[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00719] new Worm?

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:00719] new Worm?
From: Shin SHIRAHATA <shin@xxxxxxxxxx>
Date: Sat, 04 Aug 2001 21:36:59 +0900



こんばんは。慶應大学の白畑と申します。

今日(8/4)の午後8時過ぎから、複数のホストから不特定多数の
Webサーバに対して、以下のようなパケットが多数送られています。
sadmind/IIS Wormのような気もするのですが、Webサーバーに
残っているログ

[Sat Aug  4 20:28:47 2001] [error] [client ::ffff:203.251.6.171] File does not exist:
/htdocs/default.ida

からは違うようにも思えます。なお、ソースアドレスとなっている
ホストでは必ずMicrosoft-IIS/5.0が共通して動いていました。
どなたか、同様のパケットが来ている方はおられますでしょうか!?

08/04-20:29:05.114860 0:1:64:A3:EC:40 -> 0:A0:CC:73:38:89 type:0x800 len:0x5EA
203.251.6.171:2323 -> 203.xxx.xxx.xxx:80 TCP TTL:117 TOS:0x0 ID:42894 IpLen:20 D
gmLen:1500 DF
***A**** Seq: 0x23674D49  Ack: 0xAC4D68EA  Win: 0x4470  TcpLen: 20
00 FF 75 FC FF 55 F8 89 45 D4 E8 0C 00 00 00 43  ..u..U..E......C
6C 6F 73 65 48 61 6E 64 6C 65 00 FF 75 FC FF 55  loseHandle..u..U
F8 89 45 D0 E8 08 00 00 00 5F 6C 63 72 65 61 74  ..E......_lcreat
00 FF 75 FC FF 55 F8 89 45 CC E8 08 00 00 00 5F  ..u..U..E......_
6C 77 72 69 74 65 00 FF 75 FC FF 55 F8 89 45 C8  lwrite..u..U..E.
E8 08 00 00 00 5F 6C 63 6C 6F 73 65 00 FF 75 FC  ....._lclose..u.
FF 55 F8 89 45 C4 E8 0E 00 00 00 47 65 74 53 79  .U..E......GetSy
73 74 65 6D 54 69 6D 65 00 FF 75 FC FF 55 F8 89  stemTime..u..U..
45 C0 E8 0B 00 00 00 57 53 32 5F 33 32 2E 44 4C  E......WS2_32.DL
4C 00 FF 55 F4 89 45 BC E8 07 00 00 00 73 6F 63  L..U..E......soc
6B 65 74 00 FF 75 BC FF 55 F8 89 45 B8 E8 0C 00  ket..u..U..E....
00 00 63 6C 6F 73 65 73 6F 63 6B 65 74 00 FF 75  ..closesocket..u
BC FF 55 F8 89 45 B4 E8 0C 00 00 00 69 6F 63 74  ..U..E......ioct
6C 73 6F 63 6B 65 74 00 FF 75 BC FF 55 F8 89 45  lsocket..u..U..E
A4 E8 08 00 00 00 63 6F 6E 6E 65 63 74 00 FF 75  ......connect..u
BC FF 55 F8 89 45 B0 E8 07 00 00 00 73 65 6C 65  ..U..E......sele
63 74 00 FF 75 BC FF 55 F8 89 45 A0 E8 05 00 00  ct..u..U..E.....
(snip)


---
KEIO University / WIDE Project - School on Internet
白畑 真 <true@xxxxxxxxxxxxxx>
http://www.sfc.wide.ad.jp/~true/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　インフォシークに　『ファンドランキング』登場！！　ってなに？　　　
　　　　　 http://fund.infoseek.co.jp/Rfund_top.cfm?svx=971122

Follow-Ups:
- [stalk:00720] Re: new Worm?
  - From: IHA Yasushi
- [stalk:00721] Re: new Worm?
  - From: Minoru Hagiyama

Prev by Date: [stalk:00718] Re: [FYI] 新種？ Code Red Worm
Next by Date: [stalk:00720] Re: new Worm?
Previous by thread: [stalk:00718] Re: [FYI] 新種？ Code Red Worm
Next by thread: [stalk:00720] Re: new Worm?
Index(es):
- Date
- Thread