[Dshield] FW: BASE Incident Report

tfischer@oldenburggroup.com tfischer at oldenburggroup.com
Mon Jun 6 16:21:32 GMT 2005


   Could someone please help me understand what I am looking at here? I
caught this on my external snort sensor. What bothers me the most are lines
320-360. Thanks for any help.   

Generated by BASE v1.0 (denise) on Mon,  6 Jun 2005 11:06:26 -0500

----------------------------------------------------------------------------
--
#(2 - 181520) [2005-06-05 01:31:15] [snort/2001848]  BLEEDING-EDGE EXPLOIT
MS05-021 Exchange Link State - Possible Attack
IPv4: 206.246.140.28 -> 66.195.132.211
      hlen=5 TOS=0 dlen=1500 ID=44834 flags=0 offset=0 TTL=116 chksum=12112
TCP:  port=48784 -> dport: 25  flags=***A**** seq=884118049
      ack=4132745246 off=5 res=0 win=17138 urp=0 chksum=44183
Payload:  length = 1460

000 : 72 65 73 73 3A 20 67 6F 6E 7A 61 6C 65 73 40 63   ress: gonzales at c
010 : 61 72 72 6F 74 70 61 74 63 68 2E 6E 65 74 0D 0A   arrotpatch.net..
020 : 0D 0A 2D 2D 2D 20 53 65 73 73 69 6F 6E 20 54 72   ..--- Session Tr
030 : 61 6E 73 63 72 69 70 74 20 2D 2D 2D 0D 0A 20 50   anscript ---.. P
040 : 61 72 73 69 6E 67 20 4D 65 73 73 61 67 65 20 3C   arsing Message <
050 : 65 3A 5C 6D 64 61 65 6D 6F 6E 5C 67 61 74 65 77   e:\mdaemon\gatew
060 : 61 79 73 5C 63 61 72 72 6F 74 70 61 74 63 68 2E   ays\carrotpatch.
070 : 6E 65 74 5C 70 64 35 30 30 30 30 33 36 31 34 34   net\pd5000036144
080 : 39 2E 6D 73 67 3E 0D 0A 20 46 72 6F 6D 3A 20 66   9.msg>.. From: f
090 : 6F 78 40 6E 6F 72 74 68 65 72 6E 6E 61 76 69 67   ox at northernnavig
0a0 : 61 74 69 6F 6E 2E 63 6F 6D 0D 0A 20 54 6F 3A 20   ation.com.. To: 
0b0 : 67 6F 6E 7A 61 6C 65 73 40 63 61 72 72 6F 74 70   gonzales at carrotp
0c0 : 61 74 63 68 2E 6E 65 74 0D 0A 20 53 75 62 6A 65   atch.net.. Subje
0d0 : 63 74 3A 20 43 61 6C 6C 20 66 72 6F 6D 20 43 61   ct: Call from Ca
0e0 : 6E 61 64 61 20 66 6F 72 20 52 58 0D 0A 20 4D 65   nada for RX.. Me
0f0 : 73 73 61 67 65 2D 49 44 3A 0D 0A 20 4D 58 2D 72   ssage-ID:.. MX-r
100 : 65 63 6F 72 64 20 72 65 73 6F 6C 75 74 69 6F 6E   ecord resolution
110 : 20 6F 66 20 5B 63 61 72 72 6F 74 70 61 74 63 68    of [carrotpatch
120 : 2E 6E 65 74 5D 20 69 6E 20 70 72 6F 67 72 65 73   .net] in progres
130 : 73 20 28 44 4E 53 20 53 65 72 76 65 72 3A 20 31   s (DNS Server: 1
140 : 39 38 2E 37 30 2E 33 36 2E 37 30 29 2E 2E 2E 0D   98.70.36.70)....
150 : 0A 20 50 3D 30 32 30 20 44 3D 63 61 72 72 6F 74   . P=020 D=carrot
160 : 70 61 74 63 68 2E 6E 65 74 20 54 54 4C 3D 28 34   patch.net TTL=(4
