F 63 55 52 4C 2E 73 lresult=DocURL.s 5a0 : 75 62 73 74 72 69 6E 67 28 42 65 67 69 6E 55 52 ubstring(BeginUR 5b0 : 4C 2C 73 65 L,se ------------------------------------------------------------------------ ------ #(1 - 1025501) [2001-09-19 11:37:05] WEB-IIS Unauthorized IP Access Attempt IPv4: 62.49.145.34 -> 62.49.150.190 hlen=5 TOS=0 dlen00 IDF695 flags=0 offset=0 TTL8 chksum9537 TCP: port -> dport: 2430 flags=***A**** seq46726944 ackt162806 off=5 res=0 win450 urp=0 chksumP961 Payload: length = 1460 000 : 72 76 65 72 49 6E 64 65 78 29 3B 0D 0A 09 09 0D rverIndex);..... 010 : 0A 09 2F 2F 66 6F 72 20 64 69 73 70 6C 61 79 2C ..//for display, 020 : 20 77 65 20 6E 65 65 64 20 74 6F 20 73 6B 69 70 we need to skip 030 : 20 61 66 74 65 72 20 68 74 74 70 3A 2F 2F 2C 20 after http://, 040 : 61 6E 64 20 67 6F 20 74 6F 20 74 68 65 20 6E 65 and go to the ne 050 : 78 74 20 73 6C 61 73 68 0D 0A 09 64 69 73 70 6C xt slash...displ 060 : 61 79 72 65 73 75 6C 74 3D 44 6F 63 55 52 4C 2E ayresult=DocURL. 070 : 73 75 62 73 74 72 69 6E 67 28 70 72 6F 74 6F 63 substring(protoc 080 : 6F 6C 49 6E 64 65 78 20 2B 20 33 20 2C 73 65 72 olIndex + 3 ,ser 090 : 76 65 72 49 6E 64 65 78 29 3B 0D 0A 09 64 6F 63 verIndex);...doc 0a0 : 75 6D 65 6E 74 2E 77 72 69 74 65 28 20 27 3C 41 ument.write( '<A 0b0 : 20 48 52 45 46 3D 22 27 20 2B 20 65 73 63 61 70 HREF="' + escap 0c0 : 65 28 75 72 6C 72 65 73 75 6C 74 29 20 2B 20 27 e(urlresult) + ' 0d0 : 22 3E 27 20 2B 20 64 69 73 70 6C 61 79 72 65 73 ">' + displayres 0e0 : 75 6C 74 20 2B 20 22 3C 2F 61 3E 22 29 3B 0D 0A ult + "</a>");.. 0f0 : 7D 0D 0A 2F 2F 2D 2D 3E 0D 0A 3C 2F 73 63 72 69 }..//-->..</scri 100 : 70 74 3E 0D 0A 0D 0A 3C 62 6F 64 79 20 62 67 63 pt>....<body bgc 110 : 6F 6C 6F 72 3D 22 46 46 46 46 46 46 22 3E 0D 0A olor="FFFFFF">.. 120 : 0D 0A 3C 74 61 62 6C 65 20 77 69 64 74 68 3D 22 ..<table width=" 130 : 34 31 30 22 20 63 65 6C 6C 70 61 64 64 69 6E 67 410" cellpadding 140 : 3D 22 33 22 20 63 65 6C 6C 73 70 61 63 69 6E 67 ="3" cellspacing 150 : 3D 22 35 22 3E 0D 0A 0D 0A 20 20 3C 74 72 3E 20 ="5">.... <tr> 160 : 20 20 20 0D 0A 20 20 20 20 3C 74 64 20 61 6C 69 .. <td ali 170 : 67 6E 3D 22 6C 65 66 74 22 20 76 61 6C 69 67 6E gn="left" valign 180 : 3D 22 6D 69 64 64 6C 65 22 20 77 69 64 74 68 3D ="middle" width= 190 : 22 33 36 30 22 3E 0D 0A 09 3C 68 31 20 73 74 79 "360">...<h1 sty 1a0 : 6C 65 3D 22 43 4F 4C 4F 52 3A 30 30 30 30 30 30 le="COLOR:000000 1b0 : 3B 20 46 4F 4E 54 3A 20 31 33 70 74 2F 31 35 70 ; FONT: 13pt/15p 1c0 : 74 20 76 65 72 64 61 6E 61 22 3E 3C 21 2D 2D 50 t verdana"><!