[Snort-users] Help... am I infected?

John Berkers berjo at ...827...
Wed Sep 19 14:00:02 EDT 2001


Peter,

Those look like standard responses to attempts to access restricted pages on
your server, Probably as a result of the worm trying to get in.  The first
sample is due to IP address restrictions for the page, the second type is a
403, access forbidden message.  This is normal behaviour if someone/thing is
trying to gain unauthorised access to your server.

Regards,

John Berkers                                       ICQ: 112912
Network Services                            Hansen Corporation
john.berkers at ...3164...               berjo at ...827...


-----Original Message-----
From: snort-users-admin at lists.sourceforge.net
[mailto:snort-users-admin at lists.sourceforge.net]On Behalf Of Peter
Borner
Sent: Wednesday, 19 September 2001 23:06
To: Snort-Users (E-mail)
Subject: [Snort-users] Help... am I infected?


Hi,

I have a Windows Advanced server box that runs IIS5 and MS Exchange. It
is fully patched and running HFNETCHK shows I have all the required hot
fixes installed. I'm also running Trend Antivirus for the server,
exchange and the client pc's with the latest pattern file etc.

I've checked my entire hard disk and can find no tampered html, htm,
asp, php files. I do not have "readme.eml", readme.exe, admin.dll,
default.ida or any of the other interesting files on my disk. However,
I'm seeing activity from my server box that looks like I might be
infected. Please can someone take a look at the following events and
help me to understand them as I'm a newbie to this stuff! 

