<html>
At 09:45 AM 3/29/2005, Jeff Heckart wrote:<br><br>
<blockquote type=cite class=cite cite><font face="arial" size=2>I am
getting quite a few unusual alerts, and am confused with what I am
seeing.<br>
</font><br>
<font face="arial" size=2> <br>
</font><br>
<font face="arial" size=2>The payload of the packet is:<br>
</font><br>
<font size=1>04 01 00 3B 00 00 01 00 AA 27 00 18 48 00 00
01        ...;....*'..H...<br>
</font><br>
<font size=1>0E 1B 00 4C 6F 67 69 6E 20 66 61 69 6C 65 64
20        ...Login failed <br>
</font><br>
<font size=1>66 6F 72 20 75 73 65 72 20 27 73 61 27 2E 00
00        for user 'sa'...<br>
</font><br>
<font size=1>00 00 FD 02 00 00 00 00 00 00
00                      
..}........<br>
</font><br>
<font face="Times New Roman, Times"> <br>
</font><br>
<font face="Times New Roman, Times">The strange thing is that the source
is:<br>
</font><br>
<font face="Times New Roman, Times">x.x.x.x:1433 (our
network)</blockquote><br>
This looks like your MS sql server responding to someone's unsuccessful
login attempt.  There was a problem with MS sql a while back where
the sql server set up the admin account (sa) with NO password.  A
worm was written to exploit it and this could be it.<br><br>
-- Joe </font></html>