170 : 32 29 20 4D 58 3D 5B 6C 69 73 74 73 65 72 76 65   2) MX=[listserve
180 : 72 2E 63 61 72 72 6F 74 70 61 74 63 68 2E 6E 65   r.carrotpatch.ne
190 : 74 5D 20 7B 32 30 39 2E 34 33 2E 34 37 2E 31 32   t] {209.43.47.12
1a0 : 36 7D 0D 0A 20 49 67 6E 6F 72 69 6E 67 20 69 72   6}.. Ignoring ir
1b0 : 72 65 6C 65 76 61 6E 74 20 52 52 2C 20 6C 69 73   relevant RR, lis
1c0 : 74 73 65 72 76 65 72 2E 63 61 72 72 6F 74 70 61   tserver.carrotpa
1d0 : 74 63 68 2E 6E 65 74 20 50 3D 30 32 30 0D 0A 20   tch.net P=020.. 
1e0 : 50 3D 30 31 30 20 44 3D 63 61 72 72 6F 74 70 61   P=010 D=carrotpa
1f0 : 74 63 68 2E 6E 65 74 20 54 54 4C 3D 28 34 32 29   tch.net TTL=(42)
200 : 20 4D 58 3D 5B 66 72 62 2E 63 61 72 72 6F 74 70    MX=[frb.carrotp
210 : 61 74 63 68 2E 6E 65 74 5D 20 7B 31 32 2E 32 30   atch.net] {12.20
220 : 32 2E 31 39 33 2E 39 30 7D 0D 0A 20 50 3D 30 31   2.193.90}.. P=01
230 : 30 20 44 3D 63 61 72 72 6F 74 70 61 74 63 68 2E   0 D=carrotpatch.
240 : 6E 65 74 20 54 54 4C 3D 28 34 32 29 20 4D 58 3D   net TTL=(42) MX=
250 : 5B 63 61 72 72 6F 74 70 61 74 63 68 2E 6E 65 74   [carrotpatch.net
260 : 5D 20 7B 31 32 2E 32 30 32 2E 31 39 33 2E 39 30   ] {12.202.193.90
270 : 7D 0D 0A 20 41 74 74 65 6D 70 74 69 6E 67 20 4D   }.. Attempting M
280 : 58 3A 20 50 3D 30 31 30 20 44 3D 63 61 72 72 6F   X: P=010 D=carro
290 : 74 70 61 74 63 68 2E 6E 65 74 20 54 54 4C 3D 28   tpatch.net TTL=(
2a0 : 34 32 29 20 4D 58 3D 5B 63 61 72 72 6F 74 70 61   42) MX=[carrotpa
2b0 : 74 63 68 2E 6E 65 74 5D 20 7B 31 32 2E 32 30 32   tch.net] {12.202
2c0 : 2E 31 39 33 2E 39 30 7D 0D 0A 20 41 74 74 65 6D   .193.90}.. Attem
2d0 : 70 74 69 6E 67 20 53 4D 54 50 20 63 6F 6E 6E 65   pting SMTP conne
2e0 : 63 74 69 6F 6E 20 74 6F 20 5B 31 32 2E 32 30 32   ction to [12.202
2f0 : 2E 31 39 33 2E 39 30 20 3A 20 32 35 5D 0D 0A 20   .193.90 : 25].. 
300 : 57 61 69 74 69 6E 67 20 66 6F 72 20 73 6F 63 6B   Waiting for sock
310 : 65 74 20 63 6F 6E 6E 65 63 74 69 6F 6E 2E 2E 2E   et connection...
320 : 0D 0A 20 53 6F 63 6B 65 74 20 63 6F 6E 6E 65 63   .. Socket connec
330 : 74 69 6F 6E 20 65 73 74 61 62 6C 69 73 68 65 64   tion established
340 : 20 28 32 30 39 2E 34 33 2E 34 37 2E 31 32 36 20    (209.43.47.126 
350 : 3A 20 34 33 35 39 20 2D 3E 20 31 32 2E 32 30 32   : 4359 -> 12.202
360 : 2E 31 39 33 2E 39 30 20 3A 20 32 35 29 0D 0A 20   .193.90 : 25).. 
370 : 57 61 69 74 69 6E 67 20 66 6F 72 20 70 72 6F 74   Waiting for prot
380 : 6F 63 6F 6C 20 69 6E 69 74 69 61 74 69 6F 6E 2E   ocol initiation.
390 : 2E 2E 0D 0A 20 3C 2D 2D 20 32 32 30 20 66 72 62   .... <-- 220 frb