Thanks very much,

Peter Borner



Generated by ACID v0.9.6b13 on Wed September 19, 2001 13:55:27

------------------------------------------------------------------------
------
#(1 - 1025509) [2001-09-19 11:37:06]  WEB-IIS Unauthorized IP Access
Attempt
IPv4: 62.49.145.34 -> 62.49.150.190
		hlen=5 TOS=0 dlen00 IDF733 flags=0 offset=0 TTL8
chksum9499
TCP:  portEUR -> dport: 2482  flags=***A**** seq47424953
		ackt164489 off=5 res=0 win375 urp=0 chksumf42
Payload:  length = 1460
000 : 72 76 65 72 49 6E 64 65 78 29 3B 0D 0A 09 09 0D   rverIndex);.....
010 : 0A 09 2F 2F 66 6F 72 20 64 69 73 70 6C 61 79 2C   ..//for display,
020 : 20 77 65 20 6E 65 65 64 20 74 6F 20 73 6B 69 70    we need to skip
030 : 20 61 66 74 65 72 20 68 74 74 70 3A 2F 2F 2C 20    after http://, 
040 : 61 6E 64 20 67 6F 20 74 6F 20 74 68 65 20 6E 65   and go to the ne
050 : 78 74 20 73 6C 61 73 68 0D 0A 09 64 69 73 70 6C   xt slash...displ
060 : 61 79 72 65 73 75 6C 74 3D 44 6F 63 55 52 4C 2E   ayresult=DocURL.
070 : 73 75 62 73 74 72 69 6E 67 28 70 72 6F 74 6F 63   substring(protoc
080 : 6F 6C 49 6E 64 65 78 20 2B 20 33 20 2C 73 65 72   olIndex + 3 ,ser
090 : 76 65 72 49 6E 64 65 78 29 3B 0D 0A 09 64 6F 63   verIndex);...doc
0a0 : 75 6D 65 6E 74 2E 77 72 69 74 65 28 20 27 3C 41   ument.write(
'<A
0b0 : 20 48 52 45 46 3D 22 27 20 2B 20 65 73 63 61 70    HREF="' +
escap
0c0 : 65 28 75 72 6C 72 65 73 75 6C 74 29 20 2B 20 27   e(urlresult) + '
0d0 : 22 3E 27 20 2B 20 64 69 73 70 6C 61 79 72 65 73   ">' +
displayres
0e0 : 75 6C 74 20 2B 20 22 3C 2F 61 3E 22 29 3B 0D 0A   ult +
"</a>");..
0f0 : 7D 0D 0A 2F 2F 2D 2D 3E 0D 0A 3C 2F 73 63 72 69
}..//-->..</scri
100 : 70 74 3E 0D 0A 0D 0A 3C 62 6F 64 79 20 62 67 63
pt>....<body bgc
110 : 6F 6C 6F 72 3D 22 46 46 46 46 46 46 22 3E 0D 0A
olor="FFFFFF">..
120 : 0D 0A 3C 74 61 62 6C 65 20 77 69 64 74 68 3D 22   ..<table
width="
130 : 34 31 30 22 20 63 65 6C 6C 70 61 64 64 69 6E 67   410"
cellpadding
140 : 3D 22 33 22 20 63 65 6C 6C 73 70 61 63 69 6E 67   ="3"
cellspacing
150 : 3D 22 35 22 3E 0D 0A 0D 0A 20 20 3C 74 72 3E 20
="5">....  <tr> 
160 : 20 20 20 0D 0A 20 20 20 20 3C 74 64 20 61 6C 69      ..    <td
ali
170 : 67 6E 3D 22 6C 65 66 74 22 20 76 61 6C 69 67 6E
gn="left" valign
180 : 3D 22 6D 69 64 64 6C 65 22 20 77 69 64 74 68 3D
="middle" width=
190 : 22 33 36 30 22 3E 0D 0A 09 3C 68 31 20 73 74 79
"360">...<h1 sty
1a0 : 6C 65 3D 22 43 4F 4C 4F 52 3A 30 30 30 30 30 30
le="COLOR:000000
1b0 : 3B 20 46 4F 4E 54 3A 20 31 33 70 74 2F 31 35 70   ; FONT: 13pt/15p
1c0 : 74 20 76 65 72 64 61 6E 61 22 3E 3C 21 2D 2D 50   t
verdana"><!--P
1d0 : 72 6F 62 6C 65 6D 2D 2D 3E 59 6F 75 20 61 72 65   roblem-->You
are
1e0 : 20 6E 6F 74 20 61 75 74 68 6F 72 69 7A 65 64 20    not authorized 
1f0 : 74 6F 20 76 69 65 77 20 74 68 69 73 20 70 61 67   to view this pag
200 : 65 3C 2F 68 31 3E 0D 0A 20 20 20 20 3C 2F 74 64   e</h1>..
</td
210 : 3E 0D 0A 20 20 3C 2F 74 72 3E 0D 0A 20 20 0D 0A   >..
</tr>..  ..
220 : 20 20 3C 74 72 3E 0D 0A 20 20 20 20 3C 74 64 20     <tr>..
<td 
230 : 77 69 64 74 68 3D 22 34 30 30 22 20 63 6F 6C 73
width="400" cols
240 : 70 61 6E 3D 22 32 22 3E 0D 0A 09 3C 66 6F 6E 74
pan="2">...<font
250 : 20 73 74 79 6C 65 3D 22 43 4F 4C 4F 52 3A 30 30
style="COLOR:00
260 : 30 30 30 30 3B 20 46 4F 4E 54 3A 20 38 70 74 2F   0000; FONT: 8pt/
270 : 31 31 70 74 20 76 65 72 64 61 6E 61 22 3E 59 6F   11pt
verdana">Yo
280 : 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 70 65   u do not have pe
290 : 72 6D 69 73 73 69 6F 6E 20 74 6F 20 76 69 65 77   rmission to view
2a0 : 20 74 68 69 73 20 64 69 72 65 63 74 6F 72 79 20    this directory 
2b0 : 6F 72 20 70 61 67 65 20 66 72 6F 6D 20 74 68 65   or page from the
2c0 : 20 49 6E 74 65 72 6E 65 74 20 61 64 64 72 65 73    Internet addres
2d0 : 73 20 6F 66 20 79 6F 75 72 20 57 65 62 20 62 72   s of your Web br
2e0 : 6F 77 73 65 72 2E 3C 2F 66 6F 6E 74 3E 3C 2F 74
owser.</font></t
2f0 : 64 3E 0D 0A 20 20 3C 2F 74 72 3E 0D 0A 20 20 0D   d>..
</tr>..  .
300 : 0A 20 20 3C 74 72 3E 0D 0A 20 20 20 20 3C 74 64   .  <tr>..
<td
310 : 20 77 69 64 74 68 3D 22 34 30 30 22 20 63 6F 6C
width="400" col