--P 1d0 : 72 6F 62 6C 65 6D 2D 2D 3E 59 6F 75 20 61 72 65 roblem-->You are 1e0 : 20 6E 6F 74 20 61 75 74 68 6F 72 69 7A 65 64 20 not authorized 1f0 : 74 6F 20 76 69 65 77 20 74 68 69 73 20 70 61 67 to view this pag 200 : 65 3C 2F 68 31 3E 0D 0A 20 20 20 20 3C 2F 74 64 e</h1>.. </td 210 : 3E 0D 0A 20 20 3C 2F 74 72 3E 0D 0A 20 20 0D 0A >.. </tr>.. .. 220 : 20 20 3C 74 72 3E 0D 0A 20 20 20 20 3C 74 64 20 <tr>.. <td 230 : 77 69 64 74 68 3D 22 34 30 30 22 20 63 6F 6C 73 width="400" cols 240 : 70 61 6E 3D 22 32 22 3E 0D 0A 09 3C 66 6F 6E 74 pan="2">...<font 250 : 20 73 74 79 6C 65 3D 22 43 4F 4C 4F 52 3A 30 30 style="COLOR:00 260 : 30 30 30 30 3B 20 46 4F 4E 54 3A 20 38 70 74 2F 0000; FONT: 8pt/ 270 : 31 31 70 74 20 76 65 72 64 61 6E 61 22 3E 59 6F 11pt verdana">Yo 280 : 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 70 65 u do not have pe 290 : 72 6D 69 73 73 69 6F 6E 20 74 6F 20 76 69 65 77 rmission to view 2a0 : 20 74 68 69 73 20 64 69 72 65 63 74 6F 72 79 20 this directory 2b0 : 6F 72 20 70 61 67 65 20 66 72 6F 6D 20 74 68 65 or page from the 2c0 : 20 49 6E 74 65 72 6E 65 74 20 61 64 64 72 65 73 Internet addres 2d0 : 73 20 6F 66 20 79 6F 75 72 20 57 65 62 20 62 72 s of your Web br 2e0 : 6F 77 73 65 72 2E 3C 2F 66 6F 6E 74 3E 3C 2F 74 owser.</font></t 2f0 : 64 3E 0D 0A 20 20 3C 2F 74 72 3E 0D 0A 20 20 0D d>.. </tr>.. . 300 : 0A 20 20 3C 74 72 3E 0D 0A 20 20 20 20 3C 74 64 . <tr>.. <td 310 : 20 77 69 64 74 68 3D 22 34 30 30 22 20 63 6F 6C width="400" col 320 : 73 70 61 6E 3D 22 32 22 3E 0D 0A 09 3C 66 6F 6E span="2">...<fon 330 : 74 20 73 74 79 6C 65 3D 22 43 4F 4C 4F 52 3A 30 t style="COLOR:0 340 : 30 30 30 30 30 3B 20 46 4F 4E 54 3A 20 38 70 74 00000; FONT: 8pt 350 : 2F 31 31 70 74 20 76 65 72 64 61 6E 61 22 3E 0D /11pt verdana">. 360 : 0A 09 0D 0A 09 3C 68 72 20 63 6F 6C 6F 72 3D 22 .....<hr color=" 370 : 23 43 30 43 30 43 30 22 20 6E 6F 73 68 61 64 65 #C0C0C0" noshade 380 : 3E 0D 0A 09 0D 0A 20 20 20 20 3C 70 3E 49 66 20 >..... <p>If 390 : 79 6F 75 20 62 65 6C 69 65 76 65 20 79 6F 75 20 you believe you 3a0 : 73 68 6F 75 6C 64 20 62 65 20 61 62 6C 65 20 74 should be able t 3b0 : 6F 20 76 69 65 77 20 74 68 69 73 20 64 69 72 65 o view this dire 3c0 : 63 74 6F 72 79 20 6F 72 20 70 61 67 65 2C 20 70 ctory or page, p 3d0 : 6C 65 61 73 65 20 63 6F 6E 74 61 63 74 20 74 68 lease contact th 3e0 : 65 20 57 65 62 20 73 69 74 65 20 61 