3a0 : 2E 63 61 72 72 6F 74 70 61 74 63 68 2E 6E 65 74   .carrotpatch.net
3b0 : 20 4D 69 63 72 6F 73 6F 66 74 20 45 53 4D 54 50    Microsoft ESMTP
3c0 : 20 4D 41 49 4C 20 53 65 72 76 69 63 65 2C 20 56    MAIL Service, V
3d0 : 65 72 73 69 6F 6E 3A 20 36 2E 30 2E 33 37 39 30   ersion: 6.0.3790
3e0 : 2E 32 31 31 20 72 65 61 64 79 20 61 74 20 20 53   .211 ready at  S
3f0 : 75 6E 2C 20 35 20 4A 75 6E 20 32 30 30 35 20 30   un, 5 Jun 2005 0
400 : 31 3A 32 39 3A 30 35 20 2D 30 35 30 30 0D 0A 20   1:29:05 -0500.. 
410 : 2D 2D 3E 20 45 48 4C 4F 20 6C 69 73 74 73 2E 63   --> EHLO lists.c
420 : 61 72 72 6F 74 70 61 74 63 68 2E 6E 65 74 0D 0A   arrotpatch.net..
430 : 20 3C 2D 2D 20 32 35 30 2D 66 72 62 2E 63 61 72    <-- 250-frb.car
440 : 72 6F 74 70 61 74 63 68 2E 6E 65 74 20 48 65 6C   rotpatch.net Hel
450 : 6C 6F 20 5B 32 30 36 2E 32 34 36 2E 31 34 30 2E   lo [206.246.140.
460 : 32 38 5D 0D 0A 20 3C 2D 2D 20 32 35 30 2D 54 55   28].. <-- 250-TU
470 : 52 4E 0D 0A 20 3C 2D 2D 20 32 35 30 2D 53 49 5A   RN.. <-- 250-SIZ
480 : 45 0D 0A 20 3C 2D 2D 20 32 35 30 2D 45 54 52 4E   E.. <-- 250-ETRN
490 : 0D 0A 20 3C 2D 2D 20 32 35 30 2D 50 49 50 45 4C   .. <-- 250-PIPEL
4a0 : 49 4E 49 4E 47 0D 0A 20 3C 2D 2D 20 32 35 30 2D   INING.. <-- 250-
4b0 : 44 53 4E 0D 0A 20 3C 2D 2D 20 32 35 30 2D 45 4E   DSN.. <-- 250-EN
4c0 : 48 41 4E 43 45 44 53 54 41 54 55 53 43 4F 44 45   HANCEDSTATUSCODE
4d0 : 53 0D 0A 20 3C 2D 2D 20 32 35 30 2D 38 62 69 74   S.. <-- 250-8bit
4e0 : 6D 69 6D 65 0D 0A 20 3C 2D 2D 20 32 35 30 2D 42   mime.. <-- 250-B
4f0 : 49 4E 41 52 59 4D 49 4D 45 0D 0A 20 3C 2D 2D 20   INARYMIME.. <-- 
500 : 32 35 30 2D 43 48 55 4E 4B 49 4E 47 0D 0A 20 3C   250-CHUNKING.. <
510 : 2D 2D 20 32 35 30 2D 56 52 46 59 0D 0A 20 3C 2D   -- 250-VRFY.. <-
520 : 2D 20 32 35 30 2D 58 2D 45 58 50 53 20 47 53 53   - 250-X-EXPS GSS
530 : 41 50 49 20 4E 54 4C 4D 20 4C 4F 47 49 4E 0D 0A   API NTLM LOGIN..
540 : 20 3C 2D 2D 20 32 35 30 2D 58 2D 45 58 50 53 3D    <-- 250-X-EXPS=
550 : 4C 4F 47 49 4E 0D 0A 20 3C 2D 2D 20 32 35 30 2D   LOGIN.. <-- 250-
560 : 41 55 54 48 20 47 53 53 41 50 49 20 4E 54 4C 4D   AUTH GSSAPI NTLM
570 : 20 4C 4F 47 49 4E 0D 0A 20 3C 2D 2D 20 32 35 30    LOGIN.. <-- 250
580 : 2D 41 55 54 48 3D 4C 4F 47 49 4E 0D 0A 20 3C 2D   -AUTH=LOGIN.. <-
590 : 2D 20 32 35 30 2D 58 2D 4C 49 4E 4B 32 53 54 41   - 250-X-LINK2STA
5a0 : 54 45 0D 0A 20 3C 2D 2D 20 32 35 30 2D 58 45 58   TE.. <-- 250-XEX
5b0 : 43 48 35 30                                       CH50



More information about the list mailing list