320 : 73 70 61 6E 3D 22 32 22 3E 0D 0A 09 3C 66 6F 6E
span="2">...<fon
330 : 74 20 73 74 79 6C 65 3D 22 43 4F 4C 4F 52 3A 30   t
style="COLOR:0
340 : 30 30 30 30 30 3B 20 46 4F 4E 54 3A 20 38 70 74   00000; FONT: 8pt
350 : 2F 31 31 70 74 20 76 65 72 64 61 6E 61 22 3E 0D   /11pt
verdana">.
360 : 0A 09 0D 0A 09 3C 68 72 20 63 6F 6C 6F 72 3D 22   .....<hr
color="
370 : 23 43 30 43 30 43 30 22 20 6E 6F 73 68 61 64 65   #C0C0C0"
noshade
380 : 3E 0D 0A 09 0D 0A 20 20 20 20 3C 70 3E 49 66 20   >.....
<p>If 
390 : 79 6F 75 20 62 65 6C 69 65 76 65 20 79 6F 75 20   you believe you 
3a0 : 73 68 6F 75 6C 64 20 62 65 20 61 62 6C 65 20 74   should be able t
3b0 : 6F 20 76 69 65 77 20 74 68 69 73 20 64 69 72 65   o view this dire
3c0 : 63 74 6F 72 79 20 6F 72 20 70 61 67 65 2C 20 70   ctory or page, p
3d0 : 6C 65 61 73 65 20 63 6F 6E 74 61 63 74 20 74 68   lease contact th
3e0 : 65 20 57 65 62 20 73 69 74 65 20 61 64 6D 69 6E   e Web site admin
3f0 : 69 73 74 72 61 74 6F 72 20 62 79 20 75 73 69 6E   istrator by usin
400 : 67 20 74 68 65 20 65 2D 6D 61 69 6C 20 61 64 64   g the e-mail add
410 : 72 65 73 73 20 6F 72 20 70 68 6F 6E 65 20 6E 75   ress or phone nu
420 : 6D 62 65 72 20 6C 69 73 74 65 64 20 6F 6E 20 74   mber listed on t
430 : 68 65 0D 0A 20 0D 0A 09 3C 73 63 72 69 70 74 3E   he..
...<script>
440 : 0D 0A 09 3C 21 2D 2D 0D 0A 09 69 66 20 28 21 28   ...<!--...if
(!(
450 : 28 77 69 6E 64 6F 77 2E 6E 61 76 69 67 61 74 6F   (window.navigato
460 : 72 2E 75 73 65 72 41 67 65 6E 74 2E 69 6E 64 65   r.userAgent.inde
470 : 78 4F 66 28 22 4D 53 49 45 22 29 20 3E 20 30 29
xOf("MSIE") > 0)
480 : 20 26 26 20 28 77 69 6E 64 6F 77 2E 6E 61 76 69    &&
(window.navi
490 : 67 61 74 6F 72 2E 61 70 70 56 65 72 73 69 6F 6E   gator.appVersion
4a0 : 2E 63 68 61 72 41 74 28 30 29 20 3D 3D 20 22 32   .charAt(0) ==
"2
4b0 : 22 29 29 29 0D 0A 09 7B 0D 0A 09 09 20 48 6F 6D
")))...{.... Hom
4c0 : 65 70 61 67 65 28 29 3B 0D 0A 09 7D 0D 0A 09 2F   epage();...}.../
4d0 : 2F 2D 2D 3E 0D 0A 09 3C 2F 73 63 72 69 70 74 3E
/-->...</script>
4e0 : 0D 0A 0D 0A 09 68 6F 6D 65 20 70 61 67 65 2E 3C   .....home
page.<
4f0 : 2F 70 3E 0D 0A 09 0D 0A 20 20 20 20 3C 68 32 20   /p>.....
<h2 
500 : 73 74 79 6C 65 3D 22 66 6F 6E 74 3A 38 70 74 2F
style="font:8pt/
510 : 31 31 70 74 20 76 65 72 64 61 6E 61 3B 20 63 6F   11pt verdana; co
520 : 6C 6F 72 3A 30 30 30 30 30 30 22 3E 48 54 54 50
lor:000000">HTTP
530 : 20 34 30 33 2E 36 20 2D 20 46 6F 72 62 69 64 64    403.6 - Forbidd
540 : 65 6E 3A 20 49 50 20 61 64 64 72 65 73 73 20 72   en: IP address r
550 : 65 6A 65 63 74 65 64 3C 62 72 3E 0D 0A 20 20 20
ejected<br>..   
560 : 20 49 6E 74 65 72 6E 65 74 20 49 6E 66 6F 72 6D    Internet Inform
570 : 61 74 69 6F 6E 20 53 65 72 76 69 63 65 73 3C 2F   ation
Services</
580 : 68 32 3E 0D 0A 0D 0A 09 3C 68 72 20 63 6F 6C 6F
h2>.....<hr colo
590 : 72 3D 22 23 43 30 43 30 43 30 22 20 6E 6F 73 68
r="#C0C0C0" nosh
5a0 : 61 64 65 3E 0D 0A 09 0D 0A 09 3C 70 3E 54 65 63
ade>......<p>Tec
5b0 : 68 6E 69 63                                       hnic
------------------------------------------------------------------------
------
#(1 - 1025508) [2001-09-19 11:37:06]  WEB-MISC 403 Forbidden
IPv4: 62.49.145.34 -> 62.49.150.190
		hlen=5 TOS=0 dlen00 IDF732 flags=0 offset=0 TTL8
chksum9500
TCP:  portEUR -> dport: 2482  flags=***A**** seq47423493
		ackt164489 off=5 res=0 win375 urp=0 chksumc422
Payload:  length = 1460
000 : 48 54 54 50 2F 31 2E 31 20 34 30 33 20 41 63 63   HTTP/1.1 403 Acc
010 : 65 73 73 20 46 6F 72 62 69 64 64 65 6E 0D 0A 53   ess Forbidden..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74   erver: Microsoft
030 : 2D 49 49 53 2F 35 2E 30 0D 0A 44 61 74 65 3A 20   -IIS/5.0..Date: 
040 : 57 65 64 2C 20 31 39 20 53 65 70 20 32 30 30 31   Wed, 19 Sep 2001
050 : 20 31 30 3A 34 31 3A 32 32 20 47 4D 54 0D 0A 43    10:41:22 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 33   ontent-Length: 3
070 : 32 39 35 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70   295..Content-Typ
080 : 65 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A   e: text/html....
090 : 3C 21 44 4F 43 54 59 50 45 20 48 54 4D 4C 20 50   <!DOCTYPE
HTML P