64 6D 69 6E e Web site admin 3f0 : 69 73 74 72 61 74 6F 72 20 62 79 20 75 73 69 6E istrator by usin 400 : 67 20 74 68 65 20 65 2D 6D 61 69 6C 20 61 64 64 g the e-mail add 410 : 72 65 73 73 20 6F 72 20 70 68 6F 6E 65 20 6E 75 ress or phone nu 420 : 6D 62 65 72 20 6C 69 73 74 65 64 20 6F 6E 20 74 mber listed on t 430 : 68 65 0D 0A 20 0D 0A 09 3C 73 63 72 69 70 74 3E he.. ...<script> 440 : 0D 0A 09 3C 21 2D 2D 0D 0A 09 69 66 20 28 21 28 ...<!--...if (!( 450 : 28 77 69 6E 64 6F 77 2E 6E 61 76 69 67 61 74 6F (window.navigato 460 : 72 2E 75 73 65 72 41 67 65 6E 74 2E 69 6E 64 65 r.userAgent.inde 470 : 78 4F 66 28 22 4D 53 49 45 22 29 20 3E 20 30 29 xOf("MSIE") > 0) 480 : 20 26 26 20 28 77 69 6E 64 6F 77 2E 6E 61 76 69 && (window.navi 490 : 67 61 74 6F 72 2E 61 70 70 56 65 72 73 69 6F 6E gator.appVersion 4a0 : 2E 63 68 61 72 41 74 28 30 29 20 3D 3D 20 22 32 .charAt(0) == "2 4b0 : 22 29 29 29 0D 0A 09 7B 0D 0A 09 09 20 48 6F 6D ")))...{.... Hom 4c0 : 65 70 61 67 65 28 29 3B 0D 0A 09 7D 0D 0A 09 2F epage();...}.../ 4d0 : 2F 2D 2D 3E 0D 0A 09 3C 2F 73 63 72 69 70 74 3E /-->...</script> 4e0 : 0D 0A 0D 0A 09 68 6F 6D 65 20 70 61 67 65 2E 3C .....home page.< 4f0 : 2F 70 3E 0D 0A 09 0D 0A 20 20 20 20 3C 68 32 20 /p>..... <h2 500 : 73 74 79 6C 65 3D 22 66 6F 6E 74 3A 38 70 74 2F style="font:8pt/ 510 : 31 31 70 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 11pt verdana; co 520 : 6C 6F 72 3A 30 30 30 30 30 30 22 3E 48 54 54 50 lor:000000">HTTP 530 : 20 34 30 33 2E 36 20 2D 20 46 6F 72 62 69 64 64 403.6 - Forbidd 540 : 65 6E 3A 20 49 50 20 61 64 64 72 65 73 73 20 72 en: IP address r 550 : 65 6A 65 63 74 65 64 3C 62 72 3E 0D 0A 20 20 20 ejected<br>.. 560 : 20 49 6E 74 65 72 6E 65 74 20 49 6E 66 6F 72 6D Internet Inform 570 : 61 74 69 6F 6E 20 53 65 72 76 69 63 65 73 3C 2F ation Services</ 580 : 68 32 3E 0D 0A 0D 0A 09 3C 68 72 20 63 6F 6C 6F h2>.....<hr colo 590 : 72 3D 22 23 43 30 43 30 43 30 22 20 6E 6F 73 68 r="#C0C0C0" nosh 5a0 : 61 64 65 3E 0D 0A 09 0D 0A 09 3C 70 3E 54 65 63 ade>......<p>Tec 5b0 : 68 6E 69 63 hnic _______________________________________________ Snort-users mailing list Snort-users () lists sourceforge net Go to this URL to change user options or unsubscribe: https://lists.sourceforge.net/lists/listinfo/snort-users Snort-users list archive: http://www.geocrawler.com/redir-sf.php3?list=snort-users
Current thread:
- Help... am I infected? Peter Borner (Sep 19)
- RE: Help... am I infected? John Berkers (Sep 19)