0a0 : 55 42 4C 49 43 20 22 2D 2F 2F 57 33 43 2F 2F 44   UBLIC
"-//W3C//D
0b0 : 54 44 20 48 54 4D 4C 20 33 2E 32 20 46 69 6E 61   TD HTML 3.2 Fina
0c0 : 6C 2F 2F 45 4E 22 3E 0D 0A 3C 68 74 6D 6C 20 64
l//EN">..<html d
0d0 : 69 72 3D 6C 74 72 3E 0D 0A 0D 0A 3C 68 65 61 64
ir=ltr>....<head
0e0 : 3E 0D 0A 3C 73 74 79 6C 65 3E 0D 0A 61 3A 6C 69
>..<style>..a:li
0f0 : 6E 6B 20 20 20 20 20 20 20 20 20 20 20 20 20 20   nk              
100 : 20 20 20 20 7B 66 6F 6E 74 3A 38 70 74 2F 31 31       {font:8pt/11
110 : 70 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 6C 6F   pt verdana; colo
120 : 72 3A 46 46 30 30 30 30 7D 0D 0A 61 3A 76 69 73   r:FF0000}..a:vis
130 : 69 74 65 64 20 20 20 20 20 20 20 20 20 20 20 20   ited            
140 : 20 20 20 7B 66 6F 6E 74 3A 38 70 74 2F 31 31 70      {font:8pt/11p
150 : 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 6C 6F 72   t verdana; color
160 : 3A 23 34 65 34 65 34 65 7D 0D 0A 3C 2F 73 74 79
:#4e4e4e}..</sty
170 : 6C 65 3E 0D 0A 0D 0A 3C 4D 45 54 41 20 4E 41 4D
le>....<META NAM
180 : 45 3D 22 52 4F 42 4F 54 53 22 20 43 4F 4E 54 45
E="ROBOTS" CONTE
190 : 4E 54 3D 22 4E 4F 49 4E 44 45 58 22 3E 0D 0A 0D
NT="NOINDEX">...
1a0 : 0A 3C 74 69 74 6C 65 3E 59 6F 75 20 61 72 65 20
.<title>You are 
1b0 : 6E 6F 74 20 61 75 74 68 6F 72 69 7A 65 64 20 74   not authorized t
1c0 : 6F 20 76 69 65 77 20 74 68 69 73 20 70 61 67 65   o view this page
1d0 : 3C 2F 74 69 74 6C 65 3E 0D 0A 0D 0A 3C 4D 45 54
</title>....<MET
1e0 : 41 20 48 54 54 50 2D 45 51 55 49 56 3D 22 43 6F   A
HTTP-EQUIV="Co
1f0 : 6E 74 65 6E 74 2D 54 79 70 65 22 20 43 6F 6E 74   ntent-Type"
Cont
200 : 65 6E 74 3D 22 74 65 78 74 2D 68 74 6D 6C 3B 20
ent="text-html; 
210 : 63 68 61 72 73 65 74 3D 57 69 6E 64 6F 77 73 2D   charset=Windows-
220 : 31 32 35 32 22 3E 0D 0A 3C 2F 68 65 61 64 3E 0D
1252">..</head>.
230 : 0A 0D 0A 3C 73 63 72 69 70 74 3E 20 0D 0A 3C 21
...<script> ..<!
240 : 2D 2D 0D 0A 66 75 6E 63 74 69 6F 6E 20 48 6F 6D   --..function Hom
250 : 65 70 61 67 65 28 29 7B 0D 0A 0D 0A 2F 2F 20 69   epage(){....// i
260 : 6E 20 72 65 61 6C 20 62 69 74 73 2C 20 75 72 6C   n real bits, url
270 : 73 20 67 65 74 20 72 65 74 75 72 6E 65 64 20 74   s get returned t
280 : 6F 20 6F 75 72 20 73 63 72 69 70 74 20 6C 69 6B   o our script lik
290 : 65 20 74 68 69 73 3A 0D 0A 2F 2F 20 72 65 73 3A   e this:..// res:
2a0 : 2F 2F 73 68 64 6F 63 76 77 2E 64 6C 6C 2F 68 74   //shdocvw.dll/ht
2b0 : 74 70 5F 34 30 34 2E 68 74 6D 23 68 74 74 70 3A   tp_404.htm#http:
2c0 : 2F 2F 77 77 77 2E 44 6F 63 55 52 4C 2E 63 6F 6D   //www.DocURL.com
2d0 : 2F 62 61 72 2E 68 74 6D 20 0D 0A 0D 0A 09 2F 2F   /bar.htm .....//
2e0 : 46 6F 72 20 74 65 73 74 69 6E 67 20 75 73 65 20   For testing use 
2f0 : 44 6F 63 55 52 4C 20 3D 20 22 72 65 73 3A 2F 2F   DocURL =
"res://
300 : 73 68 64 6F 63 76 77 2E 64 6C 6C 2F 68 74 74 70   shdocvw.dll/http
310 : 5F 34 30 34 2E 68 74 6D 23 68 74 74 70 73 3A 2F   _404.htm#https:/
320 : 2F 77 77 77 2E 6D 69 63 72 6F 73 6F 66 74 2E 63   /www.microsoft.c
330 : 6F 6D 2F 62 61 72 2E 68 74 6D 22 0D 0A 09 44 6F
om/bar.htm"...Do
340 : 63 55 52 4C 3D 64 6F 63 75 6D 65 6E 74 2E 55 52   cURL=document.UR
350 : 4C 3B 0D 0A 09 0D 0A 09 2F 2F 74 68 69 73 20 69   L;......//this i
360 : 73 20 77 68 65 72 65 20 74 68 65 20 68 74 74 70   s where the http
370 : 20 6F 72 20 68 74 74 70 73 20 77 69 6C 6C 20 62    or https will b
380 : 65 2C 20 61 73 20 66 6F 75 6E 64 20 62 79 20 73   e, as found by s
390 : 65 61 72 63 68 69 6E 67 20 66 6F 72 20 3A 2F 2F   earching for ://
3a0 : 20 62 75 74 20 73 6B 69 70 70 69 6E 67 20 74 68    but skipping th
3b0 : 65 20 72 65 73 3A 2F 2F 0D 0A 09 70 72 6F 74 6F   e res://...proto
3c0 : 63 6F 6C 49 6E 64 65 78 3D 44 6F 63 55 52 4C 2E   colIndex=DocURL.
3d0 : 69 6E 64 65 78 4F 66 28 22 3A 2F 2F 22 2C 34 29
indexOf("://",4)
3e0 : 3B 0D 0A 09 0D 0A 09 2F 2F 74 68 69 73 20 66 69   ;......//this fi
3f0 : 6E 64 73 20 74 68 65 20 65 6E 64 69 6E 67 20 73   nds the ending s
400 : 6C 61 73 68 20 66 6F 72 20 74 68 65 20 64 6F 6D   lash for the dom
410 : 61 69 6E 20 73 65 72 76 65 72 20 0D 0A 09 73 65   ain server ...se
420 : 72 76 65 72 49 6E 64 65 78 3D 44 6F 63 55 52 4C   rverIndex=DocURL
430 : 2E 69 6E 64 65 78 4F 66 28 22 2F 22 2C 70 72 6F
.indexOf("/",pro
440 : 74 6F 63 6F 6C 49 6E 64 65 78 20 2B 20 33 29 3B   tocolIndex + 3);
450 : 0D 0A 0D 0A 09 2F 2F 66 6F 72 20 74 68 65 20 68   .....//for the h
460 : 72 65 66 2C 20 77 65 20 6E 65 65 64 20 61 20 76   ref, we need a v
470 : 61 6C 69 64 20 55 52 4C 20 74 6F 20 74 68 65 20   alid URL to the 
480 : 64 6F 6D 61 69 6E 2E 20 57 65 20 73 65 61 72 63   domain. We searc
490 : 68 20 66 6F 72 20 74 68 65 20 23 20 73 79 6D 62   h for the # symb
4a0 : 6F 6C 20 74 6F 20 66 69 6E 64 20 74 68 65 20 62   ol to find the b
4b0 : 65 67 69 6E 69 6E 67 20 0D 0A 09 2F 2F 6F 66 20   egining ...//of 
4c0 : 74 68 65 20 74 72 75 65 20 55 52 4C 2C 20 61 6E   the true URL, an
4d0 : 64 20 61 64 64 20 31 20 74 6F 20 73 6B 69 70 20   d add 1 to skip 
4e0 : 69 74 20 2D 20 74 68 69 73 20 69 73 20 74 68 65   it - this is the
4f0 : 20 42 65 67 69 6E 55 52 4C 20 76 61 6C 75 65 2E    BeginURL value.
500 : 20 57 65 20 75 73 65 20 73 65 72 76 65 72 49 6E    We use serverIn
510 : 64 65 78 20 61 73 20 74 68 65 20 65 6E 64 20 6D   dex as the end m
520 : 61 72 6B 65 72 2E 0D 0A 09 2F 2F 75 72 6C 72 65   arker....//urlre
530 : 73 75 6C 74 3D 44 6F 63 55 52 4C 2E 73 75 62 73   sult=DocURL.subs
540 : 74 72 69 6E 67 28 70 72 6F 74 6F 63 6F 6C 49 6E   tring(protocolIn
550 : 64 65 78 20 2D 20 34 2C 73 65 72 76 65 72 49 6E   dex - 4,serverIn
560 : 64 65 78 29 3B 0D 0A 09 42 65 67 69 6E 55 52 4C   dex);...BeginURL
570 : 3D 44 6F 63 55 52 4C 2E 69 6E 64 65 78 4F 66 28   =DocURL.indexOf(
580 : 22 23 22 2C 31 29 20 2B 20 31 3B 0D 0A 09 75 72   "#",1)
+ 1;...ur
590 : 6C 72 65 73 75 6C 74 3D 44 6F 63 55 52 4C 2E 73   lresult=DocURL.s
5a0 : 75 62 73 74 72 69 6E 67 28 42 65 67 69 6E 55 52   ubstring(BeginUR
5b0 : 4C 2C 73 65                                       L,se
------------------------------------------------------------------------
------
#(1 - 1025500) [2001-09-19 11:37:05]  WEB-MISC 403 Forbidden
IPv4: 62.49.145.34 -> 62.49.150.190
		hlen=5 TOS=0 dlen00 IDF694 flags=0 offset=0 TTL8
chksum9538
TCP:  portEUR -> dport: 2430  flags=***A**** seq46725484
		ackt162806 off=5 res=0 win450 urp=0 chksumB462
Payload:  length = 1460
000 : 48 54 54 50 2F 31 2E 31 20 34 30 33 20 41 63 63   HTTP/1.1 403 Acc
010 : 65 73 73 20 46 6F 72 62 69 64 64 65 6E 0D 0A 53   ess Forbidden..S
020 : 65 72 76 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74   erver: Microsoft
030 : 2D 49 49 53 2F 35 2E 30 0D 0A 44 61 74 65 3A 20   -IIS/5.0..Date: 
040 : 57 65 64 2C 20 31 39 20 53 65 70 20 32 30 30 31   Wed, 19 Sep 2001
050 : 20 31 30 3A 34 31 3A 32 31 20 47 4D 54 0D 0A 43    10:41:21 GMT..C
060 : 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 33   ontent-Length: 3
070 : 32 39 35 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70   295..Content-Typ
080 : 65 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A   e: text/html....
090 : 3C 21 44 4F 43 54 59 50 45 20 48 54 4D 4C 20 50   <!DOCTYPE
HTML P
0a0 : 55 42 4C 49 43 20 22 2D 2F 2F 57 33 43 2F 2F 44   UBLIC
"-//W3C//D
0b0 : 54 44 20 48 54 4D 4C 20 33 2E 32 20 46 69 6E 61   TD HTML 3.2 Fina
0c0 : 6C 2F 2F 45 4E 22 3E 0D 0A 3C 68 74 6D 6C 20 64
l//EN">..<html d
0d0 : 69 72 3D 6C 74 72 3E 0D 0A 0D 0A 3C 68 65 61 64
ir=ltr>....<head
0e0 : 3E 0D 0A 3C 73 74 79 6C 65 3E 0D 0A 61 3A 6C 69
>..<style>..a:li
0f0 : 6E 6B 20 20 20 20 20 20 20 20 20 20 20 20 20 20   nk              
100 : 20 20 20 20 7B 66 6F 6E 74 3A 38 70 74 2F 31 31       {font:8pt/11
110 : 70 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 6C 6F   pt verdana; colo
120 : 72 3A 46 46 30 30 30 30 7D 0D 0A 61 3A 76 69 73   r:FF0000}..a:vis
130 : 69 74 65 64 20 20 20 20 20 20 20 20 20 20 20 20   ited            
140 : 20 20 20 7B 66 6F 6E 74 3A 38 70 74 2F 31 31 70      {font:8pt/11p
150 : 74 20 76 65 72 64 61 6E 61 3B 20 63 6F 6C 6F 72   t verdana; color
160 : 3A 23 34 65 34 65 34 65 7D 0D 0A 3C 2F 73 74 79
:#4e4e4e}..</sty
170 : 6C 65 3E 0D 0A 0D 0A 3C 4D 45 54 41 20 4E 41 4D
le>....<META NAM
180 : 45 3D 22 52 4F 42 4F 54 53 22 20 43 4F 4E 54 45
E="ROBOTS" CONTE
190 : 4E 54 3D 22 4E 4F 49 4E 44 45 58 22 3E 0D 0A 0D
NT="NOINDEX">...
1a0 : 0A 3C 74 69 74 6C 65 3E 59 6F 75 20 61 72 65 20
.<title>You are 
1b0 : 6E 6F 74 20 61 75 74 68 6F 72 69 7A 65 64 20 74   not authorized t
1c0 : 6F 20 76 69 65 77 20 74 68 69 73 20 70 61 67 65   o view this page
1d0 : 3C 2F 74 69 74 6C 65 3E 0D 0A 0D 0A 3C 4D 45 54
</title>....<MET
1e0 : 41 20 48 54 54 50 2D 45 51 55 49 56 3D 22 43 6F   A
HTTP-EQUIV="Co
1f0 : 6E 74 65 6E 74 2D 54 79 70 65 22 20 43 6F 6E 74   ntent-Type"
Cont
200 : 65 6E 74 3D 22 74 65 78 74 2D 68 74 6D 6C 3B 20
ent="text-html; 
210 : 63 68 61 72 73 65 74 3D 57 69 6E 64 6F 77 73 2D   charset=Windows-
220 : 31 32 35 32 22 3E 0D 0A 3C 2F 68 65 61 64 3E 0D
1252">..</head>.
230 : 0A 0D 0A 3C 73 63 72 69 70 74 3E 20 0D 0A 3C 21
...<script> ..<!
240 : 2D 2D 0D 0A 66 75 6E 63 74 69 6F 6E 20 48 6F 6D   --..function Hom
250 : 65 70 61 67 65 28 29 7B 0D 0A 0D 0A 2F 2F 20 69   epage(){....// i
260 : 6E 20 72 65 61 6C 20 62 69 74 73 2C 20 75 72 6C   n real bits, url
270 : 73 20 67 65 74 20 72 65 74 75 72 6E 65 64 20 74   s get returned t
280 : 6F 20 6F 75 72 20 73 63 72 69 70 74 20 6C 69 6B   o our script lik
290 : 65 20 74 68 69 73 3A 0D 0A 2F 2F 20 72 65 73 3A   e this:..// res:
2a0 : 2F 2F 73 68 64 6F 63 76 77 2E 64 6C 6C 2F 68 74   //shdocvw.dll/ht
2b0 : 74 70 5F 34 30 34 2E 68 74 6D 23 68 74 74 70 3A   tp_404.htm#http:
2c0 : 2F 2F 77 77 77 2E 44 6F 63 55 52 4C 2E 63 6F 6D   //www.DocURL.com
2d0 : 2F 62 61 72 2E 68 74 6D 20 0D 0A 0D 0A 09 2F 2F   /bar.htm .....//
2e0 : 46 6F 72 20 74 65 73 74 69 6E 67 20 75 73 65 20   For testing use 
2f0 : 44 6F 63 55 52 4C 20 3D 20 22 72 65 73 3A 2F 2F   DocURL =
"res://
300 : 73 68 64 6F 63 76 77 2E 64 6C 6C 2F 68 74 74 70   shdocvw.dll/http
310 : 5F 34 30 34 2E 68 74 6D 23 68 74 74 70 73 3A 2F   _404.htm#https:/
320 : 2F 77 77 77 2E 6D 69 63 72 6F 73 6F 66 74 2E 63   /www.microsoft.c
330 : 6F 6D 2F 62 61 72 2E 68 74 6D 22 0D 0A 09 44 6F
om/bar.htm"...Do
340 : 63 55 52 4C 3D 64 6F 63 75 6D 65 6E 74 2E 55 52   cURL=document.UR
350 : 4C 3B 0D 0A 09 0D 0A 09 2F 2F 74 68 69 73 20 69   L;......//this i
360 : 73 20 77 68 65 72 65 20 74 68 65 20 68 74 74 70   s where the http
370 : 20 6F 72 20 68 74 74 70 73 20 77 69 6C 6C 20 62    or https will b
380 : 65 2C 20 61 73 20 66 6F 75 6E 64 20 62 79 20 73   e, as found by s
390 : 65 61 72 63 68 69 6E 67 20 66 6F 72 20 3A 2F 2F   earching for ://
3a0 : 20 62 75 74 20 73 6B 69 70 70 69 6E 67 20 74 68    but skipping th
3b0 : 65 20 72 65 73 3A 2F 2F 0D 0A 09 70 72 6F 74 6F   e res://...proto
3c0 : 63 6F 6C 49 6E 64 65 78 3D 44 6F 63 55 52 4C 2E   colIndex=DocURL.
3d0 : 69 6E 64 65 78 4F 66 28 22 3A 2F 2F 22 2C 34 29
indexOf("://",4)
3e0 : 3B 0D 0A 09 0D 0A 09 2F 2F 74 68 69 73 20 66 69   ;......//this fi
3f0 : 6E 64 73 20 74 68 65 20 65 6E 64 69 6E 67 20 73   nds the ending s
400 : 6C 61 73 68 20 66 6F 72 20 74 68 65 20 64 6F 6D   lash for the dom
410 : 61 69 6E 20 73 65 72 76 65 72 20 0D 0A 09 73 65   ain server ...se
420 : 72 76 65 72 49 6E 64 65 78 3D 44 6F 63 55 52 4C   rverIndex=DocURL
430 : 2E 69 6E 64 65 78 4F 66 28 22 2F 22 2C 70 72 6F
.indexOf("/",pro
440 : 74 6F 63 6F 6C 49 6E 64 65 78 20 2B 20 33 29 3B   tocolIndex + 3);
450 : 0D 0A 0D 0A 09 2F 2F 66 6F 72 20 74 68 65 20 68   .....//for the h
460 : 72 65 66 2C 20 77 65 20 6E 65 65 64 20 61 20 76   ref, we need a v
470 : 61 6C 69 64 20 55 52 4C 20 74 6F 20 74 68 65 20   alid URL to the 
480 : 64 6F 6D 61 69 6E 2E 20 57 65 20 73 65 61 72 63   domain. We searc
490 : 68 20 66 6F 72 20 74 68 65 20 23 20 73 79 6D 62   h for the # symb
4a0 : 6F 6C 20 74 6F 20 66 69 6E 64 20 74 68 65 20 62   ol to find the b
4b0 : 65 67 69 6E 69 6E 67 20 0D 0A 09 2F 2F 6F 66 20   egining ...//of 
4c0 : 74 68 65 20 74 72 75 65 20 55 52 4C 2C 20 61 6E   the true URL, an
4d0 : 64 20 61 64 64 20 31 20 74 6F 20 73 6B 69 70 20   d add 1 to skip 
4e0 : 69 74 20 2D 20 74 68 69 73 20 69 73 20 74 68 65   it - this is the
4f0 : 20 42 65 67 69 6E 55 52 4C 20 76 61 6C 75 65 2E    BeginURL value.
500 : 20 57 65 20 75 73 65 20 73 65 72 76 65 72 49 6E    We use serverIn
510 : 64 65 78 20 61 73 20 74 68 65 20 65 6E 64 20 6D   dex as the end m
520 : 61 72 6B 65 72 2E 0D 0A 09 2F 2F 75 72 6C 72 65   arker....//urlre
530 : 73 75 6C 74 3D 44 6F 63 55 52 4C 2E 73 75 62 73   sult=DocURL.subs
540 : 74 72 69 6E 67 28 70 72 6F 74 6F 63 6F 6C 49 6E   tring(protocolIn
550 : 64 65 78 20 2D 20 34 2C 73 65 72 76 65 72 49 6E   dex - 4,serverIn
560 : 64 65 78 29 3B 0D 0A 09 42 65 67 69 6E 55 52 4C   dex);...BeginURL
570 : 3D 44 6F 63 55 52 4C 2E 69 6E 64 65 78 4F 66 28   =DocURL.indexOf(
580 : 22 23 22 2C 31 29 20 2B 20 31 3B 0D 0A 09 75 72   "#",1)
+ 1;...ur
590 : 6C 72 65 73 75 6C 74 3D 44 6F 63 55 52 4C 2E 73   lresult=DocURL.s
5a0 : 75 62 73 74 72 69 6E 67 28 42 65 67 69 6E 55 52   ubstring(BeginUR
5b0 : 4C 2C 73 65                                       L,se
------------------------------------------------------------------------
------
#(1 - 1025501) [2001-09-19 11:37:05]  WEB-IIS Unauthorized IP Access
Attempt
IPv4: 62.49.145.34 -> 62.49.150.190
		hlen=5 TOS=0 dlen00 IDF695 flags=0 offset=0 TTL8
chksum9537
TCP:  portEUR -> dport: 2430  flags=***A**** seq46726944
		ackt162806 off=5 res=0 win450 urp=0 chksumP961
Payload:  length = 1460
000 : 72 76 65 72 49 6E 64 65 78 29 3B 0D 0A 09 09 0D   rverIndex);.....
010 : 0A 09 2F 2F 66 6F 72 20 64 69 73 70 6C 61 79 2C   ..//for display,
020 : 20 77 65 20 6E 65 65 64 20 74 6F 20 73 6B 69 70    we need to skip
030 : 20 61 66 74 65 72 20 68 74 74 70 3A 2F 2F 2C 20    after http://, 
040 : 61 6E 64 20 67 6F 20 74 6F 20 74 68 65 20 6E 65   and go to the ne
050 : 78 74 20 73 6C 61 73 68 0D 0A 09 64 69 73 70 6C   xt slash...displ
060 : 61 79 72 65 73 75 6C 74 3D 44 6F 63 55 52 4C 2E   ayresult=DocURL.
070 : 73 75 62 73 74 72 69 6E 67 28 70 72 6F 74 6F 63   substring(protoc
080 : 6F 6C 49 6E 64 65 78 20 2B 20 33 20 2C 73 65 72   olIndex + 3 ,ser
090 : 76 65 72 49 6E 64 65 78 29 3B 0D 0A 09 64 6F 63   verIndex);...doc
0a0 : 75 6D 65 6E 74 2E 77 72 69 74 65 28 20 27 3C 41   ument.write(
'<A
0b0 : 20 48 52 45 46 3D 22 27 20 2B 20 65 73 63 61 70    HREF="' +
escap
0c0 : 65 28 75 72 6C 72 65 73 75 6C 74 29 20 2B 20 27   e(urlresult) + '
0d0 : 22 3E 27 20 2B 20 64 69 73 70 6C 61 79 72 65 73   ">' +
displayres
0e0 : 75 6C 74 20 2B 20 22 3C 2F 61 3E 22 29 3B 0D 0A   ult +
"</a>");..
0f0 : 7D 0D 0A 2F 2F 2D 2D 3E 0D 0A 3C 2F 73 63 72 69
}..//-->..</scri
100 : 70 74 3E 0D 0A 0D 0A 3C 62 6F 64 79 20 62 67 63
pt>....<body bgc
110 : 6F 6C 6F 72 3D 22 46 46 46 46 46 46 22 3E 0D 0A
olor="FFFFFF">..
120 : 0D 0A 3C 74 61 62 6C 65 20 77 69 64 74 68 3D 22   ..<table
width="
130 : 34 31 30 22 20 63 65 6C 6C 70 61 64 64 69 6E 67   410"
cellpadding
140 : 3D 22 33 22 20 63 65 6C 6C 73 70 61 63 69 6E 67   ="3"
cellspacing
150 : 3D 22 35 22 3E 0D 0A 0D 0A 20 20 3C 74 72 3E 20
="5">....  <tr> 
160 : 20 20 20 0D 0A 20 20 20 20 3C 74 64 20 61 6C 69      ..    <td
ali
170 : 67 6E 3D 22 6C 65 66 74 22 20 76 61 6C 69 67 6E
gn="left" valign
180 : 3D 22 6D 69 64 64 6C 65 22 20 77 69 64 74 68 3D
="middle" width=
190 : 22 33 36 30 22 3E 0D 0A 09 3C 68 31 20 73 74 79
"360">...<h1 sty
1a0 : 6C 65 3D 22 43 4F 4C 4F 52 3A 30 30 30 30 30 30
le="COLOR:000000
1b0 : 3B 20 46 4F 4E 54 3A 20 31 33 70 74 2F 31 35 70   ; FONT: 13pt/15p
1c0 : 74 20 76 65 72 64 61 6E 61 22 3E 3C 21 2D 2D 50   t
verdana"><!--P
1d0 : 72 6F 62 6C 65 6D 2D 2D 3E 59 6F 75 20 61 72 65   roblem-->You
are
1e0 : 20 6E 6F 74 20 61 75 74 68 6F 72 69 7A 65 64 20    not authorized 
1f0 : 74 6F 20 76 69 65 77 20 74 68 69 73 20 70 61 67   to view this pag
200 : 65 3C 2F 68 31 3E 0D 0A 20 20 20 20 3C 2F 74 64   e</h1>..
</td
210 : 3E 0D 0A 20 20 3C 2F 74 72 3E 0D 0A 20 20 0D 0A   >..
</tr>..  ..
220 : 20 20 3C 74 72 3E 0D 0A 20 20 20 20 3C 74 64 20     <tr>..
<td 
230 : 77 69 64 74 68 3D 22 34 30 30 22 20 63 6F 6C 73
width="400" cols
240 : 70 61 6E 3D 22 32 22 3E 0D 0A 09 3C 66 6F 6E 74
pan="2">...<font
250 : 20 73 74 79 6C 65 3D 22 43 4F 4C 4F 52 3A 30 30
style="COLOR:00
260 : 30 30 30 30 3B 20 46 4F 4E 54 3A 20 38 70 74 2F   0000; FONT: 8pt/
270 : 31 31 70 74 20 76 65 72 64 61 6E 61 22 3E 59 6F   11pt
verdana">Yo
280 : 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 70 65   u do not have pe
290 : 72 6D 69 73 73 69 6F 6E 20 74 6F 20 76 69 65 77   rmission to view
2a0 : 20 74 68 69 73 20 64 69 72 65 63 74 6F 72 79 20    this directory 
2b0 : 6F 72 20 70 61 67 65 20 66 72 6F 6D 20 74 68 65   or page from the
2c0 : 20 49 6E 74 65 72 6E 65 74 20 61 64 64 72 65 73    Internet addres
2d0 : 73 20 6F 66 20 79 6F 75 72 20 57 65 62 20 62 72   s of your Web br
2e0 : 6F 77 73 65 72 2E 3C 2F 66 6F 6E 74 3E 3C 2F 74
owser.</font></t
2f0 : 64 3E 0D 0A 20 20 3C 2F 74 72 3E 0D 0A 20 20 0D   d>..
</tr>..  .
300 : 0A 20 20 3C 74 72 3E 0D 0A 20 20 20 20 3C 74 64   .  <tr>..
<td
310 : 20 77 69 64 74 68 3D 22 34 30 30 22 20 63 6F 6C
width="400" col
320 : 73 70 61 6E 3D 22 32 22 3E 0D 0A 09 3C 66 6F 6E
span="2">...<fon
330 : 74 20 73 74 79 6C 65 3D 22 43 4F 4C 4F 52 3A 30   t
style="COLOR:0
340 : 30 30 30 30 30 3B 20 46 4F 4E 54 3A 20 38 70 74   00000; FONT: 8pt
350 : 2F 31 31 70 74 20 76 65 72 64 61 6E 61 22 3E 0D   /11pt
verdana">.
360 : 0A 09 0D 0A 09 3C 68 72 20 63 6F 6C 6F 72 3D 22   .....<hr
color="
370 : 23 43 30 43 30 43 30 22 20 6E 6F 73 68 61 64 65   #C0C0C0"
noshade
380 : 3E 0D 0A 09 0D 0A 20 20 20 20 3C 70 3E 49 66 20   >.....
<p>If 
390 : 79 6F 75 20 62 65 6C 69 65 76 65 20 79 6F 75 20   you believe you 
3a0 : 73 68 6F 75 6C 64 20 62 65 20 61 62 6C 65 20 74   should be able t
3b0 : 6F 20 76 69 65 77 20 74 68 69 73 20 64 69 72 65   o view this dire
3c0 : 63 74 6F 72 79 20 6F 72 20 70 61 67 65 2C 20 70   ctory or page, p
3d0 : 6C 65 61 73 65 20 63 6F 6E 74 61 63 74 20 74 68   lease contact th
3e0 : 65 20 57 65 62 20 73 69 74 65 20 61 64 6D 69 6E   e Web site admin
3f0 : 69 73 74 72 61 74 6F 72 20 62 79 20 75 73 69 6E   istrator by usin
400 : 67 20 74 68 65 20 65 2D 6D 61 69 6C 20 61 64 64   g the e-mail add
410 : 72 65 73 73 20 6F 72 20 70 68 6F 6E 65 20 6E 75   ress or phone nu
420 : 6D 62 65 72 20 6C 69 73 74 65 64 20 6F 6E 20 74   mber listed on t
430 : 68 65 0D 0A 20 0D 0A 09 3C 73 63 72 69 70 74 3E   he..
...<script>
440 : 0D 0A 09 3C 21 2D 2D 0D 0A 09 69 66 20 28 21 28   ...<!--...if
(!(
450 : 28 77 69 6E 64 6F 77 2E 6E 61 76 69 67 61 74 6F   (window.navigato
460 : 72 2E 75 73 65 72 41 67 65 6E 74 2E 69 6E 64 65   r.userAgent.inde
470 : 78 4F 66 28 22 4D 53 49 45 22 29 20 3E 20 30 29
xOf("MSIE") > 0)
480 : 20 26 26 20 28 77 69 6E 64 6F 77 2E 6E 61 76 69    &&
(window.navi
490 : 67 61 74 6F 72 2E 61 70 70 56 65 72 73 69 6F 6E   gator.appVersion
4a0 : 2E 63 68 61 72 41 74 28 30 29 20 3D 3D 20 22 32   .charAt(0) ==
"2
4b0 : 22 29 29 29 0D 0A 09 7B 0D 0A 09 09 20 48 6F 6D
")))...{.... Hom
4c0 : 65 70 61 67 65 28 29 3B 0D 0A 09 7D 0D 0A 09 2F   epage();...}.../
4d0 : 2F 2D 2D 3E 0D 0A 09 3C 2F 73 63 72 69 70 74 3E
/-->...</script>
4e0 : 0D 0A 0D 0A 09 68 6F 6D 65 20 70 61 67 65 2E 3C   .....home
page.<
4f0 : 2F 70 3E 0D 0A 09 0D 0A 20 20 20 20 3C 68 32 20   /p>.....
<h2 
500 : 73 74 79 6C 65 3D 22 66 6F 6E 74 3A 38 70 74 2F
style="font:8pt/
510 : 31 31 70 74 20 76 65 72 64 61 6E 61 3B 20 63 6F   11pt verdana; co
520 : 6C 6F 72 3A 30 30 30 30 30 30 22 3E 48 54 54 50
lor:000000">HTTP
530 : 20 34 30 33 2E 36 20 2D 20 46 6F 72 62 69 64 64    403.6 - Forbidd
540 : 65 6E 3A 20 49 50 20 61 64 64 72 65 73 73 20 72   en: IP address r
550 : 65 6A 65 63 74 65 64 3C 62 72 3E 0D 0A 20 20 20
ejected<br>..   
560 : 20 49 6E 74 65 72 6E 65 74 20 49 6E 66 6F 72 6D    Internet Inform
570 : 61 74 69 6F 6E 20 53 65 72 76 69 63 65 73 3C 2F   ation
Services</
580 : 68 32 3E 0D 0A 0D 0A 09 3C 68 72 20 63 6F 6C 6F
h2>.....<hr colo
590 : 72 3D 22 23 43 30 43 30 43 30 22 20 6E 6F 73 68
r="#C0C0C0" nosh
5a0 : 61 64 65 3E 0D 0A 09 0D 0A 09 3C 70 3E 54 65 63
ade>......<p>Tec
5b0 : 68 6E 69 63                                       hnic




_______________________________________________
Snort-users mailing list
Snort-users at lists.sourceforge.net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://www.geocrawler.com/redir-sf.php3?list=ort-users
-------------- next part --------------
A non-text attachment was scrubbed...
Name: winmail.dat
Type: application/ms-tnef
Size: 16120 bytes
Desc: not available
URL: <https://lists.snort.org/pipermail/snort-users/attachments/20010919/1a93062a/attachment.bin>


More information about the Snort-users mailing list